Hoe houd je privacy bij in Normity?

Privacy bijhouden in Normity begint met het kiezen van een privacy-normenkader — het Privacy Control Framework, AVG Basis of het AVG Borgingsproduct. Vervolgens werk je met drie specifieke privacy-modules: verwerkingen, verzoeken en verwerkers. Documenten, incidenten en leveranciers regel je gewoon binnen de bestaande modules in Normity.

Marcel van Langen
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Privacy goed bijhouden hoort tegenwoordig gewoon bij het runnen van een organisatie. Maar waar begin je? En hoe zorg je ervoor dat je niet in iedere hoek een apart systeem moet gebruiken? Gelukkig kun je privacy prima in Normity beheren - op precies dezelfde plek waar je ook je andere kwaliteits- en compliance-werk doet. In dit artikel laten we je zien welke stappen je zet en welke modules daarbij specifiek voor privacy zijn gemaakt. Handig als je al in Normity werkt, maar overweegt om ook jouw privacy verplichtingen in Normity te gaan bijhouden. Of als je nog niet in Normity werkt, maar wel een overzichtelijk systeem zoekt om privacy op de rit te krijgen.

Stap 1: kies een privacy normenkader

Privacy begint over het algemeen bij een normenkader. Een mooi startpunt om ervoor te zorgen dat je gestructureerd te werk gaat en alle relevante onderwerpen behandelt. In Normity heb je verschillende opties om uit te kiezen, afhankelijk van wat jouw organisatie nodig heeft. Op dit moment ondersteunt Normity de volgende 3 privacy normenkaders.

  • AVG Basis - Een meer compacte invulling die je direct op weg helpt met de belangrijkste verplichtingen uit de Algemene Verordening Gegevensbescherming. Ideaal voor organisaties die vooral 'in control' willen zijn zonder meteen de zwaarste variant te kiezen.
  • Privacy Control Framework (PCF) - Een uitgebreid kader met concrete beheersmaatregelen voor organisaties die privacy volwassen willen neerzetten. Handig als je audits verwacht of wilt aantonen dat je structureel aan privacy werkt.
  • AVG Borgingsproduct - Een uitgebreid AVG normenkader ontwikkeld vanuit de IBD. Zeer compleet, behoorlijk omvangrijk, ideaal voor organisaties die echt vol inzetten op beheersing van hun privacy vraagstukken.

Weet je niet welk kader het beste past? Vraag het ons gerust. We denken graag mee over wat voor jouw organisatie passend is. En wat ook over een paar jaar nog steeds bij jouw organisatie past. En wil je meer weten over de normenkaders die Normity ondersteunt? Kijk dan ook even op ons overzicht met ondersteunde normenkaders. Het zijn er heel wat!

Stap 2: blijven doen wat je al doet

Een fijne gedachte: heel veel van wat je nodig hebt voor privacy, doe je al gewoon in Normity. Dat bespaart niet alleen tijd, maar vooral dubbel werk én inconsistenties tussen systemen. Natuurlijk zijn er wat bijzonderheden (daar komen we zo op), maar in grote lijnen is het dezelfde aanpak voor een ander onderwerp. Je registreert, beheert en rapporteert gewoon in dezelfde modules als je gewend bent. En dat is fijn, want zo houd je het overzichtelijk en werk je efficiĆ«nt.Denk bijvoorbeeld aan:

  • Documenten - Je privacybeleid, verwerkersovereenkomsten, retentiebeleid, het staat allemaal gewoon in de documentmodule. Met versiebeheer, eigenaarschap, planning en koppelingen naar normelementen en andere items in jouw Normity omgeving.
  • Incidenten - Een datalek is erg vervelend, maar operationeel niet anders dan een specifiek type incident. Je registreert het dus met een eigen type en wat specifieke velden gewoon op dezelfde plek als andere incidenten, met alle functionaliteit rond afhandeling en opvolging.
  • Leveranciers - Uiteindelijk zijn jouw verwerkers gewoon leveranciers. En zo behandelen we ze ook in Normity. Je kunt bij een leverancier opgeven of de leverancier een verwerker is. Zo ja, dan biedt Normity automatisch extra velden aan, zoals de naam van de Functionaris Gegevensbescherming (om maar even een voorbeeld te noemen).

Je voelt het al: gaat het om een verwerkersovereenkomst van een leverancier, dan is dat gewoon een document die je aan een leverancier koppelt. Zoals je daarvoor ook al deed. Kortom: de basis is er al. Je hoeft dus niet opnieuw te beginnen om privacy netjes op de rit te krijgen.

Stap 3: drie modules die je specifiek voor privacy inzet

Toch zijn er een aantal dingen die écht specifiek zijn voor privacy. Dingen die je niet zomaar in een generiek kwaliteitssysteem onderbrengt. Daarom heeft Normity drie aparte modules die speciaal voor privacy zijn gemaakt.

Module 1: Verwerkingen (het verwerkingsregister)

Iedere organisatie die persoonsgegevens verwerkt, moet bijhouden wát er verwerkt wordt, wáárom en op basis van welke grondslag. Dat doe je in het verwerkingsregister. In Normity kun je - als je wilt - meerdere verwerkingsregisters starten (ook eentje speciaal voor de Wpg!) en leg je vervolgens per verwerking vast welke soorten gegevens je verwerkt, voor welke doeleinden, met welke grondslag, hoelang je ze bewaart, wie er verantwoordelijk is etc. Weg met die onoverzichtelijke Excelbestanden die nergens aan gekoppeld zijn!

Je kunt verwerkingen dan ook meteen koppelen aan leveranciers (als verwerker), aan documenten (zoals de informatieplicht), aan afdelingen, processen, applicaties en nog veel meer. Zo ontstaat een levend register dat je bij een audit of een toezichthouder zo kunt overleggen. En het mooie is: Normity helpt jou om jouw register actueel te houden!

Normity - Verwerkingsregister overzicht

Module 2: Verwerkers

De verwerkersmodule is de plek waar je bijhoudt welke externe partijen namens jouw organisatie persoonsgegevens verwerken. Denk aan je salarisadministratiekantoor, je cloudleverancier, of de partij die jouw nieuwsbrieven verstuurt. Zoals we hierboven al aangaven: een verwerker is in Normity eigenlijk gewoon een leverancier met een extra vinkje. En daardoor wat extra velden. Niets meer, niets minder.

Per verwerker leg je vast welke verwerkersovereenkomst je hebt, welke gegevens worden verwerkt en welke waarborgen zijn afgesproken. Je koppelt ze aan de betreffende verwerkingen in je register, en je hebt direct inzichtelijk wie waarmee bezig is namens jou. Alles wat handig is om te koppelen heb je zo direct bij elkaar.

Normity - Verwerker detail

Module 3: Verzoeken (van betrokkenen)

Als betrokkene heb je onder de AVG allerlei rechten: inzage, correctie, verwijdering, beperking, bezwaar en dataportabiliteit. En vroeg of laat krijg jij daar als organisatie een verzoek voor. De verzoekenmodule helpt je deze verzoeken gestructureerd af te handelen: wie doet het verzoek, waar gaat het over, welke stappen zet je en wanneer heb je het afgerond.

Doordat alles netjes wordt vastgelegd kun je óók aantonen dat je binnen de wettelijke termijn reageert. Dan wil jij graag, maar ook de toezichthouders. En mocht er een verzoek zijn dat niet binnen de wettelijke termijn kan worden afgehandeld, dan heb je in ieder geval een goede onderbouwing en een duidelijk overzicht van wat er nog moet gebeuren.

Gewoon beginnen

Privacy bijhouden hoeft geen enorme berg werk te zijn. Kies een kader dat bij je organisatie past, gebruik de basis-modules die je toch al hebt en zet de privacy-specifieke modules in waar het nodig is.

Wil je weten welk kader het beste past bij jouw organisatie, of hoe je het meest efficiƫnt start? Neem gerust contact met ons op. We komen graag even langs of plannen een demo in. Vrijblijvend, uiteraard.

privacy AVG GDPR persoonsgegevens privacy control framework PCF borgingsproduct verwerkingsregister verwerkingen verzoeken verwerkers verwerkersovereenkomst datalek incidenten betrokkenen inzage dataportabiliteit grondslag doelbinding bewaartermijn compliance normenkader Normity
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management