Privacy – bescherming persoonsgegevens

In April 2016 is de Europese algemene verordening gegevensbescherming (AVG) door het Europese parlement goedgekeurd. Hiermee is deze verordening vanaf eind Mei 2016 van kracht. En na een periode van twee jaar per 25 mei 2018 ook van toepassing.

Alle organisaties hebben tot deze datum om aantoonbaar “in control” te komen. Veel organisaties hebben verzamelingen van persoonsgegevens waar de nieuwe regelgeving op van toepassing is. Deze verzamelingen kunnen, mits goed geregeld, een waardevolle asset zijn binnen de bedrijfsvoering. Het verzamelen en verwerken van persoonsgegevens brengt een grote verantwoordelijkheid met zich mee. Hiernaast bestaat er een grote ‘liability” als de omgang met deze gegevens niet goed geregeld is. In de AVG is de boete significant hoger dan in de huidige Wet Bescherming persoonsgegevens. Hiernaast is er een hoge publieke druk om in de praktijk ook een goed om te gaan met de bescherming van persoonsgegevens.

inspearit biedt, door de unieke combinatie van gecertificeerde Privacy Professionals (CIPP/E CIPM), zeer uitgebreide kennis van informatiebeveiliging bij onze gecertifieerde securityprofessionals (CISSP, SSCP, CCSP en CISM) en geregistreerde IT auditors (RE en CISA) verwerkingen de unieke mogelijkheid om in elke fase van door de regelgeving afgedwongen “continue verbetering” u te helpen met de juiste inrichting en borging van het privacy (dataprotectie) proces.

Wij helpen met vragen als “Wat is een persoonsgegeven”, “waar moet ik aan voldoen”, “hoe borg ik de juiste maatregelen”,  “hoe maak ik mijn compliancy aantoonbaar”?

Just enough security, smart with Privacy

Hoewel informatiebeveiliging en privacy vaak bij elkaar genoemd worden, zijn het verschillende aandachtsgebieden, met een verschillende aanpak. Het hebben van optimale securitymaatregelen geeft niet direct ook een goede borging van de juiste omgang met Privacy. Er kan echter geen juiste omgang met persoonsgegevens zijn, zonder een aantal basale generieke IT controles op orde te hebben. Het speelveld van security wordt hiernaast steeds complexer, met ontwikkelingen als Mobile Devices, Cloud, Big Data, Internet of Things. Problemen komen mede door de meldplicht datalekken meer en uitgebreider in het nieuws. En al deze ontwikkelingen raken ook het gebied van Privacy management. De risico’s worden dynamischer. Dat vraagt om een nieuwe aansluiting van het security én privacy beleid.

inspearit hanteert het principe van ‘Just Enough Security, smart with Privacy’. Door Security en Privacy als business enablers te zien, en organisaties te helpen met het inrichten van een maatschappelijke verantwoordelijke omgang met informatie, kunnen wij de optimale mix van maatregelen en processen inrichten die beschermt waar nodig. Door de combinatie van inrichten van het proces, generieke IT controles en specifieke securitymaatregelen helpt dit niet alleen met de juiste Dataprotectie, maar ook met het verhogen van de informatiebeveiliging. Deze maatregelen zullen niet altijd een incident kunnen voorkomen, maar vormen in een ideale mix wel de basis om negatieve gevolgen beperkt kunnen worden.

Inspearit heeft door een combinatie van privacydeskundigheid,  informatiebeveiligingskennis en auditvaardigheden de ideale mix aan boord om in elke fase, en op elk aandachtsgebied binnen privacybescherming en security u van het optimale advies te voorzien.

We bouwen aan vertrouwen binnen een organisatie en bij haar klanten: bij medewerkers dat er geen over-de-top maatregelen worden genomen die te weinig effect hebben, bij managers dat er alleen gevraagd wordt wat echt nodig is waardoor de kosten binnen de perken blijven. En voor klanten dat hun gegevens veilig zijn. Daarmee wordt op alle niveaus draagvlak gecreëerd. Hiermee stuurt een organisatie op basis van vertrouwen: het vertrouwen dat er een adequaat werkend vangnet is, dat de verwerkte gegevens proportioneel zijn,  en dat rampen voorkomt maar bewegingsvrijheid laat. Ons motto is dan ook “Sturen op vertrouwen – Bouwen aan vertrouwen”.

Een breed aanbod

inspearit adviseert en begeleidt organisaties bij het inrichten en verbeteren van hun privacy management of informatiebeveiligingsproces. Of we het nu hebben over een strategisch advies over de proportionaliteit en subsidiariteit van de verwerkingen van persoonsgegevens, het inrichten van een goede verwerking gedurende de hele lifecycle, het inrichten van informatiebeveiliging, het uitvoeren van een risico-analyse, het inventariseren van persoonsgegevensverwerkingen, het uitvoeren van een Gegevensbeschermingseffectbeoordeling (in goed Nederlands ook wel een PIA), het tijdelijk invullen van een rol als Dataprotectie officer/privacy officer, (Chief) information Security Officer of het coachen van een (C)ISO of DPO: inspearit levert ondersteuning op (bijna) alle terreinen van privacy management en informatiebeveiliging. Daarbij leveren wij advies over hoe om te gaan met Privacy en hiervoor het juiste beleid en een praktische inrichting te kiezen.

Onze diensten:

Gegevensverwerkingen inventarisatie – door een gedegen kennis van informatieverwerking en businessprocessen kunnen wij u helpen om het juiste en volledige overzicht van persoonsgegevensverwerkingen te verkrijgen.

Uitvoeren gegevensbeschermingseffectbeoordeling (PIA) – Een analyse van een gegevensverwerking. Voor risicovolle verwerkingen verplicht.

Uitvoeren Privacy audit – Uitgevoerd door gecertificeerde auditors. Wat is de status van data protectie, technisch en procesmatig.

Integrale informatiebeveiliging – samen met u brengen wij de informatiebeveiliging binnen uw organisatie op een hoger niveau

Adviseren over Privacy en security in Agile trajecten, hoe kan binnen Agile trajecten worden voldaan aan Privacy by Design regels.

Invullen rollen informatiebeveiliging – door het (tijdelijk) invullen van bij voorbeeld de rol van CISO ondersteunen wij uw organisatie bij het ontwikkelen en invullen van informatiebeveiliging

Advies bij het formuleren, het beheer, de aansturing en de verantwoording van privacy beleid

  • Compliance Wet Bescherming Persoonsgegevens en de AVG, Europese verordening
  • Risicobeheersing en optimalisatie: Privacy Impact Analyse (PIA), Privacy by Design
  • coaching PMP Privacy Officer of Data Protection Office of ad interim invulling daarvan.

Security assessment – of het nu gaat om code, processen, architectuur: met een assessment geven we u inzicht in de kwaliteit van de beveiliging

Opleidingen

Opleiding tot gecertificeerd informatiebeveiliger – als officieel partner van (ISC)2 verbinden we onze praktijkervaring met de inhoud van toonaangevende opleidingen op het vlak van informatiebeveiliging.

Opleiding Data protectie Officer (vanaf Q2 2017) een unieke opleiding waarin zowel de juridische, procesmatige als security technische als controlerende kant van Privacymanagment wordt belicht. Met onderwerpen als Wetgeving en regelgeving, uitvoeren PIA, Risico Analyses, inrichten DPO functie en het hierbij behorende management systeem, het inrichten van een verwerkingsregister,  het uitvoeren van datalekmeldingen en het hiermee samenhangende incidenten proces, specifiek Artikel 32 AVG (artikel 13 WBP). Met aandacht voor ISO27002, Encryptie, Toegangscontrole (IAM) logging en monitoring. Maar ook hoe te voldoen aan bewaartermijnen, juiste bescherming tijdens overdracht van gegevens etc.

 

Referenties

Wij hebben opdrachten uitgevoerd op het gebied van informatiebeveiliging privacymanagement voor onder andere: Inspectie Leefomgeving en Transport, ICTU, Gemeente Apeldoorn, ABN Amro Clearing, Belastingdienst, Meetingpoint, Waterschappen. Referenties zijn op aanvraag verkrijgbaar.

Heeft u een vraag?

Neem contact op