24.05.2019

Aantoonbaar de AVG naleven: een PMS verplicht of gewenst?

Auteur: Martijn van der Veen

De AVG stelt hoge eisen aan organisaties. De wet moet aantoonbaar worden nageleefd, maatregelen moeten periodiek geëvalueerd en geactualiseerd worden en een Functionaris voor Gegevensbeheer (FG) dient toe te zien op naleving. Het vraagt om privacybeheer, opgezet als Plan-Do-Check-Act (PDCA)-cyclus en ondersteund door een Privacy Management Systeem (PMS). Een PMS is niet expliciet beschreven. Daarom niet verplicht op grond van de AVG, maar wel sterk gewenst. Bijna iedere organisatie merkt inmiddels dat het haast ondoenlijk is om gestructureerd het beleid te beheersen en te controleren, zonder een goed faciliterende omgeving.

De verantwoordingsplichten van de AVG sluiten aan bij een bredere trend om vanuit een PDCA-cyclus te werken. Een gestructureerde, cyclische benadering van het beheer biedt voordelen, zoals de verhoging van kwaliteit en meer controle over bedrijfsrisico’s. De keerzijde is het risico op administratieve lasten en de toenemende tijd die nodig is voor verantwoordings- en beheerstaken. Organisaties die een PMS inzetten groeien zonder die gevreesde belasting. Een PMS ondersteunt bij het actueel houden van het beleid en procedures en bij het evalueren en uitvoeren van (interne) controles.

PMS niet verplicht, wel gewenst én state-of-the-art

De verwerkingsverantwoordelijke treft maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. De maatregelen moeten worden geëvalueerd en waar nodig geactualiseerd. Tezamen vormen zij ‘een passend gegevensbeschermingsbeleid’. Wat ‘passend’ is, is afhankelijk van zaken als de aard, omvang, de context en het doel van een verwerking. Als het gaat om informatiebeveiliging wordt ook gekeken naar de stand van de techniek. Volgens het laatste rapport van de Duitse TeleTrust en het Europese IB-agentschap Enisa mag inmiddels verwacht worden dat organisaties die veel persoonsgegevens verwerken, een PMS hebben als organisatorische maatregel.

Privacy Management Systeem als organisatorisch maatregel

In het rapport guideline on state of the art uit februari 2019 beschrijft ze wat als ‘de stand van de techniek’ aangemerkt mag worden. Als organisatorische maatregelen noemt het rapport:

  • standaarden en normen; dit gaat in op beheersprocessen zoals de ISO27001 die beschrijft voor informatiebeveiliging;
  • bepaalde processen rondom informatiebeveiliging, ingericht volgens een PDCA-cyclus;
  • audits en certificering. Bij deze laatste noemt rapport een Data Protection Management System (PMS) “an ideal solution” om gericht de effectiviteit van privacy beschermende maatregelen te beheersen en te toetsen.

Een map met documenten als alternatief voor een PMS?

De informatie hoeft niet op één centrale plek te staan. Het PMS is een centraal vertrekpunt voor het privacybeheer: je wilt de informatie vanuit het PMS kunnen benaderen en de onderlinge samenhang moet geborgd zijn. Een mappenstructuur met losse documenten en actielijsten komt niet in de buurt van een PMS. Een goed PMS voldoet aan deze voorwaarden:

  • het PMS is opgezet op basis van een erkende en toetsbare methodiek
  • het ondersteunt een PDCA-cyclus actief en vermindert handmatige handelingen
  • beleid, processen en procedure kunnen met elkaar in samenhang gebracht worden
  • het ondersteunt toezicht op naleving, maar beperkt zich hier niet toe (is dat wel het geval, dan is sprake van een GRC-tool)
    >>> meer hierover in artikel ‘Grip op privacy met PMS’

Het PMS IC Content van SafeHarbour bevat uitgewerkte up-to-date normen op basis van de AVG, UAVG en wordt ondersteund door verschillende raamwerken die (interne) controles en audits mogelijk maken. Het PMS kan specifiek voor jouw organisatie aangepast worden. Alles in één Privacy Management Systeem, dat werkt wel zo fijn.

Versnel jouw implementatie en naleving van de AVG

Wij helpen je graag! Ons Privacy Management Systeem ‘IC Content’ is dé versneller voor de implementatie en naleving van de Algemene Verordening Gegevensbescherming (AVG). Bekijk onze Privacy-management-systeem pagina en maak nu een afspraak voor een vrijblijvende demo. Wij doen u zo snel als mogelijk een vrijblijvende offerte toekomen.

Ook voor andere vragen staan wij graag voor je klaar! Je kunt ons bereiken via telefoonnummer 085 – 30 30 279 of per e-mail naar info@safeharbour.nl

Categorie: Nieuws Wetgeving

Gerelateerde producten

IC Content Privacy

Wbp / AVG