Vereisten voor een beheersysteem voor gegevensbescherming

Een beheersysteem voor gegevensbescherming is een gestructureerde aanpak voor het beheer en de bescherming van persoonsgegevens in een onderneming, organisatie of vereniging.

Het beheersysteem voor gegevensbescherming documenteert en waarborgt de naleving van gegevensbescherming, in het bijzonder de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). Bovenal voldoet het aan de verantwoordings- en verificatieverplichtingen onder de AVG.

Belangrijke vereisten voor een effectief beheersysteem voor gegevensbescherming

In principe moeten alle wetten en regels op het gebied van gegevensbescherming worden geïmplementeerd. Een beheersysteem voor gegevensbescherming moet daarom vanaf het begin al deze vereisten in kaart brengen, ongeacht de grootte van de onderneming of de organisatie.

Het gebruik van de afzonderlijke inhoud (modules) kan variëren afhankelijk van het type en de grootte van de onderneming of organisatie. Een Managementsysteem wat aan al deze voorwaarden voldoet biedt ook een solide kader voor naleving en compliance van de gegevensbescherming in de toekomst.

Algemene wettelijke informatie

Inhoud van een managementsysteem

  • Wettelijke conformiteit:

Een AVG managementsysteem moet voldoen aan de wettelijke vereisten voor gegevensbescherming in Nederland.

Als de onderneming of de organisatie internationaal actief is, moet het managementsysteem ook voldoen aan de jurisdictie van de landen waarin de organisatie actief is.

  • Documentatie en registratie:

Het beheersysteem voor gegevensbescherming moet het mogelijk maken om beleid, procedures en records voor gegevensbescherming op te stellen en bij te houden om naleving (de compliance) te garanderen.

  • Gegevensinventaris en -classificatie:

Het systeem moet voorzien in mechanismen voor de identificatie en classificatie van persoonsgegevens om effectief beheer mogelijk te maken.

  • Positie van de onderneming:

Het systeem moet de mogelijkheid bieden om de verantwoordelijkheid voor de verwerking van persoonsgegevens af te bakenen. Een eventuele verantwoordelijkheid met een derde moet contractueel vastgelegd worden.

De AVG maakt onderscheid tussen drie actoren:

    • alleen verantwoordelijke voor de verwerking;
    • gezamenlijk verantwoordelijk voor de verwerking;
    • Verwerking in opdracht (verwerker).

klik hier voor meer informatie

  • Functionaris voor gegevensbescherming:

Het AVG managementsysteem moet bij voorkeur de mogelijkheid bieden om de noodzakelijkheid voor de aanstelling van een functionaris voor gegevensbescherming (FG) vast te stellen en/of passende verantwoordelijkheden toe te wijzen waar dit wettelijk vereist is.

Inhoud (modules) van DPM-Online

  • Wettelijke naleving:

Voor Nederland is DPM-Online ontworpen voor volledige naleving van de AVG, de UAVG en andere Nederlandse wet- en regelgeving op het gebied van gegevensbescherming.

Het beheersysteem is ook beschikbaar voor Duitsland en haar specifieke regelgeving voor gegevensbescherming zoals de DS-GVO en het BDSG.

  • Documentatie en dossiers:

Om naleving te garanderen, kunnen beleid, procedures en records voor gegevensbescherming eenvoudig worden gemaakt en onderhouden.

  • Gegevensinventaris en -classificatie:

Het beschermingsniveauconcept van de gegevensbeschermingsautoriteit van Nedersaksen wordt gebruikt om persoonlijke gegevens te identificeren en te classificeren.

  • Positie van het bedrijf:

Het beheersysteem ondersteunt de verwerkingsverantwoordelijke bij het verduidelijken van zijn rol met betrekking tot de AVG wetgeving.

Er wordt verduidelijkt of het bedrijf de enige of gezamenlijke “verwerkingsverantwoordelijke” of “verwerker” is onder de AVG.

De verduidelijking van deze vraag is onder andere belangrijk om te bepalen of er een functionaris voor gegevensbescherming moet worden aangesteld. Tegelijkertijd heeft de verduidelijking een impact op contractuele overeenkomsten, zoals DPIA’s en joint venture overeenkomsten.

klik hier voor meer informatie

  • Functionaris voor gegevensbescherming (FG):

Het DSMS ondersteunt de verwerkingsverantwoordelijke bij de vraag of er een functionaris voor gegevensbescherming moet worden aangesteld. De beslissing wordt gedocumenteerd in het systeem. De periode voor een regelmatige herziening van het besluit kan worden bepaald door de voor de verwerking verantwoordelijke.

Risicobeoordeling

  • Risicobeoordeling en -beheer:

Er moet een systematische risicobeoordeling kunnen worden uitgevoerd om potentiële risico’s voor de verwerking van persoonsgegevens te identificeren, te evalueren en te beheren.

  • Effectbeoordeling gegevensbescherming (DPIA):

Het uitvoeren van gegevensbeschermingseffectbeoordelingen moet worden ondersteund om de impact van gegevensverwerkingsactiviteiten op de privacy te beoordelen. Een DPIA moet regelmatig kunnen worden geëvalueerd.

  • Respons bij incidenten en melding van datalekken:

Er moet een duidelijk gedefinieerd proces zijn voor de reactie op datalekken en de melding van incidenten.

  • Risicobeoordeling en -beheer:

Het DSMS biedt de verwerkingsverantwoordelijke de mogelijkheid om vooraf een beoordeling uit te voeren van de gevolgen van de voorgenomen verwerkingen met betrekking tot persoonsgegevens.

  • Effectbeoordeling gegevensbescherming (DPIA):

Het beheersysteem voorziet in een volledige procesbeschrijving en documentatie voor het uitvoeren van een DPIA. Er is een “kalenderfunctie” voorzien voor een regelmatige beoordeling.

  • Respons bij incidenten en melding van inbreuken op de gegevensbescherming:

Het beheersysteem voor gegevensbescherming ondersteunt de verwerkingsverantwoordelijke bij het procesmatig opzetten van incidentresponsbeheer. Hiervoor is ook een procesbeschrijving en documentatie geïmplementeerd.

Veiligheid van verwerking

  • Gegevensbescherming door het ontwerp van technologie (privacy by design) en gegevensbeschermingsvriendelijke standaardinstellingen (privacy by default):

Het DSMS moet beginselen van gegevensbescherming integreren in het ontwerp van processen, systemen en producten. De gebruikte software voor diensten, systemen of apparaten moet regelmatig worden gecontroleerd op de stand van de techniek en standaardinstellingen.

  • Technische en organisatorische maatregelen:

In het bedrijf moeten technische en organisatorische maatregelen worden geïmplementeerd voor een alomvattend en aan de gegevensbescherming voldoend beheersysteem voor gegevensbescherming en deze moeten worden gedocumenteerd in het geval van een inspectie door de toezichthoudende autoriteit voor gegevensbescherming. De maatregelen moeten regelmatig worden geëvalueerd.

  • Gegevensbescherming door het ontwerp van technologie (privacy by design) en gegevensbeschermingsvriendelijke standaardinstellingen (privacy by default):

Het beheersysteem heeft de mogelijkheid om de gebruikte service-, systeem- of apparaatsoftware regelmatig te controleren op de stand van de techniek en standaardinstellingen. Regelmatige controles worden gepland met behulp van een “kalenderfunctie”.

  • Technische en organisatorische maatregelen:

U vindt alle gebruikelijke technische en organisatorische maatregelen al beschreven in uw systeem en kunt deze eenvoudig aanpassen of aanvullen met één klik. Een “kalenderfunctie” en een documentatieoptie zijn geïmplementeerd voor controledoeleinden.

PCDA cyclus en bewustzijn

  • Opleiding en bewustmaking:

Het managementsysteem moet voorzien in opleiding en bewustmakingsmaatregelen voor werknemers om hen meer bewust te maken van de risico’s voor gegevensbescherming.

De verantwoordelijke persoon moet de implementatie van de maatregelen kunnen documenteren en bewijzen.

  • Toezicht en audits:

Er moeten regelmatig controles en interne audits worden uitgevoerd om ervoor te zorgen dat het DSMS effectief is en voldoet aan de wettelijke voorschriften.

  • Continue verbetering:

Het systeem moet een mechanisme bevatten voor voortdurende verbetering op basis van de resultaten van audits, monitoring en de lessen die zijn getrokken uit incidenten op het gebied van gegevensbescherming. Het is belangrijk dat het AVG Beheersysteem dynamisch blijft en zich aanpast aan veranderende wettelijke vereisten en technologieën.

  • Opleiding en bewustmaking:

Het Managementsysteem is toegankelijk voor werknemers. Na het inloggen wordt wisselende informatie over bewustwording en mindfulness bij de verwerking van persoonsgegevens weergegeven.

De sensibiliseringsmaatregelen worden gedocumenteerd en gecontroleerd.

  • Monitoring en audits:

Het managementsysteem heeft een “kalenderfunctie” voor regelmatige controle van de te controleren documentatie. Op deze manier kan worden gegarandeerd dat het Systeem effectief is en voldoet aan de wettelijke voorschriften.

  • Continue verbetering:

De kalenderfunctie maakt ook continue verbetering mogelijk door regelmatige herziening en controle. Het AVG Beheersysteem is gebouwd op basis van een CMS, is dynamisch en kan worden aangepast aan veranderende wettelijke vereisten en technologieën.

DPM Online – Managementsysteem voor het beheer en beveiliging van persoonlijke gegevens

AVG-Compliant – gestructureerd en efficiënt

Ontdek het potentieel van het DPM-Online beheersysteem voor gegevensbescherming