Organisatie, governance en compliance

Het bestuur van uw organisatie is eindverantwoordelijk voor privacy. Maar een goede inrichting van governance en organisatie is nodig om hen in staat te stellen om die verantwoordelijkheid ook daadwerkelijk te nemen.

Benieuwd wat BMC voor u kan betekenen op het gebied van organisatie, governance en compliance? Lees dan verder of neem direct contact met ons op.

Neem contact op

Op deze pagina: 
Governance: de drie verdedigingslinies
Organisatie: rollen en verantwoordelijkheden
Beleid: passende maatregelen
Compliance
Onze dienstverlening op het gebied van organisatie, governance en compliance
Praktijkcases en oplossingen
Adviseurs organisatie, governance en compliance 

Actueel

Toon alles

Governance: de drie verdedigingslinies

Inrichting van governance en organisatie van privacy: dat gaat over het grip hebben op het voldoen aan wetgeving en risico’s. Ook gaat het om informatievoorziening, maar vooral om aansturing en het afleggen van verantwoording. Vaak wordt hierbij een onderscheid gemaakt in drie “verdedigingslinies”:

  • De beheersing van werkprocessen binnen de afdeling onder verantwoordelijkheid van de lijnmanager. Dat wil zeggen: werkprocessen op orde, passende werkinstructies en werken volgens afspraken. 
  • Borging/controle van beheersmaatregelen in de lijn, bijvoorbeeld door kwaliteitsfunctionarissen of teamleiders. Deze borgingsmaatregelen/controles hebben als doel vast te stellen en aan te tonen dat werkprocessen conform de afspraken verlopen en deze te evalueren en waar nodig aan te passen. Deze borging wordt voor privacy gecoördineerd door de Privacy Officer en uitgevoerd in de lijn. Ze levert inzicht op over de duurzame implementatie van beheersmaatregelen en is een belangrijke basis voor rapportage daarover aan management en bestuur.
  • Interne en externe audits vanuit de afdeling control, in het kader van de jaarrekening en op basis van bijvoorbeeld Art. 33 van de Wet Politiegegevens bij organisaties met boa’s. Daaronder valt ook de evaluatie van de opzet, bestaan en werking van de 1e en de 2e verdedigingslinie

"Ik was in de veronderstelling dat ik in control was." Dat zei de burgemeester van de gemeente Hof van Twente na de ransomware-aanval. Een goede governance zorgt dat management en bestuurders wél in control zijn.

De wetgeving vereist dat een organisatie organisatorische en technische maatregelen treft om de privacy van betrokkenen te beschermen en te voldoen aan privacywetgeving, zoals de Avg en de Wpg. Ook moet dat aantoonbaar zijn en moeten  de maatregelen worden evalueert en waar nodig aanpast (Avg Art 24 lid 1). Een goede praktijk is het om de  governance met de uit het kwaliteitsmanagement bekende Plan-Do-Check-Act-cyclus (PDCA-cyclus) te ondersteunen. Dat zou je een Privacy managementsysteem (PMS) kunnen noemen.
 

Organisatie: rollen en verantwoordelijkheden

Om de governance te ondersteunen en beheersmaatregelen te implementeren, uit te voeren, te borgen en te evalueren is organisatie nodig. Dat gaat over rollen en verantwoordelijkheden, bijvoorbeeld:

  • bestuur en management met de verantwoordelijkheid om richting te geven, middelen beschikbaar te stellen en de voortgang te bewaken
  • medewerkers met de verantwoordelijkheid om zorgvuldig om te gaan met persoonsgegevens, waaronder zich te houden aan de regels en/of afspraken binnen de organisatie
  • de privacy officer die veelal een coördinerende rol heeft
  • de functionaris gegevensbescherming die een informerende, adviserende en toezichthoudende rol heeft.
  • medewerkers die verantwoordelijk zijn voor de implementatie, uitvoering en borging van specifieke beheersmaatregelen, zoals het bijhouden van het verwerkingenregister, het afsluiten van verwerkersovereenkomsten en natuurlijk ook informatiebeveiliging.

Organisatie betreft het proces van de PDCA-cyclus, met daarin risicoanalyses, jaarplannen en rapportages. Maar ook de aansluiting op de P&C cyclus van de organisatie.
 

Beleid: passende maatregelen

In het privacybeleid staat beschreven hoe de organisatie ervoor zorgt dat ze voldoet aan de privacywetgeving, zoals Avg en Wpg. Ook staat in het privacybeleid hoe de risico’s die gepaard gaan met de verwerking van persoonsgegevens worden beheerst. Hoe zorgt de organisatie ervoor dat de maatregelen passend zijn in vergelijking met bij de risico’s, de gevoeligheid van de informatie en de ontwikkeling in de techniek en bedreigingen?  Onderdeel van het beleid zijn de governance, risicomanagement, de organisatie en uitgangspunten, zoals het commitment te voldoen aan de wetgeving.
 

Compliance

Compliance betekent het voldoen aan normen en/of wetgeving, maar vooral ook het verifiëren of de organisatie daar aan voldoet. Dat kan door interne controle of door een externe audit worden vastgesteld. In het kader van de controle van de jaarrekening vindt in de regel al een beperkte beoordeling van de beheersing plaats in verband met financiële risico’s. Voor de Wpg zijn jaarlijkse interne audits en vier-jaarlijkse externe audits verplicht. 

Meer over compliance van leveranciers en ketenpartners vindt u in deze blog.
 

Onze dienstverlening op het gebied van organisatie, governance en compliance

Advies

Op het gebied van governance, beleid en organisatie heeft BMC een ruime ervaring in diverse organisaties in de publieke sector. Met een gedegen aanpak, instrumenten en sjablonen ondersteunen we organisaties bij de inrichting daarvan. Daarbij maken we gebruik van diverse control frameworks met adequate beheersmaatregelen om te voldoen aan de wetgeving. Voor de AVG gebruiken we een door BMC ontwikkeld framework of voor gemeenten het sjabloon van de Vng. Voor de Wpg gebruiken we het framework van de Norea, dat ook bij interne en externe audit gebruikt moet worden.

Meer informatie over het control framework

Naast advies en ondersteuning kunt u bij BMC ook terecht voor de werving van medewerkers en inhuur van professionals. Ook leveren wij persoonlijke opleidingstrajecten en in-company trainingen op maat. Deze trainingen worden afgestemd op de specifieke behoeften van uw organisatie.

Praktijkcases en oplossingen

Toon alles

Adviseurs organisatie, governance en compliance

Meer weten over organisatie, governance en compliance? Neem dan contact op met onderstaande adviseurs:

Julius Duijts
managing consultant, CMC CISSP CEH CIPP/E

"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."

Alex Commandeur
managing consultant, CIPP/E

"Als senior adviseur heb ik ruime ervaring binnen het openbaar bestuur. Mijn brede achtergrond in de publieke sector in verschillende rollen en verantwoordelijkheden maken dat ik mij makkelijk kan verplaatsen in mijn gesprekspartners. Een beetje humor en relativeringsvermogen helpen mij daarbij."

Neem contact met ons op

Meer informatie over informatiebeveiliging

Deze expertise valt onder informatiebeveiliging binnen het domein data en dienstverlening. Bekijk ook andere expertises binnen dit domein:

Contact

Uw privacy is belangrijk voor ons. BMC gaat zorgvuldig om met uw persoonsgegevens, zie hierover meer in ons privacy statement