Framework Privit8

Data privacy regel je met Privit8

het hands-on implementatiemodel voor organisaties

Stap voor stap klaar voor de AVG

Privit8 is het hands-on implementatiemodel van Priviteers. Het model is ontwikkeld om organisaties te ondersteunen bij de invoering van de benodigde maatregelen voor de AVG. Het Privit8 implementatiemodel is gebaseerd op een projectmatige aanpak en bestaat uit acht hoofdstappen en 122 maatregelen.

Je vindt hieronder de maatregelen per stap. Wil je een handige tool om per stap aan te geven in hoeverre je voldoet? Scroll dan even naar beneden en koop de handige Google Sheet of Excel-versie.

Privit 1:
Organiseren data privacy als project, ontwikkelen visie

Als eerste stap bepaal je hoe je dit project start. Wie is projectverantwoordelijke, hoe ziet het projectteam eruit, welke afdelingen worden betrokken? Op hoofdlijnen bepaalt de directie een visie op privacy voor de organisatie, en geeft het projectteam een heldere opdracht.

MaatregelenType maatregelGebaseerd opOndersteuning Priviteers en partners
1.1Stel een Privacy projectmanager aan die het data privacy beleid gaat implementeren en als aanspreekpunt en adviseur zal fungeren.OrganisatieinrichtingPrivit8 best practiseAdvies
Training
Begeleiding
Uitbesteding
1.2Betrek senior management bij de activiteiten data privacy activiteiten (RvB, directie, executive team).BewustwordingPrivit8 best practiseIn-house sessie
Training
1.3Definieer welke afdelingen en functies binnen de organisatie een rol krijgen bij de implementatie (IT, operations, marketing, HR, finance, etc).OnderzoekPrivit8 best practiseAdvies
Voorbeelden/templates
1.4Betrek deze afdelingen en functies bij de ontwikkeling van het data privacy programma en stel de communicatielijnen vast.OrganisatieinrichtingPrivit8 best practiseIn-house sessie
Training
1.5Voer een kick-off sessie uit voor de activiteiten rond data privacy.BewustwordingPrivit8 best practiseTraining
1.6Leg de visie van de organisatie op data privacy vast.VisieontwikkelingPrivit8 best practiseAdvies
Voorbeelden
1.7Leg taken en verantwoordelijkheden op gebied van data privacy vast in de betreffende functieprofielen.OrganisatieinrichtingPrivit8 best practiseAdvies
Voorbeelden/templates
1.8Indien verplicht: stel een Functionaris gegevensbescherming (FG) aan die overzicht houdt en rechtstreeks aan de directie rapporteert.OrganisatieinrichtingArtikel 37, 38, 39Advies
Training
Begeleiding
Uitbesteding
1.9Stel een budget vast voor de FG en/of het privacy office, bestemd voor het goed kunnen vervullen van de taken en het in stand houden van deskundigheid.OrganisatieinrichtingArtikel 38Advies

Privit2:
Analyseren processen en applicaties, bepalen scope

In deze stap breng je op hoofdlijnen de processen en applicaties in kaart waarin met persoonsgegevens wordt gewerkt. Voor de applicaties waar grootschalig persoonsgegevens in voorkomen, of die gevoelige data bevatten stel je dataregisters op. Je voert een organisatiescan uit om het huidige bewustzijnsniveau te bepalen en vast te stellen welke processen er zijn waar persoonsgegevens worden gebruikt.

MaatregelenType maatregelGebaseerd opOndersteuning
2.1Voer een organisatiescan uit om het kennisniveau en aanwezige risico's binnen de organisatie te bepalen.AnalyseArtikel 24Tools
Begeleiding
Uitbesteding
2.2Controleer de implementatie van bestaande wetgeving rond data privacy (met name WBP).AnalysePrivit8 best practiseBegeleiding
Uitbesteding
2.3Controleer reeds geimplementeerde standaarden en certificeringen binnen de organisatie op overlap met data privacy.AnalyseArtikel 40,41,42,43Begeleiding
Uitbesteding
2.4Voer een quickscan uit om te bepalen welke systemen en processen persoonsgegevens verwerken en welke rol de organisatie hierin vervult. Bepaal op basis van risico's voor betrokkenen de prioriteiten voor het vervolg.AnalysePrivit8 best practiseTools
Begeleiding
Uitbesteding
2.5Ontwikkel een dataregister waarin is vastgelegd
- welke persoonlijke informatie is opgeslagen, en waar
- welke rol de organisatie heeft bij de verwerking van persoonsgegevens (verwerker/verantwoordelijke)
- welke persoonlijke gegevens zijn opgeslagen op basis van het risicoprofiel (classificering op basis van gevoeligheid, integriteit en vertrouwelijkheid) en welke grondslag hiervoor van toepassing is
- een overzicht van de datastromen (tussen systemen, processen en eventueel landen)
AnalyseArtikel 30Templates
Software (partners)
Begeleiding
Uitbesteding
2.6Bepaal of voor bestaande verwerkingen alsnog een (D)PIA moet worden uitgevoerd en plan deze in.AnalyseArtikel 35Templates
Software (partners)
Begeleiding
Uitbesteding
2.7Onderzoek per applicatie hoe kan worden voldaan aan de rechten van betrokkenen (recht op inzage, wijzigen, verwijderen, beperken van verwerking en overdragen van persoonsgegevens). Bepaal of aanpassingen noodzakelijk zijn, en hoe dit doorwerkt in de verwerking door (sub)verwerkers.AnalyseArtikel 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23Advies
Begeleiding
Uitbesteding
2.8Geef aan of in een of meer verwerkingen persoonsgegevens van kinderen (jonger dan 16 jaar) worden verwerkt. In de vervolgstappen komen er in dat geval extra taken bij.Artikel 8
2.9Geef aan of in een of meer verwerkingen persoonsgegevens buiten Europa worden opgeslagen. In de vervolgstappen komen er in dat geval extra taken bij.Artikel 44, 45, 46, 47, 48, 49, 50
2.10Geef aan of de organisatie actief is in de zorgsector. In de vervolgstappen komen er in dat geval extra taken bij.(Wvpz) Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

Privit3:
Ontwikkelen data privacy beleid en plan van aanpak

Stel het data privacy beleid vast en verwerk dit in een plan van aanpak. In het data privacy beleid en de richtlijnen staat beschreven hoe de organisatie om wil gaan met privacy voor alle betrokkenen. Alle uit te voeren activiteiten zet je in het plan, waarbij je prioriteert op basis van de risicobepaling uit stap 2.

Maak een Privit8-account aan om meer te zien.

Ben je enthousiast geworden over Privit8 en wil je graag meer zien? Maak dan kosteloos een Privit8 account aan. Je krijgt hiermee niet alleen inzicht in de volledige versie van Privit8 maar ook toegang tot allerlei andere relevante data privacy informatie. 

Voor de volledigheid: als je gebruik gaat maken van Privit8 moet je onze privacyverklaring en de gebruiksvoorwaarden accorderen. Lees deze nog even door vóór je een account aanmaakt?

 

Koop Privit8 als tool

Met een gratis account kun je alle maatregelen bekijken. Er is ook een tool beschikbaar in de vorm van een Google Sheet of Excel-bestand. Hierin kun je meteen je projectplanning doen, heb je een dashboard om je voortgang te bekijken en kun je teamleden taken geven. Erg handig. Ook staat er in deze versie een mapping naar de normen uit ISO27001 en ISO27002. Mocht je ISO-gecertificeerd zijn, dan weet je precies op welke punten je de AVG-aanpassingen moet doorvoeren. En heb je ambities om te gaan certificeren, dan heb je goed houvast om beide projecten te combineren. Het document wordt geleverd als gebruikslicentie voor één organisatie voor € 225 excl. BTW. Een online toelichtingssessie is inbegrepen.

Contact

We werken graag samen met anderen om data privacy verder te verbeteren. Heb je ideeën voor samenwerking? Wil je Privit8 gaan gebruiken of wil je sparren over de inhoud van het framework? Van harte welkom!

Omhoog