Organisatie, governance en compliance van privacy

Binnen organisaties is het bestuur eindverantwoordelijk voor privacy. Een goede inrichting van privacy vraagt om een goede inrichting van de governance. Dit stelt het bestuur dan ook daadwerkelijk in staat om de eindverantwoordelijkheid te nemen. BMC ondersteunt organisaties bij de inrichting van governance en compliance op het gebied van privacy.

Benieuwd wat BMC voor u kan betekenen? Lees dan verder of neem contact met ons op. 

Neem contact met ons op

Op deze pagina:
Privacybeleid
Governance op het gebied van privacy
Organisatie van privacy
Compliance van privacy
Onze dienstverlening op organisatie, governance en compliance
Praktijkcases en oplossingen
Adviseurs organisatie, governance en compliance van privacy

Actueel

Toon alles

Privacybeleid

In het privacybeleid staat beschreven hoe de organisatie er voor zorgt dat ze voldoet aan de privacywetgeving, zoals de Algemene verordening gegevensbescherming (AVG) en de Wet politiegegevens (Wpg), en hoe de risico’s die gepaard gaan met de verwerking van persoonsgegevens worden beheerst. Hoe zorgt de organisatie ervoor dat de maatregelen passend zijn in vergelijking met de risico’s, de gevoeligheid van de informatie, de ontwikkeling in de techniek en bedreigingen? 

Onderdeel van het beleid zijn de governance, risicomanagement, de organisatie en essentiële uitgangspunten, zoals de commitment te voldoen aan de wetgeving.
 

Governance op het gebied van privacy

Governance gaat over het voldoen aan de wetgeving en het beperken van risico’s op het gebied van privacy. Het gaat om informatievoorziening, maar vooral om de aansturing en het afleggen van verantwoording. Bij governance wordt vaak onderscheid gemaakt in drie “lines of defence”:

  1. De beheersing van werkprocessen binnen de afdeling vallen onder de verantwoordelijkheid van de lijnmanager. Dat wil zeggen: werkprocessen op orde, passende werkinstructies en werken volgens afspraken. 
     
  2. De borging/controle van beheersmaatregelen wordt gecoördineerd door de privacy officer en uitgevoerd in de lijn, door bijvoorbeeld kwaliteitsfunctionarissen of teamleiders. Het doel van deze controles is het aantonen dat werkprocessen conform de afspraken verlopen. De processen worden geëvalueerd en aangepast waar nodig. Dit zorgt voor inzicht in de duurzame implementatie van beheersmaatregelen en vormt een belangrijke basis voor rapportage aan management en bestuur.
     
  3. Interne en externe audits worden gedaan vanuit de afdeling control. Deze audits worden uitgevoerd op basis van onder andere de jaarrekening en bijvoorbeeld Artikel 33 van de Wet Politiegegevens bij organisaties met boa’s. Hieronder valt ook een evaluatie van de opzet en de werking van de eerste en de tweede “line of defence”.

De wetgeving vereist dat een organisatie organisatorische en technische maatregelen treft om de privacy van betrokkenen te beschermen en te voldoen aan privacywetgeving, zoals de AVG en de Wpg. Dit moet aantoonbaar zijn en de maatregelen moeten worden geëvalueerd en waar nodig worden aangepast (AVG, Artikel 24, lid 1). Een Privacy managementsysteem (PMS), zoals de Plan-Do-Check-Act-cyclus (PDCA-cyclus), biedt ondersteuning aan de governance binnen een organisatie. Voor de AVG bieden wij ook ondersteuning met ons eigen control framework
 

Organisatie van privacy

Om de governance te ondersteunen en beheersmaatregelen te implementeren, uit te voeren, te borgen en te evalueren is organisatie nodig. Organisatie betreft het proces van de PDCA-cyclus, met daarin risicoanalyses, jaarplannen en rapportages. Maar ook de aansluiting op de P&C-cyclus van de organisatie. Hier komen bepaalde verantwoordelijkheden en rollen bij kijken, zoals:

  • bestuur en management met de verantwoordelijkheid om richting te geven, middelen beschikbaar te stellen en de voortgang te bewaken;
  • de privacy officer die veelal een coördinerende rol heeft;
  • de functionaris gegevensbescherming die een informerende, adviserende en toezichthoudende rol heeft;
  • medewerkers die verantwoordelijk zijn voor de implementatie, uitvoering en borging van specifieke beheersmaatregelen, zoals het bijhouden van het verwerkingsregister, het afsluiten van verwerkersovereenkomsten en informatiebeveiliging;
  • medewerkers met de verantwoordelijkheid om zorgvuldig om te gaan met persoonsgegevens, waaronder zich te houden aan de regels en afspraken binnen de organisatie.
     

Compliance op het gebied van privacy

Compliance betekent het voldoen aan normen en wetgeving, maar ook het verifiëren daarvan. Dat wordt vastgesteld door een interne controle of door een externe audit. In het kader van de controle van de jaarrekening vindt in de regel al een beperkte beoordeling van de beheersing plaats in verband met financiële risico’s. Voor de Wpg zijn jaarlijkse interne audits en vierjaarlijkse externe audits verplicht. 

Meer over compliance van leveranciers en ketenpartners leest u hier.
 

Onze dienstverlening op organisatie, governance en compliance van privacy

Op het gebied van privacybeleid, governance en organisatie heeft BMC ruime ervaring in diverse organisaties in de publieke sector. Met een gedegen aanpak, instrumenten en sjablonen ondersteunen we organisaties bij de inrichting daarvan. Daarbij maken we gebruik van diverse Control frameworks met adequate beheersmaatregelen om te voldoen aan de wetgeving. Voor de AVG gebruiken we een door BMC ontwikkeld framework en voor gemeenten het sjabloon van de Vng. Voor de Wpg gebruiken we het framework van de Norea dat ook bij interne en externe audit gebruikt wordt.

Naast advies en ondersteuning kunt u bij BMC ook terecht voor de werving van medewerkers en inhuur van professionals, zoals privacy officers of een functionaris gegevensbescherming.

Praktijkcases en oplossingen

Toon alles

Adviseurs privacy

Meer weten over organisatie, governance en compliance van privacy? Neem dan contact op met één van onderstaande adviseurs:

Alex Commandeur
senior adviseur, CIPP/E

"Als senior adviseur heb ik ruime ervaring binnen het openbaar bestuur. Mijn brede achtergrond in de publieke sector in verschillende rollen en verantwoordelijkheden maken dat ik mij makkelijk kan verplaatsen in mijn gesprekspartners. Een beetje humor en relativeringsvermogen helpen mij daarbij."

Julius Duijts
managing consultant, CMC CISSP CEH CIPP/E

"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."

Neem contact met ons op

Meer informatie over privacy

Deze expertise valt onder privacy binnen het domein data en dienstverlening. Bekijk ook andere expertises binnen dit domein:

Contact

Uw privacy is belangrijk voor ons. BMC gaat zorgvuldig om met uw persoonsgegevens, zie hierover meer in ons privacy statement