Beleidspiramide Privacy: van strategisch beleid tot uitvoering in de praktijk
De vier lagen van de beleidspiramide
De beleidspiramide informatiebeveiliging bestaat uit vier lagen. Elke laag heeft een eigen doel, inhoud en verantwoordingsniveau. Door deze structuur te hanteren ontstaat samenhang tussen strategische keuzes en dagelijkse uitvoering.
- Beleid: strategisch - Beleid richt zich op waarom we privacy belangrijk vinden en waar we ons op richten.
Voorbeeld: strategisch privacybeleid en privacyreglement - Standaarden: tactisch - Standaarden richten zich op wat we gaan doen en hoe we dat inrichten.
Voorbeeld: het Toetsingskader Privacy, Bewaartermijnen. - Procedures: tactisch/operationeel - Procedures zijn een uitwerking van beleid en standaarden en beschrijven meer qua procedure hoe we concreet omgaan met het beleid.
Voorbeeld: Datalekprocedure, Omgaan met geheime adressen, Afhandeling verzoeken rechten van betrokkenen, Beeldmateriaal en toestemming - Richtlijnen, handreikingen, tools - operationeel - Concrete instructies voor inrichting. Soms gaat het daarbij om voorschriften (wat moet je minimaal geregeld hebben), soms zijn het concrete aanwijzingen volgens best practices die helpen met het kiezen van specifieke instellingen.
Voorbeeld: M365 machtigingen bedrijfstoepassingen, M365 privacyinstellingen, handreiking gegevensset verzuim leerplichtambtenaar, toestemmingsformulier
De vier lagen nader uitgewerkt
1. Beleid
| Niveau | strategisch |
| Doel | vastleggen van het ‘waarom’— de visie, ambitie en uitgangspunten van privacy binnen de organisatie |
| Vastgesteld door | bestuur (zoals het College van Bestuur of Raad van Bestuur |
| Geldigheidsduur | meestal 3 jaar |
| Toepassing | verplicht |
Beleidsdocumenten beschrijven de strategische doelen en principes van privacy en gegevensbescherming. Ze geven richting aan de gehele organisatie en vormen het fundament voor alle onderliggende documenten. Denk aan strategisch privacybeleid en het privacyreglement.
2. Standaarden
| Niveau | tactisch |
| Doel | per thema een vertaling van het beleid in wat er geregeld moet zijn |
| Vastgesteld door | CIO, CPO, directeur ICT |
| Geldigheidsduur | meestal 1 jaar |
| Toepassing | verplicht |
Standaarden zijn themagerichte documenten die het strategisch beleid concreet maken. Ze leggen vast wat de gewenste of vereiste volwassenheidsniveaus of eisen zijn binnen een bepaald domein. Standaarden geven het concrete kader voor toetsing en operationele uitvoering.
3. Procedures
| Niveau | tactisch en tactisch/operationeel |
| Doel | beschrijving van ‘hoe’ de standaarden in de praktijk moeten worden toegepast als voorschrift binnen de organisatie (‘wie doet wanneer wat ’ ) |
| Vastgesteld door | lijnmanagement (manager, proceseigenaar), afhankelijk van de inrichting van de organisatie |
| Geldigheidsduur | meestal 1 jaar met waar nodig eerdere actualisering, op basis van ontwikkelingen of evaluaties |
| Toepassing | verplicht |
Procedures bieden praktische handvatten voor medewerkers en teams. Ze geven interpretaties van standaarden, met concrete aanwijzingen voor bijvoorbeeld inrichting van processen of selectie van maatregelen. Procedures kunnen organisatiebreed gelden of toegespitst zijn op specifieke eenheden. Ze zorgen ervoor dat afspraken helder zijn en consistent worden nageleefd.
4. Handreikingen, richtlijnen en tools
| Niveau | operationeel |
| Doel | beschrijving van manieren van aanpak voor de dagelijkse uitvoering van privacy- en beveiligingsmaatregelen |
| Vastgesteld door | lijnmanagement (teamleiders, afdelingshoofd), afhankelijk van de inrichting van de organisatie |
| Geldigheidsduur | meestal 1 jaar met waar nodig eerdere actualisering, met actualisering op basis van praktijkervaring |
| Toepassing | soms verplicht |
Deze documenten geven aanbevelingen, best practices of beschrijven stap voor stap hoe maatregelen worden uitgevoerd binnen de organisatie. Deze documenten biede waardevolle ondersteuning bij de implementatie van procedures en maatregelen. Denk aan handreikingen, richtlijnen (aanbevelingen), stappenplannen, formats, toolkits en checklists.
Waarom werken met de beleidspiramide?
De beleidspiramide maakt het makkelijker om:
- Strategisch beleid te vertalen naar praktische uitvoering
- Interne rollen en verantwoordelijkheden te verduidelijken
- Te voldoen aan audit- en compliance-eisen
- Documenten op elkaar af te stemmen en actueel te houden
Het model helpt instellingen bovendien om beleid modulair op te bouwen. Zo kun je per domein (bijvoorbeeld Samenwerking en Verwerkingsregister actueel houden) afspraken beschrijven die onderling samenhangen.
Documenten per niveau beschikbaar
Het Privacy Expertise Centrum biedt templates, handreikingen en voorbeelddocumenten voor elk niveau van de beleidspiramide. Deze documenten zijn ontwikkeld in nauwe samenwerking met vertegenwoordigers van universiteiten, hogescholen en mbo-instellingen. Ze zijn gebaseerd op de (U)AVG en afgestemd op de dagelijkse praktijk en de behoefte in de sector.
De templates zijn opgesteld volgens een vaste structuur en voorzien van concrete inhoud. Je kunt ze direct gebruiken. Lees ze altijd goed door en pas ze waar nodig aan zodat ze inhoudelijk passen bij de eigen organisatiecontext, verantwoordelijkheden en processen.