Met privacy management bedoelen we dat een organisatie verantwoordelijk is voor de naleving van de privacywetgeving. En dat zij hierdoor proactief privacy-beleid dient te voeren op basis van afweging van belangen en risico’s bij de verwerking van persoonsgegevens. Dit dient evenwichtig plaats te vinden. Dat wil zeggen; behoorlijk, zorgvuldig en in overeenstemming met de wet.
Om dat te bereiken zal een managementstructuur aanwezig moeten zijn waarin duidelijk de privacy verantwoordelijkheid belegd is. Denk dan niet alleen aan wie eindverantwoordelijke hierin is. Maar ook aan wie proceseigenaren zijn en wie toezicht houdt. Een proceseigenaar houdt bijvoorbeeld pro-actief toezicht op de privacybestendige organisatie van zijn proces en documenteert keuzes en oplossingen. Toezicht moet geregeld zijn en kan door een externe Functionaris Gegevensbescherming zijn ingevuld.
Privacy Impact Assessments
Zoals aangegeven houdt de proceseigenaar toezicht op de privacybestendige organisatie van zijn proces. Dat speelt met name als de organisatie of de gegevensverwerking veranderen. Het is dan handig om zogenaamde privacy impact assessments (PIA’s) uit te voeren. PIA’s zijn instrumenteel voor het kunnen bepalen van passende beheersmaatregelen. De mate waarin en de manier waarop bedrijfsprocessen en gegevensverwerking aandacht behoeven, hangen samen met de uitkomsten van de PIA (‘het PIA-rapport’).
Voor eenduidig begrip is het handig om een systeem van positieve en negatieve PIA-scores te hanteren. Hoe hoger de PIA-score, hoe robuuster de beheersmaatregelen (privacywaarborgen). Aan de hand van de afgebeelde matrix kunnen bijvoorbeeld de PIA-scores zijn bepaald.
Proceseigenaren documenteren hoe zij op een praktische manier, in passende organisatorische en technische privacybeschermende maatregelen voorzien. Met name om de volgende fouten te voorkomen:
- Illegale gegevensverwerking: gebruik, opslag of uitwisseling van informatie is bij wet verboden.
- Disproportionele gegevensverwerking: gebruik, opslag of uitwisseling van informatie is (a) ontoereikend of juist overmatig of (b) het organisatiebelang bij de gegevensverwerking is onevenredig klein terwijl de impact op personen onevenredig nadelig kan zijn.
- Irrelevante gegevensverwerking: de gebruikte, opslagen of uitgewisselde informatie dient geen bedrijfsdoel, doet niet ter zake of is verouderd.
- Onnauwkeurige gegevensverwerking: de gebruikte, opslagen of uitgewisselde informatie is geen juiste weergave van de werkelijkheid.
- Onveilige gegevensverwerking: de gebruikte, opgeslagen of uitgewisselde informatie dreigt te gemakkelijk toegankelijk te zijn voor onbevoegden, te gemakkelijk manipulatief te zijn of niet beschikbaar te zijn.
- Niet-inachtneming van bijzondere wettelijke voorschriften: bij gebruik, opslag of uitwisseling van informatie worden formele verplichtingen veronachtzaamd.
- Onbewaakte gegevensverwerking: de proceseigenaar verzuimt om te controleren of de privacywaarborgende maatregelen daadwerkelijk zijn geëffectueerd of te evalueren in hoeverre zijn procesplan bijstelling behoeft.
Kunnen wij op het terrein van privacy management iets voor u doen?
Klik hier, stuur een e-mail naar info@denova-online.com of bel naar 06 – 53 65 65 03.