De privacy menukaart van het CIP

| Renco Schoemaker | ,

Op woensdag 22 november vond de najaarsconferentie van het Centrum voor Informatiebeveiliging en Privacy (CIP) plaats in Putten. Ik volgde er o.a. sessie over de Baseline Informatiebeveiliging Overheid (BIO) – waarover later meer – en over de CIP-producten die helpen bij het in control komen en blijven van privacy management. Het bleek dat de ondersteuningsproducten niet allemaal (even) bekend zijn dus daarom vandaag aandacht voor de ‘privacy menukaart van het CIP’.

Privacy Baseline

De privacy baseline van het CIP geeft je organisatie concrete handvatten om persoonsgegevens op een juiste manier te beschermen. De eisen vanuit de Algemene Verordening Gegevensbescherming (AVG) zijn vertaald naar concrete, hanteerbare normen die duidelijk maken wat je als organisatie moet doen om in overeenstemming met de wet de privacy van betrokkenen te waarborgen.

Met deze baseline kan de verwerkingsverantwoordelijke controleren in hoeverre diegene aan de privacy wet- en regelgeving voldoet en afwegingen kan maken bij de zaken die hem nog te doen staan. De privacy baseline vormt daarnaast een solide basis om inzicht te krijgen in de wet- en regelgeving rond privacy en dient als informatief document om privacy vanaf het beginsel in te richten binnen de organisatie.

Download de Privacy Baseline hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Handleiding Privacy by Design

Binnen de Handleiding Privacy by Design (PbD) wordt een concrete aanpak gegeven met betrekking tot de omgang met privacy bij gegevensverwerkingen. Hierbij ligt de nadruk op het inrichten van bedrijfsprocessen die privacy bewerkstelligen binnen de organisatie.

Met de handleiding zet je een proactieve benadering in binnen de organisatie bij o.a. het ontwerp van een technische voorziening voor de verwerking van persoonsgegevens. Zo kun je ervoor zorgen dat privacy in de ontwikkelingsfase al wordt geïmplementeerd binnen de bedrijfsvoering van de organisatie. Hiermee wordt voorkomen dat de organisatie aan het eind van een ontwikkelingsproces maatregelen moet gaan implementeren die eerder in de ontwikkeling makkelijker aangepast of geïmplementeerd hadden kunnen worden.

Download de Handleiding Privacy by Design hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Privacy Self Assessment

Met de Privacy Self Assessment krijg je inzicht in de borging van privacy binnen de organisatie. Aan de hand van duidelijke vragen over o.a. privacybeleid, de organisatorische inbedding en risicomanagement wordt een resultaat opgemaakt over het niveau van borging van privacy binnen de organisatie.

Naast scores wordt bij vele onderdelen ook uitgelegd wat de terminologie precies betekent en er kan worden toegewerkt naar verschillende ambitieniveaus. Zo kan de tool ook worden ingezet om het kennisniveau binnen de organisatie met betrekking tot privacy te verbeteren en gezamenlijk toe te werken naar verbetering..

Door toe te werken naar ambitieniveaus kunnen (kleine) stappen worden genomen die overzichtelijk blijven en daardoor een breder draagvlak hebben binnen de organisatie. Na het invullen van de evaluatie ontvangt de respondent een overzichtelijke lijst van maatregelen en doelstellingen. Maatregelen kunnen zo snel worden ingevoerd en daarnaast blijft het privacy proces overzichtelijk.

Download de Privacy Self Assessment hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Handreiking Borging van Privacy en Volwassenheidsniveau

‘Privacy volwassenheid’ geeft aan hoe volwassen de organisatie is in het (be)sturen en borgen van privacy. Organisaties moeten bij het bepalen van dit volwassenheidsniveau nagaan in welke mate zij correcte omgang met persoonsgegevens geborgd hebben in de organisatie. Dat wordt uitgedrukt in vijf niveaus, waarbij het eerste niveau een organisatie is die situationeel op verwerkingsniveau is ingericht en vijf een organisatie die privacy als een speerpunt op alle niveaus heeft ingezet. De AVG gaat uit van volwassenheidsniveau drie.

Het model kan worden gebruikt om de organisatie steeds volwassener te maken door de niveaus te hanteren.  De theorie die aan de grondslag ligt van de niveaus wordt uitgewerkt en verbindingen naar de wettelijke vereisten worden gelegd voor zowel kleine als grote organisaties.

De verschillende domeinen binnen privacy worden binnen de handreiking toegelicht. Zo worden processen en zaken overzichtelijk en vervolgens ook gelinkt aan de verschillende niveaus binnen het SIVA-model (waarover in latere blogs meer). Inzicht krijgen in het niveau dat de organisatie heeft bereikt, hoe dit niveau kan worden behouden én hoe een organisatie op een volgend niveau terecht kan komen.

Download de Handreiking Borging van Privacy en Volwassenheidsniveau hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Testen met persoonsgegevens buiten productieomgeving

Dit document geeft aan beveiliging gerelateerde richtlijnen voor het gebruik van persoonsgegevens in testsituaties buiten de productieomgeving. Dit is opgezet in lijn met de algemene baselines, normenkaders en best practices en dus met name op basis van de ISO 27xxx norm – de Code voor Informatiebeveiliging – alsook het tactisch normenkader uit de Baseline Informatiebeveiliging Rijksoverheid (BIR), voor zover van toepassing.

Het document is een bewerking van ‘Persoonsgegevens buiten de productieomgeving’ van Marcel Koers en heeft een review ondergaan door verschillende deelnemers uit het CIP netwerk. Zij hebben het testen met persoonsgegevens verder toegelicht en voorzien van verschillende richtlijnen om te kunnen anticiperen en juist te handelen bij het uitvoeren van tests. De principes voor het gebruik van persoonsgegevens in testbestanden zijn ook onderlegd aan een aantal risicoklassen.

Download het document Testen met persoonsgegevens buiten productieomgeving  hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Handreiking Meldplicht Datalekken

Sinds de inwerkingtreding van de meldplicht datalekken zijn publicaties geschreven vanuit verschillende perspectieven, zoals algemeen informatief en gedetailleerd gericht op de afwikkeling van een datalek. De Handreiking Meldplicht Datalekken behandelt deze eerder behandelde aspecten om organisaties bewust te maken van de wetgeving en de gevolgen die daaraan verbonden zijn. Het document dient als een algemeen referentiekader, waarbinnen verwezen is naar publicaties die specifieker ingaan op verschillende deelgebieden binnen de meldplicht.

De belangrijkste implicaties voor organisaties worden behandeld en een aantal mogelijke consequenties van de meldplicht zijn toegelicht. Omdat de meeste documenten die zijn geschreven over de meldplicht datalekken op enige manier verouderd zijn, is besloten om de bruikbare samenvattingen en belangrijkste punten nogmaals op een rijtje te zetten in een bruikbare handreiking met verwijzingen.

Download de Handreiking Meldplicht Datalekken hier van de website van het CIP of hier als onderdeel van een ‘pakketje’ aan CIP documenten uit ons downloadarchief.

Werkzaam bij de overheid? Sluit je aan bij het CIP

Zoals je ziet, het CIP biedt op het gebied van privacy (management) een aantal zeer interessante ondersteuningsproducten. Doe er je voordeel mee. Mocht je nog geen lid van het CIP, dan raad ik je aan dat alsnog spoedig te worden. Ga naar de website of direct naar Pleio. Je vindt daar ook de Privacy vraagbaak en relevante nieuwsberichten. Check ook het complete overzicht van beschikbare producten (per november 2017) via deze link.

Ten overvloede: het CIP biedt ook ondersteuningsproducten op het gebied van informatiebeveiliging.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO's van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.

Stappenplan voor het kiezen van een ISMS-pakket

Als je een ISMS-pakket wilt aanschaffen, waar moet je dan op letten? In deze blog leg ik de focus niet op het proces zelf, maar op het selecteren van het ISMS-pakket (software) om het proces te ondersteunen.

Informatiebeveiliging bezien vanuit de rekenkamercommissie

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Dat gaat je (n)iets aan

IB&P is een adviesbureau op het gebied van informatiebeveiliging en privacy. We richten ons primair op de (lokale) overheid. We adviseren en ondersteunen bij het implementeren én blijvend voldoen aan o.a. de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG).