Het kiezen van het juiste privacy compliance programma

Neem bijvoorbeeld de vereisten uit de California Consumer Privacy Act (CCPA), Lei Geral de Proteção de Dados (LGPD) en de aankomende ePrivacy verordening. Daarnaast is er een enorme toename van diverse nieuwe privacy compliance programma’s in de markt, denk bijvoorbeeld aan het privacy control framework van NOREA, het privacy control framework van NIST, de Privacy Baseline van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en ISO/IEC 27701. De uitdagingen waar de meeste privacy professionals voor staan zijn groot, divers en complex.

Lastige keuze

Door de snelle technologische ontwikkelingen en globalisering is de mate waarin persoonsgegevens worden verzameld significant gestegen. Het kiezen van het juiste privacy complianceprogramma is niet altijd eenvoudig. Dit is onder ander afhankelijk van de gegevensverwerking, de omvang en de mate van privacy volwassenheid van de organisatie, de geldende industriestandaarden en grensoverschrijdende privacywetgeving. U kunt moeilijk aan de privacy vereisten voldoen als u niet specifiek weet aan welke vereisten uw organisatie dient te voldoen. De onderstaande (internationale) privacy compliance frameworks kunnen als praktisch hulpmiddel dienen voor het formuleren van kaders en het beleggen van rollen en verantwoordelijkheden voor een zorgvuldige gegevensverwerking.

Privacy Compliance frameworks en best practices:

• NOREA handreiking privacy compliance framework: In augustus 2019 heeft de NOREA, beroepsorganisatie van IT-auditors in Nederland, de Handreiking Privacy Compliance Framework uitgegeven. De handreiking is ontwikkeld om Nederlandse gekwalificeerde IT-auditors handvatten te bieden voor het opstellen van een assurantierapport en bevat voorgeschreven doelstellingen en elementen voor privacy-opdrachten op basis van de NOREA Assurance richtlijn 3000.
• NIST Privacy Framework: In januari 2020 introduceerde de Amerikaanse National Institute of Standards and Technology (NIST) het NIST Privacy Framework 1.0. Het NIST Privacy Framework is geen wet- of regelgeving, maar een hulpmiddel dat (internationaal opererende) organisaties helpt bij het identificeren van de privacyrisico’s die voortvloeien uit hun producten en diensten en het prioriteren van acties om de privacyrisico’s te mitigeren. Met behulp van de tool kunnen organisaties aantonen dat ze voldoen aan geldende privacy wet- en regelgeving, zoals de AVG en de CCPA.
• De CIP Privacy Baseline: In juni 2020 heeft het Centrum voor Informatiebeveiliging en Privacybescherming (CIP), voor en door overheidsorganisaties, de Privacy Baseline ontwikkeld. De Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen uit de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de privacy wet- en regelgeving de rechten en vrijheden van de betrokkenen te waarborgen.
• ISO/IEC 27701: De ISO/IEC 27701 is een uitbreiding op de al bekende ISO-standaarden 27001 en 27002 voor informatiebeveiliging en biedt organisaties handvatten om aan de privacyvereisten te kunnen voldoen.

Het uitvoeren van een Privacy Maturity Assessment

Er bestaat geen ‘one-size- fits-all’ privacy complianceprogramma. Zoals eerder aangegeven dienen privacy professionals bij het ontwikkelen van een privacy complianceprogramma rekening te houden met de bedrijfsactiviteiten, de geldende privacy wet- en regelgeving, soort gegevensverwerking, industriestandaarden en doeleinden waarvoor de persoonsgegevens worden verzameld.

Door middel van het uitvoeren van een Privacy Maturity Assessment kunt u het huidige privacy complianceprogramma evalueren. De uitkomst geeft u:

• Inzicht in de geldende privacywetgeving en (internationale) normen waaraan de organisatie dient te voldoen en andere toepasselijke wetgeving zoals de ePrivacy verordening.
• De mate van privacy volwassenheid binnen uw organisatie, de privacybehoeften en privacyrisico’s.
• Handvatten voor het opstellen van een verbeterplan of het opstellen van vervolgstappen om verantwoording af te leggen en de nalevingsvereisten te verbeteren.
• Inzicht of de huidige aanpak nog steeds aansluit bij de privacydoelstellingen van de organisatie.

Privacy Maturity Assessment

Naleving van de privacyvereisten is voor elke organisatie een belangrijke onderneming.  Naast een groter wordende verantwoordingsplicht hebben organisaties ook te maken met het behouden van het vertrouwen van klanten, zakenpartners en werknemers. Wij kunnen u helpen met het uitvoeren van een Privacy Maturity Assessment, gebaseerd op het gekozen privacy framework, om u meer inzicht te geven in uw huidige privacy complianceprogramma. Dit is een krachtig hulpmiddel bij het beheer, het verbeteren en het opnieuw inrichten van uw privacy complianceprogramma.

Indien u geïnteresseerd bent in ons Privacy Maturity Assessment, neem dan vrijblijvend contact op met Samantha Anroedh, samantha.anroedh@capgemini.com of kijk op onze website.