NOREA publiceert nieuw privacy control framework

NOREA, de beroepsorganisatie van IT-auditors, heeft een nieuwe versie van het Privacy Control Framework (PCF) gepubliceerd. De eerste uitgave van het PCF werd vlak vóór de inwerkingtreding van de AVG in mei 2018 gepubliceerd. Op basis van praktijkervaringen van gebruikers en recente ontwikkelingen in privacy verschijnt er vandaag een nieuwe versie.

Dezelfde kern en doelstelling

“In de kern en doelstelling verandert het PCF niet. Nog steeds is het erop gericht IT-auditors (en andere professionals) te ondersteunen bij het beoordelen van privacybeheersing tegen de achtergrond van de AVG als wettelijk kader. Het PCF is opgebouwd uit een verzameling beheersingsdoelstellingen met daarop afgestemde beheersingsmaatregelen, die in samenhang een toetsingskader zijn voor de verwerking van persoonsgegevens”, aldus NOREA.

De formulering van de beheersingsmaatregelen is volgens de organisatie op veel plaatsen opgepoetst en aangescherpt, en hun aantal is teruggebracht van 104 naar 95; niet omdat er overbodige zaken in stonden, maar door een logischere formulering en combinatie van controls. Nieuw is dat PCF 2.0 per maatregel aangeeft of die van toepassing is op  een verwerkingsverantwoordelijke, een verwerker, of op beide. In vergelijking met de eerste versie geeft versie 2 uitgebreider en duidelijker aan hoe de beheersingsdoelstellingen en maatregelen van het PCF gebruikt kunnen worden in assurance opdrachten (volgens Richtlijn 3000 en SOC 2®) en bij het verkrijgen van het Privacy Audit Proof® keurmerk.

ISO-standaarden

In een nieuwe bijlage wordt ingegaan op de relatie van het PCF met ISO-standaarden op het gebied van informatiebeveiliging en privacy (27001, 27002, 29100 en de nieuwe 27701). Tenslotte komt – op veler verzoek – PCF 2.0 naast de Engelstalige ook in een Nederlandstalige versie beschikbaar.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Help! Een dataclassificatie, DPIA en een BIA?!
Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA en BIA. Maar wat is de onderlinge samenhang en hoe kan je profijt hebben als je een van deze onderdelen al gedaan hebt?
Verantwoordelijkheden van de proceseigenaar binnen de BIO
Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in
De rol van de OR bij privacy op de werkvloer
De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Meer recente berichten

Overheid werkt aan databescherming tegen kwantumgeweld
Verder lezen
Facebook aangeklaagd voor volgen van iPhone gebruikers
Verder lezen
Patiente krijgt 2000 euro omdat secretaresse ziekenhuis haar dossier bekeek
Verder lezen
De werking van de CLOUD Act bij dataopslag in Europa
Verder lezen
Begroting 23: Gegevensuitwisseling in de zorg speerpunt voor VWS
Verder lezen
Privacylaksheid Big Tech is kans voor Europa
Verder lezen
GroenLinks kritisch op cameratoezicht parkeergarage Dronten
Verder lezen
Politie gebruikt niet goedgekeurde commerciele hacksoftware
Verder lezen
IT professionals voorstander van verplichte basisbeveiliging
Verder lezen
Privacyfunctionarissen pessimistischer over gedragsverandering
Verder lezen