En zo kan ik nog wel even doorgaan. In totaal kan ik je zo’n 50 acroniemen geven die állemaal van toepassing zijn op privacy-gerelateerde werkzaamheden. Wil je controleren of je ze allemaal kent, kijk dan even op www.theprivacywhisperer.com.
In een complex privacy-landschap weet je als privacy officer soms even niet meer waar je moet of kunt beginnen. In dit artikel geef ik je tips over een model dat mij veel inzichten heeft gegeven: de Privacy Operational Life Cycle. Dit model biedt een gestructureerd raamwerk om je privacyproces uit te bouwen en te verbeteren.
De vier stappen in het Privacy Operational Life Cycle model
Stap 1: Stel vast welke data het betreft (Assess)
In deze stap is het belangrijk om een grondige beoordeling uit te voeren van de gegevens die jouw organisatie verzamelt en verwerkt. Identificeer welke persoonsgegevens je verzamelt, waar ze vandaan komen, waar ze worden opgeslagen en met wie ze worden gedeeld. Dit betekent dat je ook risico’s moet evalueren én de beoordeling van de naleving van de geldende privacywetgeving. Een Privacy Impact Assessment is een fijne constructie om deze eerste stap te realiseren. Houd hierbij de richtlijnen van een PIA an en je hebt een stevig fundament in handen voor stap 2.
Stap 2: Neem de juiste maatregelen (Protect)
Het nemen van de nodige maatregelen om de privacy van verzamelde gegevens te beschermen omvat het implementeren van technische maatregelen en processen om ongeoorloofde gegevenstoegang te voorkomen. Denk hierbij aan gegevensversleuteling, toegangscontroles en beveiliging van IT-systemen.
Met Privacy by Design kun je deze tweede stap inrichten. Dit is een proces waarbij je vroegtijdig bepaalt welke gegevens je wilt verzamelen en verwerken. Vervolgens ontwerp je de systemen volgens die vereisten om privacy te waarborgen en de databehoefte te beperken. Privacy by Design kun je vanuit twee invalshoeken benaderen:
Privacy by Design: data-georiënteerd
- Minimaliseer (Minimalise)
- Scheid (Separate)
- Abstraheer (Abstract)
- Verberg (Hide)
Privacy by Design: organisatie-georiënteerd
- Informeer (Inform)
- Geef controle (Control)
- Dwing af (Enforce)
- Toon aan (Demonstrate)
Wil je meer weten over dit onderwerp? Dan kan ik je Het Blauwe Boekje van harte aanbevelen.
| Voorbeeld: Om de privacy van de persoonlijke klantgegevens te beschermen, implementeer je een beveiligde gegevensopslag met versleuteling en sterke toegangscontroles. Je zorgt ervoor dat alleen geautoriseerd personeel toegang heeft tot de klantendatabase en je configureert je firewall dusdanig dat ongeautoriseerde gebruikers geen toegang kunnen krijgen. |
Stap 3: Blijf controleren (Sustain)
Het is belangrijk om voortdurend te controleren of de genomen maatregelen effectief zijn en of de gegevensbescherming wordt gehandhaafd. Dat betekent dat je nauwkeurig aan de slag gaat met de monitoring van gegevensverwerking, het uitvoeren van periodieke beveiligingsaudits en het bijhouden van gegevenslogboeken.
| Voorbeeld: Je voert regelmatig audits uit om ervoor te zorgen dat de beveiligingsmaatregelen nog steeds effectief zijn en voldoen aan de geldende normen. Je controleert de gegevenslogboeken om verdachte activiteiten te detecteren en voorkomen. |
Stap 4: Neem actie indien nodig (Respond)
Is er sprake van een privacy-incident of wijzigingen in de privacywetgeving, moet je snel en adequaat reageren. Kortom, je meldt inbreuken op de gegevensbeveiliging direct aan de relevante autoriteiten en betrokkenen, neemt corrigerende maatregelen en update het privacybeleid en procedures. Weet hoe je moet reageren, en mocht je voorbeelden willen lezen van datalekken, dan adviseer ik je dit artikel.
Op naar sluitende dataprotectie
Met deze vier stappen hoeft een sluitende dataprotectie niet heel ingewikkeld te zijn. Want los van alle argumenten die je kunt opnoemen voor het belang van goede dataprotectie: voorkomen is altijd beter dan genezen.
Deze blog is geschreven door Jasper Rosmulder. Hij is niet alleen Leading Expert & Scrum Master bij GX, maar heeft als Data Protection Officer van GX ook uitgebreide kennis van de Europese privacywetgeving en is gecertificeerd CIPP/E.
