Stap voor stap klaar voor de AVG
Privit8 is het hands-on implementatiemodel van Priviteers. Het model is ontwikkeld om organisaties te ondersteunen bij de invoering van de benodigde maatregelen voor de AVG. Het Privit8 implementatiemodel is gebaseerd op een projectmatige aanpak en bestaat uit acht hoofdstappen en 122 maatregelen.
Je vindt hieronder de maatregelen per stap. Wil je een handige tool om per stap aan te geven in hoeverre je voldoet? Scroll dan even naar beneden en koop de handige Google Sheet of Excel-versie.
Privit 1:
Organiseren data privacy als project, ontwikkelen visie
Als eerste stap bepaal je hoe je dit project start. Wie is projectverantwoordelijke, hoe ziet het projectteam eruit, welke afdelingen worden betrokken? Op hoofdlijnen bepaalt de directie een visie op privacy voor de organisatie, en geeft het projectteam een heldere opdracht.
| Maatregelen | Type maatregel | Gebaseerd op | Ondersteuning Priviteers en partners | |
|---|---|---|---|---|
| 1.1 | Stel een Privacy projectmanager aan die het data privacy beleid gaat implementeren en als aanspreekpunt en adviseur zal fungeren. | Organisatieinrichting | Privit8 best practise | Advies Training Begeleiding Uitbesteding |
| 1.2 | Betrek senior management bij de activiteiten data privacy activiteiten (RvB, directie, executive team). | Bewustwording | Privit8 best practise | In-house sessie Training |
| 1.3 | Definieer welke afdelingen en functies binnen de organisatie een rol krijgen bij de implementatie (IT, operations, marketing, HR, finance, etc). | Onderzoek | Privit8 best practise | Advies Voorbeelden/templates |
| 1.4 | Betrek deze afdelingen en functies bij de ontwikkeling van het data privacy programma en stel de communicatielijnen vast. | Organisatieinrichting | Privit8 best practise | In-house sessie Training |
| 1.5 | Voer een kick-off sessie uit voor de activiteiten rond data privacy. | Bewustwording | Privit8 best practise | Training |
| 1.6 | Leg de visie van de organisatie op data privacy vast. | Visieontwikkeling | Privit8 best practise | Advies Voorbeelden |
| 1.7 | Leg taken en verantwoordelijkheden op gebied van data privacy vast in de betreffende functieprofielen. | Organisatieinrichting | Privit8 best practise | Advies Voorbeelden/templates |
| 1.8 | Indien verplicht: stel een Functionaris gegevensbescherming (FG) aan die overzicht houdt en rechtstreeks aan de directie rapporteert. | Organisatieinrichting | Artikel 37, 38, 39 | Advies Training Begeleiding Uitbesteding |
| 1.9 | Stel een budget vast voor de FG en/of het privacy office, bestemd voor het goed kunnen vervullen van de taken en het in stand houden van deskundigheid. | Organisatieinrichting | Artikel 38 | Advies |
Privit2:
Analyseren processen en applicaties, bepalen scope
In deze stap breng je op hoofdlijnen de processen en applicaties in kaart waarin met persoonsgegevens wordt gewerkt. Voor de applicaties waar grootschalig persoonsgegevens in voorkomen, of die gevoelige data bevatten stel je dataregisters op. Je voert een organisatiescan uit om het huidige bewustzijnsniveau te bepalen en vast te stellen welke processen er zijn waar persoonsgegevens worden gebruikt.
| Maatregelen | Type maatregel | Gebaseerd op | Ondersteuning | |
|---|---|---|---|---|
| 2.1 | Voer een organisatiescan uit om het kennisniveau en aanwezige risico's binnen de organisatie te bepalen. | Analyse | Artikel 24 | Tools Begeleiding Uitbesteding |
| 2.2 | Controleer de implementatie van bestaande wetgeving rond data privacy (met name WBP). | Analyse | Privit8 best practise | Begeleiding Uitbesteding |
| 2.3 | Controleer reeds geimplementeerde standaarden en certificeringen binnen de organisatie op overlap met data privacy. | Analyse | Artikel 40,41,42,43 | Begeleiding Uitbesteding |
| 2.4 | Voer een quickscan uit om te bepalen welke systemen en processen persoonsgegevens verwerken en welke rol de organisatie hierin vervult. Bepaal op basis van risico's voor betrokkenen de prioriteiten voor het vervolg. | Analyse | Privit8 best practise | Tools Begeleiding Uitbesteding |
| 2.5 | Ontwikkel een dataregister waarin is vastgelegd - welke persoonlijke informatie is opgeslagen, en waar - welke rol de organisatie heeft bij de verwerking van persoonsgegevens (verwerker/verantwoordelijke) - welke persoonlijke gegevens zijn opgeslagen op basis van het risicoprofiel (classificering op basis van gevoeligheid, integriteit en vertrouwelijkheid) en welke grondslag hiervoor van toepassing is - een overzicht van de datastromen (tussen systemen, processen en eventueel landen) | Analyse | Artikel 30 | Templates Software (partners) Begeleiding Uitbesteding |
| 2.6 | Bepaal of voor bestaande verwerkingen alsnog een (D)PIA moet worden uitgevoerd en plan deze in. | Analyse | Artikel 35 | Templates Software (partners) Begeleiding Uitbesteding |
| 2.7 | Onderzoek per applicatie hoe kan worden voldaan aan de rechten van betrokkenen (recht op inzage, wijzigen, verwijderen, beperken van verwerking en overdragen van persoonsgegevens). Bepaal of aanpassingen noodzakelijk zijn, en hoe dit doorwerkt in de verwerking door (sub)verwerkers. | Analyse | Artikel 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23 | Advies Begeleiding Uitbesteding |
| 2.8 | Geef aan of in een of meer verwerkingen persoonsgegevens van kinderen (jonger dan 16 jaar) worden verwerkt. In de vervolgstappen komen er in dat geval extra taken bij. | Artikel 8 | ||
| 2.9 | Geef aan of in een of meer verwerkingen persoonsgegevens buiten Europa worden opgeslagen. In de vervolgstappen komen er in dat geval extra taken bij. | Artikel 44, 45, 46, 47, 48, 49, 50 | ||
| 2.10 | Geef aan of de organisatie actief is in de zorgsector. In de vervolgstappen komen er in dat geval extra taken bij. | (Wvpz) Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg | ||
Privit3:
Ontwikkelen data privacy beleid en plan van aanpak
Stel het data privacy beleid vast en verwerk dit in een plan van aanpak. In het data privacy beleid en de richtlijnen staat beschreven hoe de organisatie om wil gaan met privacy voor alle betrokkenen. Alle uit te voeren activiteiten zet je in het plan, waarbij je prioriteert op basis van de risicobepaling uit stap 2.
Maak een Privit8-account aan om meer te zien.
Ben je enthousiast geworden over Privit8 en wil je graag meer zien? Maak dan kosteloos een Privit8 account aan. Je krijgt hiermee niet alleen inzicht in de volledige versie van Privit8 maar ook toegang tot allerlei andere relevante data privacy informatie.
Voor de volledigheid: als je gebruik gaat maken van Privit8 moet je onze privacyverklaring en de gebruiksvoorwaarden accorderen. Lees deze nog even door vóór je een account aanmaakt?
Koop Privit8 als tool
Met een gratis account kun je alle maatregelen bekijken. Er is ook een tool beschikbaar in de vorm van een Google Sheet of Excel-bestand. Hierin kun je meteen je projectplanning doen, heb je een dashboard om je voortgang te bekijken en kun je teamleden taken geven. Erg handig. Ook staat er in deze versie een mapping naar de normen uit ISO27001 en ISO27002. Mocht je ISO-gecertificeerd zijn, dan weet je precies op welke punten je de AVG-aanpassingen moet doorvoeren. En heb je ambities om te gaan certificeren, dan heb je goed houvast om beide projecten te combineren. Het document wordt geleverd als gebruikslicentie voor één organisatie voor € 225 excl. BTW. Een online toelichtingssessie is inbegrepen.
Contact
We werken graag samen met anderen om data privacy verder te verbeteren. Heb je ideeën voor samenwerking? Wil je Privit8 gaan gebruiken of wil je sparren over de inhoud van het framework? Van harte welkom!