Skip to main content

De privacy menukaart van het CIP

| IB&P | ,

Op woensdag 22 november vond de najaarsconferentie van het Centrum voor Informatiebeveiliging en Privacy (CIP) plaats in Putten. Ik volgde er o.a. sessie over de Baseline Informatiebeveiliging Overheid (BIO) – waarover later meer – en over de CIP-producten die helpen bij het in control komen en blijven van privacy management. Het bleek dat de ondersteuningsproducten niet allemaal (even) bekend zijn dus daarom vandaag aandacht voor de ‘privacy menukaart van het CIP’.

Privacy Baseline

De privacy baseline van het CIP geeft je organisatie concrete handvatten om persoonsgegevens op een juiste manier te beschermen. De eisen vanuit de Algemene Verordening Gegevensbescherming (AVG) zijn vertaald naar concrete, hanteerbare normen die duidelijk maken wat je als organisatie moet doen om in overeenstemming met de wet de privacy van betrokkenen te waarborgen.

Met deze baseline kan de verwerkingsverantwoordelijke controleren in hoeverre diegene aan de privacy wet- en regelgeving voldoet en afwegingen kan maken bij de zaken die hem nog te doen staan. De privacy baseline vormt daarnaast een solide basis om inzicht te krijgen in de wet- en regelgeving rond privacy en dient als informatief document om privacy vanaf het beginsel in te richten binnen de organisatie.

Download de Privacy Baseline hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Handleiding Privacy by Design

Binnen de Handleiding Privacy by Design (PbD) wordt een concrete aanpak gegeven met betrekking tot de omgang met privacy bij gegevensverwerkingen. Hierbij ligt de nadruk op het inrichten van bedrijfsprocessen die privacy bewerkstelligen binnen de organisatie.

Met de handleiding zet je een proactieve benadering in binnen de organisatie bij o.a. het ontwerp van een technische voorziening voor de verwerking van persoonsgegevens. Zo kun je ervoor zorgen dat privacy in de ontwikkelingsfase al wordt geïmplementeerd binnen de bedrijfsvoering van de organisatie. Hiermee wordt voorkomen dat de organisatie aan het eind van een ontwikkelingsproces maatregelen moet gaan implementeren die eerder in de ontwikkeling makkelijker aangepast of geïmplementeerd hadden kunnen worden.

Download de Handleiding Privacy by Design hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Privacy Self Assessment

Met de Privacy Self Assessment krijg je inzicht in de borging van privacy binnen de organisatie. Aan de hand van duidelijke vragen over o.a. privacybeleid, de organisatorische inbedding en risicomanagement wordt een resultaat opgemaakt over het niveau van borging van privacy binnen de organisatie.

Naast scores wordt bij vele onderdelen ook uitgelegd wat de terminologie precies betekent en er kan worden toegewerkt naar verschillende ambitieniveaus. Zo kan de tool ook worden ingezet om het kennisniveau binnen de organisatie met betrekking tot privacy te verbeteren en gezamenlijk toe te werken naar verbetering..

Door toe te werken naar ambitieniveaus kunnen (kleine) stappen worden genomen die overzichtelijk blijven en daardoor een breder draagvlak hebben binnen de organisatie. Na het invullen van de evaluatie ontvangt de respondent een overzichtelijke lijst van maatregelen en doelstellingen. Maatregelen kunnen zo snel worden ingevoerd en daarnaast blijft het privacy proces overzichtelijk.

Download de Privacy Self Assessment hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Handreiking Borging van Privacy en Volwassenheidsniveau

‘Privacy volwassenheid’ geeft aan hoe volwassen de organisatie is in het (be)sturen en borgen van privacy. Organisaties moeten bij het bepalen van dit volwassenheidsniveau nagaan in welke mate zij correcte omgang met persoonsgegevens geborgd hebben in de organisatie. Dat wordt uitgedrukt in vijf niveaus, waarbij het eerste niveau een organisatie is die situationeel op verwerkingsniveau is ingericht en vijf een organisatie die privacy als een speerpunt op alle niveaus heeft ingezet. De AVG gaat uit van volwassenheidsniveau drie.

Het model kan worden gebruikt om de organisatie steeds volwassener te maken door de niveaus te hanteren.  De theorie die aan de grondslag ligt van de niveaus wordt uitgewerkt en verbindingen naar de wettelijke vereisten worden gelegd voor zowel kleine als grote organisaties.

De verschillende domeinen binnen privacy worden binnen de handreiking toegelicht. Zo worden processen en zaken overzichtelijk en vervolgens ook gelinkt aan de verschillende niveaus binnen het SIVA-model (waarover in latere blogs meer). Inzicht krijgen in het niveau dat de organisatie heeft bereikt, hoe dit niveau kan worden behouden én hoe een organisatie op een volgend niveau terecht kan komen.

Download de Handreiking Borging van Privacy en Volwassenheidsniveau hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Testen met persoonsgegevens buiten productieomgeving

Dit document geeft aan beveiliging gerelateerde richtlijnen voor het gebruik van persoonsgegevens in testsituaties buiten de productieomgeving. Dit is opgezet in lijn met de algemene baselines, normenkaders en best practices en dus met name op basis van de ISO 27xxx norm – de Code voor Informatiebeveiliging – alsook het tactisch normenkader uit de Baseline Informatiebeveiliging Rijksoverheid (BIR), voor zover van toepassing.

Het document is een bewerking van ‘Persoonsgegevens buiten de productieomgeving’ van Marcel Koers en heeft een review ondergaan door verschillende deelnemers uit het CIP netwerk. Zij hebben het testen met persoonsgegevens verder toegelicht en voorzien van verschillende richtlijnen om te kunnen anticiperen en juist te handelen bij het uitvoeren van tests. De principes voor het gebruik van persoonsgegevens in testbestanden zijn ook onderlegd aan een aantal risicoklassen.

Download het document Testen met persoonsgegevens buiten productieomgeving  hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Handreiking Meldplicht Datalekken

Sinds de inwerkingtreding van de meldplicht datalekken zijn publicaties geschreven vanuit verschillende perspectieven, zoals algemeen informatief en gedetailleerd gericht op de afwikkeling van een datalek. De Handreiking Meldplicht Datalekken behandelt deze eerder behandelde aspecten om organisaties bewust te maken van de wetgeving en de gevolgen die daaraan verbonden zijn. Het document dient als een algemeen referentiekader, waarbinnen verwezen is naar publicaties die specifieker ingaan op verschillende deelgebieden binnen de meldplicht.

De belangrijkste implicaties voor organisaties worden behandeld en een aantal mogelijke consequenties van de meldplicht zijn toegelicht. Omdat de meeste documenten die zijn geschreven over de meldplicht datalekken op enige manier verouderd zijn, is besloten om de bruikbare samenvattingen en belangrijkste punten nogmaals op een rijtje te zetten in een bruikbare handreiking met verwijzingen.

Download de Handreiking Meldplicht Datalekken hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Werkzaam bij de overheid? Sluit je aan bij het CIP

Zoals je ziet, het CIP biedt op het gebied van privacy (management) een aantal zeer interessante ondersteuningsproducten. Doe er je voordeel mee. Mocht je nog geen lid van het CIP, dan raad ik je aan dat alsnog spoedig te worden. Ga naar de website of direct naar Pleio. Je vindt daar ook de Privacy vraagbaak en relevante nieuwsberichten. Check ook het complete overzicht van beschikbare producten (per november 2017) via deze link.

Ten overvloede: het CIP biedt ook ondersteuningsproducten op het gebied van informatiebeveiliging.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…