AVG/GDPR-compliance

Privacy Management as-a-Service

Moja Rada is actief op het gebied van privacy en gegevensbeheer, en richt zich op de ondersteuning van AVG/GDPR-compliance bij bedrijven en organisaties. Naast deze wet- en regelgeving wordt ook rekening gehouden met onder meer de ePrivacy verordening. Bedrijven ondervinden bij de invoering AVG/GDPR geen ernstige problemen, maar zien wel uitdagingen. Een van deze is, het ontbreken van interne kennis, de andere dat tarieven een rol spelen en hierdoor ook budgettering. Dit zijn slechts twee van de redenen waarom Moja Rada het concept PMaaS heeft ontwikkeld, Privacy Management as-a-Service.

Wat betekent ‘as-a-Service’?

Als u de trend cloud computing een beetje volgt, bent u ongetwijfeld bekend met de begrippen Software as a Service (SaaS) van Salesforce.com, Infrastructure as a Service (IaaS) van Amazon.com en Backup as a Service (BaaS) van NetApp. En nu is er Privacy Management as-a-Service (PMaaS).

Wat is cloud? PMaaS?

Privacy Management as-a-Service heeft niets met cloud computing te maken. Het is een model van outsourcing voor de uitvoering en het beheer van de eisen die gesteld zijn aan de actuele wet- en regelgeving op het gebied van de privacywetgeving. Kosten worden hierbij zo laag mogelijk gehouden, waarbij het uitbesteden van de werkzaamheden ook op abonnementsbasis kan worden afgenomen.

Privacy Management as a Service voor AVG/GDPR-compliance

Enkele voordelen van PMaaS

U kunt Privacy Management as-a-Service vergelijken met een menu in een restaurant. Hier kiest u een voorgerecht, hoofdgerecht en nagerecht. Heeft u trek, dan neemt u wellicht drie of vier gangen. Zo gaat het ook met de door ons aangeboden diensten. U kiest dat, waaraan uw organisatie behoefte heeft: as-a-Service. Andere voordelen zijn:

  1. Beheersbare kosten – u betaalt alleen voor geleverde diensten;
  2. Korte aanlooptijd – u zet sneller uw AVG/GDPR-project op, zelfs als u geen interne mogelijkheden hebt;
  3. Deskundig inzicht – u maakt gebruik van de ervaring die opgedaan in andere sectoren en ontdekt hierbij best practices;
  4. Lagere kosten – u verlaagt de interne kosten voor uw AVG/GDPR-project.

Quickscan (voorgerecht)

De eerste stap in uw AVG/GDPR-compliance, en het enige voorgerecht, is de quickscan. Dit wordt ook wel een nulmeting, gap analyse of risicoanalyse genoemd. Moja Rada helpt bij het verkrijgen van controle over gegevens, processen, infrastructuur, applicaties, datastromen, dataportabiliteit en veiligheid. Hierbij wordt de analyse voornamelijk uitgevoerd door het houden van interviews en workshops. De basis van de quickscan is een 7-stappenplan, waarin de volgende artikelen uit de AVG/GDPR uitgebreid worden besproken:

  1. Bijhouden van registraties van verwerkingsactiviteiten (artikel 30);
  2. Technische en organisatorische beveiligingsmaatregelen (artikel 32);
  3. De verwerking van speciale categorieën van persoonsgegevens (artikel 9);
  4. De DPIA – Gegevensbeschermingseffectbeoordeling (artikel 9);
  5. Privacy by design en privacy by Default (artikel 25);
  6. Benoeming van een functionaris voor gegevensbescherming (artikel 37);
  7. Melding van datalekken aan autoriteiten (artikel 33) en melden van datalekken voor betrokkenen (artikel 34).

Naast bovengenoemde stappen worden onderwerpen als bekendheid in de organisatie, toestemming en rechten van betrokkenen (personen van wie de gegevens door uw organisatie worden verwerkt of opgeslagen), verwerkingsovereenkomsten met derden en de rol van toezichthoudende toezichthouder ook besproken. Het resultaat van de quickscan wordt uitgewerkt in een managementsamenvatting, waarin een impactanalyse, aanbevolen stappenplan en een overzicht van adviezen en te nemen acties is opgenomen.

Projectmanagement (hoofdgerecht no. 1)

Hierbij wordt uw AVG/GDPR-project door ons aangestuurd en uitgevoerd. Projectmanagement is aan te bevelen bij complexere projecten, als er bijvoorbeeld vakinhoudelijke projectmedewerkers moeten worden aangestuurd. Of derde partijen begeleid moeten worden. Kwaliteit, tijd en middelen zijn hierbij kernwoorden.

Bewustwording (hoofdgerecht no. 2)

Het geven van workshops aan leidinggevenden of afdelingen om dieper in te gaan op de te nemen maatregelen in uw organisatie met betrekking tot de AVG/GDPR. De deelnemers krijgen een goed inzicht en worden tevens bewust gemaakt van de technische kant van de wet- en regelgeving. Waarom een goed wachtwoord belangrijk is, wat encryptie inhoudt en dat een wachtwoord op een Excelbestand met persoonsgegevens een begin is, maar zeker geen technische beveiliging zoals bedoeld in de wet.

Ontwerpen van processen (hoofdgerecht no. 3)

Privacybeleid

Wij bieden ondersteuning bij het opstellen van het privacybeleid, waarbij onderwerpen als bewustwording, reikwijdte, governance en juridisch kader aan de orde komen.

Procedures

Niet voor alle processen hoeft een procedure geschreven te worden. Richtlijn is dat zaken die ‘vanzelf’ goed gaan, bijvoorbeeld omdat het automatisch geregeld wordt of omdat er een onderhoudscontract voor is afgesloten, niet uitgeschreven hoeven te worden.

Communiceren en borgen (hoofdgerecht no. 4)

Van ontwerp tot het opzetten van een project gaat over het algemeen goed. Maar de moeilijkheid zit in de staart, de implementatie en het borgen. Wij communiceren over risico’s en borgen de processen en maatregelen binnen uw organisatie.

Coördineren en faciliteren (hoofdgerecht no. 5)

Verwerkingsregister

In een verwerkingsregister brengt u uw verwerkingen van persoonsgegevens in kaart, waarbij ook een functionaliteit aanwezig moet zijn om deze beheren en te rapporteren. U kunt zelf een sjabloon maken in bijvoorbeeld Excel, waarin de benodigde gegevens worden vastgelegd, maar er zijn ook slimme tools in de markt die het denkwerk al voor u hebben gedaan. Bespaar tijd – en indirect ook geld – door gebruik te maken van zo’n tool. Voordeel is ook dat u direct aan de slag kunt met het vullen van het register. Voor het opzetten van een verwerkingsregister, maar ook bij een selectieproces en de implementatie van een externe tool, kunt u rekenen op ondersteuning.

Data Protection Officer (ofwel Functionaris gegevensbescherming)

Als uw organisatie verplicht is een Data Protection Officer (DPO), of Functionaris gegevensbescherming (FG) in het Nederlands, aan te stellen, kunnen wij helpen bij de positionering van deze functie. Is uw bedrijf van een dusdanige grootte dat niet een volledige functie geboden kan worden, dan kunt er ook voor kiezen deze rol op interimbasis te laten uitvoeren.

Data Protection Impact Assessment (DPIA)

Als verantwoordelijke moet u een Data Protection Impact Assessment (DPIA) uitvoeren wanneer uw gegevensverwerking een hoog privacyrisico oplevert. Verplichting hiertoe wordt beoordeeld tijdens een quickscan. Ook hiervoor geldt, dat u de beoordeling op interimbasis kunt laten uitvoeren.

Meldplicht datalekken

Deze procedure beschrijft hoe te handelen binnen uw organisatie, indien er sprake is van een datalek of wanneer een datalek vermoed wordt. De meldplicht is eveneens van toepassing als het datalek bij een derde is ontstaan, bijvoorbeeld een bewerker van persoonsgegevens. De beschrijving van de procedure is mede gebaseerd op de beleidsregels van de AP – Autoriteit Persoonsgegevens.

Verwerkersovereenkomsten

De verwerkersovereenkomst is de juridische borging tussen de verantwoordelijke en verwerker met betrekking tot het omgaan met persoonsgegevens. Wordt hierbij een standaarddocument gebruikt, dan is het de uitdaging dit te laten aansluiten bij de werkelijke situatie en de daarnaast bestaande documenten, zoals SLA of licentieovereenkomst. Voor het afsluiten en beheren van verwerkersovereenkomsten met derde (externe) partijen kunt u van onze diensten gebruik maken. Indien een verwerkersovereenkomst op maat gemaakt moet worden kan, indien nodig, een jurist of advocaat worden ingeschakeld.

Budgetcontrole (nagerecht no. 1)

Wat is budgetcontrole? U maakt vooraf de afspraak over de hoogte van uw te besteden budget: de budgetgrens. In een financieel rapport worden de werkelijke kosten en het budget periodiek – bijvoorbeeld maandelijks vergeleken, zodat verschillen tijdig vastgesteld en geanalyseerd kunnen worden. Het management kan hierna beoordelen, evalueren en sturing geven. Door het management by exception-principe toe te passen, wordt slechts ingegrepen indien er relevante verschillen bestaan tussen gebudgetteerde en werkelijke gegevens. Alleen als de verschillen belangrijk zijn, leidt dit tot bijsturing.

AVG/GDPR-compliance op herhaling (nagerecht no. 2)

Uw organisatie moet niet alleen op 25 mei 2018 compliant zijn, maar ook de jaren hierna. Daarom is het belangrijk om periodiek de ingevoerde maatregelen te toetsen en uw (nieuwe) personeel te trainen door middel van bijvoorbeeld workshops.

Privacy Management as a Service - ontdek de voordelen

Interesse in Privacy Management as a Service?

Heeft u ook interesse in onze dienst Privacy Management as a Service? Maak dan een vrijblijvende afspraak via onderstaand contactformulier of door te bellen naar (06) 204 413 48.

Contact

Moja Rada uit Wierden, Overijssel, is in handen van Henk van Leussen. “Met meer dan 20 jaar ervaring in IT- en projectmanagement heb ik mij bewezen als een deskundig onderzoeker en probleemoplosser. Ik heb een innovatieve visie op verandering, een sterk analytisch vermogen en kan en durf out-of-the-box te denken.”

Een connectie maken op LinkedIn

Aangesloten bij

NGFG logo

Uw naam (verplicht)

Uw bedrijfsnaam

Uw e-mailadres (verplicht)

Uw telefoonnummer

Uw bericht

Moja Rada

Henk van Leussen

Stoppelland 79
7641 KN Wierden

06 – 20 44 13 48
info@mojarada.nl
www.mojarada.nl

KvK: 64042766

De algemene voorwaarden van Moja Rada zijn gedeponeerd bij de Kamer van Koophandel.