Nog een privacy control framework om de AVG te borgen?

Op 5 november 2018 organiseerde ISACA een ronde tafel over Privacy Control Frameworks . Tijdens deze drukbezochte avond werd aandacht besteed aan de historie van Privacy Control Frameworks in Nederland en de do’s en dont’s bij de toepassing van dergelijke frameworks. Maar wat is het nut en noodzaak van zo’n framework en welke verschillende frameworks zijn er? En is er behoefte aan een framework speciaal voor gemeenten?

Nut en noodzaak

Alle recente ontwikkelingen op privacyvlak de afgelopen jaren vragen om meer dan alleen een betere bescherming van persoonsgegevens die elke dag verwerkt en verzameld worden door gemeenten. Het is niet enkel een optelsom van juridische en beveiligingstechnische maatregelen. Elke organisatie die persoonsgegevens verwerkt dient aantoonbaar te voldoen aan de AVG en andere relevante wet- en regelgeving. Dus met alleen ‘implementatie AVG’ ben je er niet.

Voldoen aan de AVG betekent niet: eenmalig een checklist doorlopen (implementatie), alle vinkjes zetten en klaar. Het is een continu proces waar je als organisatie aan moet blijven werken. Elke dag brengt nieuwe uitdagingen, projecten, processen et cetera. Het vraagt om structurele borging en moet onderdeel worden van (bestaande) processen. Daarnaast moeten zaken gemonitord worden en moet je kunnen aantonen dat je volgens de AVG werkt. Dat lukt natuurlijk niet binnen de scope van een project.

Cyclisch bekijken of je het als gemeente (nog steeds) goed doet is een noodzaak. En dit is een niet te onderschatten opgave! ‘In control komen’ middels borging is namelijk niet zo gemakkelijk en vanzelfsprekend als het klinkt. Want hoe word je de baas over al die privacyrisico’s?

Een praktisch hulpmiddel

Een Privacy Control Framework (PCF) kan hierbij dienen als praktisch hulpmiddel. Je voorkomt zo dat er teveel vanuit alleen juridisch of technisch oogpunt naar privacy wordt gekeken. En dit kan helpen bij het beleggen van de verantwoordelijkheden voor privacy binnen de organisatie. Privacy is immers meer dan óf een compliance-, óf een organisatorisch, juridisch óf IT, vraagstuk. Privacy dient breed te worden belegd binnen de gemeente.

Een PCF geeft een overzicht van de technische en organisatorische maatregelen die genomen moeten worden en kan op die manier doorlopen worden. Zo ontstaat er een beeld van wat de gemeente al gedaan heeft en wat er nog ingeregeld moet worden om aantoonbaar aan de AVG te voldoen. Op die manier wordt privacy onderdeel van de planning- en control (P&C)-cyclus. Zo krijgt de gemeente inzichtelijk welke doelstellingen met betrekking tot privacy zijn behaald en welke maatregelen nog genomen moeten worden.

Tot slot dient het ook als audit- of certificeringscriteria en is daarmee een goed startpunt voor een audit. Het geeft een goede, feitelijke weergave van in hoeverre je gemeente voldoet aan de eisen vanuit de AVG en of de benodigde maatregelen geïmplementeerd zijn.

Drie smaken

  • Het NOREA Privacy Control Framework – Het primaire doel van het PCF van NOREA is het bieden van een handreiking aan (audit) professionals bij het beoordelen of de controledoelstellingen van een organisatie met betrekking tot privacy en bescherming van persoonsgegevens worden bereikt. Het PCF bevat de voorgeschreven doelstellingen en elementen voor privacy-opdrachten op basis van de NOREA Assurance richtlijn 3000.
  • De Privacy Baseline van het CIP – Het primaire doel van de Privacy Baseline van het CIP is het vertalen van AVG eisen naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen. De baseline van het CIP volgt hierbij de SIVA methodiek en is daarmee ook geschikt als auditcriteria. Daarnaast biedt het CIP interessante ondersteuningsproducten op het gebied van privacymanagement (zie blog ‘De privacy menukaart van het CIP’).
  • Het Privacy Control Framework van VNG – ook wel ‘Criteria borging AVG’ genoemd. Het primaire doel van deze VNG borgingscriteria is om gemeenten concrete handvatten te bieden om een goede omgang met persoonsgegevens in de gehele organisatie te waarborgen. VNG Realisatie heeft daarom criteria ontwikkeld om de AVG te vertalen naar een kwaliteitscyclus voor gegevensbescherming en privacy, specifiek voor gemeentelijke processen. Deze criteria zijn ook in Excel formaat te downloaden vanaf de VNG Realisatie website.

In het tweede deel van deze blog wil ik verder ingaan op het laatste framework: dat van VNG Realisatie. Wat is de toegevoegde waarde van dit framework voor gemeenten t.o.v. het NOREA PCF of de Privacy Baseline van het CIP? Is hier wel behoefte aan onder gemeenten? Ik denk het wel en leg graag uit waarom.

Toegevoegde waarde framework VNG

Als je kijkt naar de andere bovengenoemde frameworks en hun doelgroep zie je dat NOREA (logischerwijs) met name IT auditors als doelgroep heeft. Hierdoor gaat het veel meer over het verkrijgen van assurance. De Privacy Baseline volgt de SIVA-schrijfstijl voor audit-referentiekaders en is daarmee dus ook vooral ingestoken vanuit compliance en assurance. Met als resultaat dat deze beide normenkaders voor menig
privacy officer minder toegankelijk en toepasbaar zijn. De privacy officer is doorgaans geen auditor en combineert deze rol veelal nog met andere rollen.

Het ‘borgingsproduct’ van de VNG biedt daarentegen een veel pragmatischere aanpak. Of zoals VNG zelf zegt:

“We hebben criteria ontwikkeld om de AVG te vertalen naar een kwaliteitscyclus voor gegevensbescherming en privacy voor gemeentelijke processen. Hiermee beoogt VNG Realisatie gemeenten concrete handvatten te bieden om een goede omgang met persoonsgegevens in de gehele organisatie te waarborgen.”

In plaats van vooral gericht op compliance en assurance, is het ook gericht op de implementatie en het beheer (inbedden) van maatregelen. Dit geeft privacy officers binnen gemeenten een concreet handelingsperspectief. Het is in ieder geval meer ‘actionable’ dan de andere PCF’s en beter passend bij het privacy volwassenheidsniveau van veel gemeenten.

Om gemeenten te helpen privacy goed te waarborgen, ontwikkelde de VNG jaren geleden al een raamwerk dat gericht was op vijf gebieden die met elkaar samenhangen: governance, beleid, werkprocessen en triage, bewustwording en training, en beheer en opslag. Dit was vooral bedoeld als randvoorwaarden om privacy in het sociaal domein goed te regelen. Het nieuwe framework is een welkome verbetering hierop.

Zeven onderdelen

De VNG borgingscriteria zijn opgesplitst in 7 onderdelen, welke gezamenlijk alle aspecten van gegevensbescherming dekken, van implementeren naar beheren, te weten:

  • Beleid
  • Processen
  • Organisatorische inbedding
  • Rechten van betrokkenen
  • Samenwerking
  • Beveiliging
  • Verantwoording

Het framework hanteert geen volgorde in het doorlopen van deze onderdelen. Elke gemeente kan een ander vertrekpunt hanteren. Wel geldt dat bepaalde onderdelen alleen geborgd kunnen worden indien ook aan andere criteria wordt voldaan. Er is dus samenhang tussen de diverse criteria. Indien de gemeente alle onderdelen heeft doorlopen volgt daarna vanzelf de stap naar het toetsen van de maatregelen. En op dat moment komt het PCF van NOREA goed van pas. En ben je als privacyfunctionaris al wat meer thuis in de materie? Dan kan je ook (direct al) de Privacy Baseline van het CIP gebruiken.

Je ziet, er is in het landschap van privacy voor ieder wat wils en ik hoop je met deze blog wat overzicht te hebben gegeven. Heb je na het lezen van deze blog een specifieke vraag over een privacy framework? Ik hoor graag van je.

Tips om je voor te bereiden op een audit
Als CISO of FG draagvlak creëren binnen je organisatie, hoe doe je dat?

Copyright © 2014 - 2019 IB&P B.V.
Onze algemene voorwaarden & privacyverklaring. Ook handig: de sitemap