Beleidsdocumenten en praktische sjablonen

Beleidsdocumenten en praktische sjablonen

Op deze pagina vind je een uitgebreide verzameling van beleidsdocumenten en praktische sjablonen, die helpen bij de implementatie van de werkprocessen, met als doel de privacybeveiliging binnen je instelling te verhogen en te waarborgen

SURFaudit toetsingskader privacy domeinen

Het SURFaudit Toetsingskader Privacy omvat 7 domeinen (aandachtsgebieden) waarbij de algemene doelstelling van elk domein wordt beschreven. Een domein bevat één of meerdere  beheersingsdoelstellingen (maatregelen of controls) die bijdragen aan het behalen van de algemene doelstelling van het domein. Om domeingerelateerde informatie, templates en (referentie-)documenten te vinden, hoef je alleen maar te klikken op het relevante domein en/of beheersdoelstelling. Zo kun je moeiteloos navigeren door de beschikbare materialen die je helpen bij de bescherming van persoonsgegevens en de borging van privacy binnen je instelling. Aan de ontwikkeling en publicatie van informatie en templates wordt nog hard gewerkt.

Beleid

In het domein beleid wordt aandacht besteed aan de onderwerpen beleid, taken en verantwoordelijkheden én risicobeheersing in relatie tot de verwerking van persoonsgegevens en privacy.

Bekijk item

Processen

In nagenoeg alle processen binnen een instelling worden persoonsgegevens verwerkt. Deze verwerkingen moeten inzichtelijk zijn gemaakt en verwerking moeten in overeenstemming zijn met de AVG. Door duidelijk overzicht en inzicht in de operationele processen te hebben kan de organisatie aantonen dat de verwerkingen van persoonsgegevens in overeenstemming met de AVG worden uitgevoerd (art. 24 lid 1 AVG).

Bekijk item

Organisatorische inbedding

Een goed ingerichte privacyorganisatie met voldoende (jurisiche) kennis en een FG die voldoende middelen heeft en zodanig is gepositioneerd binnen de organisatie dat hij/zij onafhankelijk toezicht kan houden, dragen in belangrijke mate bij aan de bescherming van persoonsgegevens die de instelling verwerkt. Ook opleiding en awareness van medewerkers en onderwijsdeelnemers zijn daar onlosmakelijk aan verbonden.

Bekijk item

Rechten van betrokkenen

Organisaties hebben een informatieplicht richting betrokkenen en betrokkenen hebben een aantal rechten waarmee zij inzicht kunnen krijgen in hoe een instelling omgaat met zijn of haar persoonsgegevens en kunnen zij onder voorwaarden rechten uitoefenen om hun gegevens in te zien, te wijzigen, verwijderen of over te dragen. Transparantie over geautomatiseerde individuele besluitvorming waaronder profilering is ook onderdeel van dit domein.

Bekijk item

Samenwerking

In het domein samenwerking wordt aandacht besteed aan een aantal aspecten van de verwerking van persoonsgegevens die een rol spelen bij samenwerking tussen organisaties. Aspecten die hier een rol spelen zijn de AVG-rollen (verwerkingsverantwoordelijke, verwerker, etcetra), toetsing gegevensverstrekking aan derden en doorgifte buiten de EER.

Bekijk item

Beveiliging

Beveiliging van persoonsgegevens (informatiebeveiliging) is een belangrijke basismaatregel voor de bescherming van persoonsgegevens. De AVG spreekt van passende beveiligingsmaatregelen rekening houdend met de stand der techniek en de kosten.

Ondanks alle maatregelen treden er wel eens incidenten op waarbij persoonsgegevens zijn betrokken (datalekken). De AVG stelt eisen aan de afhandeling van datalekken die veelal ontstaan door een beveiligingsincident.

Bekijk item

Verantwoording

Transparantie en verantwoording over de verwerking van persoonsgegevens zijn belangrijke beginselen van de AVG. Naast he bijhouden van een verwerkingsregister draagt de in dit domein bedoelde rapportage in belangrijke mate bij aan de beginselen van transparantie en verantwoording.

Bekijk item