De Privacy Baseline/Voorwoord
| ||||||||||
Voorwoord[bewerken]
Het kan voor organisaties een uitdaging zijn om op een juiste manier met persoonsgegevens om te gaan. Wat, waar, door wie en op welke wijze zaken geregeld moeten worden om privacy op een juiste wijze te waarborgen is voor (medewerkers van) organisaties niet altijd duidelijk. Dit is waarom de Privacy Baseline is ontwikkeld: de Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen.
De samenstellers zijn uitgegaan van wat bij het schrijven van de teksten praktisch en volgens de vigerende inzichten en beschikbare kennisbronnen geacht werd juist te zijn. Zij voelen zich daarbij gesteund door de reviews in het kennisnetwerk van CIP, de Domeingroep Privacy in het bijzonder. In géén geval is de Privacy Baseline een vervanger voor de privacywetgeving zelf.
Grip op privacy[bewerken]
De Privacy Baseline is onderdeel van een set van samenhangende documenten onder de noemer 'Grip op privacy'. Naast deze Baseline heeft het CIP nog de volgende vier daarop geënte documenten gepubliceerd:
- Privacy by Design
- Privacy Governance
- het Privacy Volwassenheidsmodel
- het Privacy Self Assessment
De eerste twee documenten zijn handreikingen voor het toepassen van de juiste maatregelen en het inrichten van de organisatie waarmee "Grip op privacy" op de meest efficiënte en effectieve wijze kan worden bereikt. Het zijn toelichtende verhandelingen over:
- Hoe je kunt bewerkstelligen dat het aspect privacy niet achteraf nog eens moet worden 'bijgeplakt', maar van begin af aan in de ontwikkeling van programmatuur wordt meegenomen (privacy by design).
- Hoe je privacy in alle relevante bedrijfsprocessen implementeert, borgt, kunt onderhouden en verbeteren (governance).
Privacyvolwassenheid[bewerken]
Bij deze Baseline hoort een speciaal daarop gebaseerd volwassenheidsmodel. Door privacy actief te hanteren als kwaliteitselement in de bedrijfsvoering kunnen organisaties naar een hoger niveau van volwassenheid groeien en privacy benutten om de dienstverlening aan klanten op een hoger peil te brengen. Dit aspect wordt ter hand genomen in het document 'Privacyvolwassenheidsmodel', een praktische handleiding voor het vaststellen en vergroten van de organisatievolwassenheid in relatie tot de omgang met persoonsgegevens. Het model is afgeleid van gangbare 5-laagse volwassenheidsmodellen. Op basis van de mate waarin voldaan wordt aan de dertien criteria van de Privacy Baseline specificeert het model 5 niveaus op het aspect van privacy. Hoe volwassen gaat de organisatie met privacy om? Welk niveau wil de organisatie nastreven en wat is daarvoor nodig? Op deze vragen geeft het Privacy Self assessment (PriSa) antwoorden. Het assessmentrapport geeft aan wat nog te doen staat om het (zelf te kiezen) beoogde volwassenheidsniveau te bereiken. Op de website van het CIP (www.cip-overheid.nl) lees je er meer over.
Grip op privacy biedt concrete handvatten om de juiste omgang met persoonsgegevens te bewerkstelligen, te waarborgen en het privacybeleid passend, effectief en efficiënt in te passen in de bedrijfsvoering. Het gaat niet om de normen. Het gaat erom de ACT principes: Afscherming, Corrigeerbaarheid en Transparantie te realiseren en daarmee de betrokkene maximaal te respecteren in zijn privacy. Dit wordt verderop in dit thema uitgebreid behandeld, zie [1].
Draagvlak door brede inbreng uit het CIP-netwerk[bewerken]
De methode 'Grip op Privacy' en de afzonderlijke documenten daarvan zijn tot stand gekomen door nauwe samenwerking met en tussen verschillende partijen in het CIP-netwerk. De auteurs danken alle CIP-ers, geïnterviewde deskundigen, leden van de CIP Domeingroep Privacy, de Werkgroepen Pb2Avg en Privacy by Design, die direct of indirect een bijdrage hebben geleverd aan het samenstellen van de methode. Hun bijdragen en het gegeven dat een breed palet van organisaties hen daartoe in staat stelt, geven de auteurs het vertrouwen dat de methode 'Grip op privacy' voldoende draagvlak heeft voor een brede toepassing en verdere ontwikkeling.
Over CIP[bewerken]
CIP is het Centrum voor informatiebeveiliging en privacybescherming van, voor en door overheidsorganisaties. Het is opgericht voor informatie-uitwisseling en kennisdeling ter verbetering van de informatieveiligheid van de overheidsdienstverlening en heeft zich ontwikkeld tot een publiek-private netwerkorganisatie, waarin ook gespecialiseerde marktorganisaties als kennispartners deelnemen. Kennis die in de aangesloten organisaties aanwezig is op het vlak van informatiebeveiliging en privacybescherming wordt binnen de samenwerking in CIP-verband op verschillende manieren gedeeld en toegankelijk gemaakt. Voldragen producten worden op de publieke site van het CIP gepubliceerd.
Door meer samen te doen en zo mogelijk te uniformeren draagt het CIP ook bij aan het optimaal gebruik van overheidsmiddelen. De publicaties van het CIP worden in principe om niet ter beschikking gesteld en kunnen, met inachtneming van de voorwaarden van Creative Commons Naamsvermelding-GelijkDelen, vrijelijk gebruikt worden.
Voetnoot[bewerken]
- ↑ De CIP-publicaties in de serie 'Grip op Privacy' - en meer - zijn te vinden op de site van het CIP, onder de productenrubriek Gegevensbescherming.