Hoe werkt het Toetsingskader Privacy in de praktijk?

Uncategorized

Het Toetsingskader Privacy bevat maatregelen die relevant zijn voor de veiligheid en continuïteit van de bedrijfsgegevens en de privacy van medewerkers en studenten binnen je instelling. Maar hoe werkt zo’n Toetsingskader in de praktijk? Niels Dutij, Functionaris Gegevensbescherming bij diverse mbo-instellingen, en Roos Roodnat, Functionaris Gegevensbescherming en Functionaris Integrale Veiligheid aan de Hogeschool Utrecht, vertellen in dit artikel over hun ervaringen.

Op welke manier integreer je het Toetsingskader Privacy in jouw dagelijkse werkzaamheden?

Dutij: ‘Het Toetsingskader Privacy helpt bij het meten van de belangrijkste AVG-verplichtingen. De AVG is soms nogal een abstracte wet met veel open normen. Het Toetsingskader helpt om de AVG te concretiseren en dit ook meetbaar te maken. Het Toetsingskader Privacy geeft ook goede input voor het opstellen van verbeterplannen en jaarplannen.’

Roodnat: ‘Ik gebruik het Toetsingskader Privacy in het uitvoeren van assessments en de beoordeling van processen. We nemen deel aan de SURF-benchmark Privacy en bespreken met de privacyorganisatie en de portefeuillehouder in het CvB hoe we de normen interpreteren en welke bewijzen nodig zijn om te laten zien dat we aan de normen voldoen.

Soms kom je in een situatie terecht waarin een kritische beoordeling als een persoonlijke mening wordt afgedaan. In dat geval is een navolgbaar onderzoeksplan en -dossier waarin je je hebt gebaseerd op een door de sector gedragen Toetsingskader prettig materiaal om een discussie weer naar een hoger plan te tillen.’

Hoe helpt het Toetsingskader jou om privacyrisico’s helder en effectief te identificeren en beoordelen? Ervaar je dat het soepel in je werkproces past?

Dutij: ‘Zoals net al gezegd, helpt het om dit goed te meten en hier een volledige PDCA-cyclus omtrent de AVG te maken. Privacyrisico’s kunnen concreet gemaakt worden, maar ook meetbaar. Er kan hierdoor ook monitoring plaatsvinden en dat is een essentieel onderdeel van elk compliance-programma.’

Roodnat: ‘Door elke bevinding bij een controle of assessment te koppelen aan een vastgestelde norm bereik ik consistentie in adviezen en het toezichthoudend proces. Wanneer directeuren ervaringen uitwisselen met de FG dan zien ze dat ze langs dezelfde meetlat worden gelegd. Een organisatie leert hierdoor naar mijn mening sneller. Nu we risicomanagement implementeren in Trustbound verwacht ik dat de Privacy Officers hier ook meer in worden ondersteund. De bevindingen en mitigerende activiteiten uit hun jaarplan zijn straks direct te relateren aan de normen uit het Toetsingskader en de verwachtingen met betrekking tot aantoonbaarheid.’

Hoe goed sluit de toepassing van het Toetsingskader aan bij jouw werkzaamheden? Ondersteunt het jouw processen?

Dutij: ‘Het privacy-toetsingskader sluit goed aan bij mijn werkzaamheden in mijn rol als Functionaris Gegevensbescherming. Het helpt mij bij het structureren van de vele verschillende AVG-acties die nodig zijn. Natuurlijk zijn er meer privacy-risico’s die buiten het Toetsingskader vallen, maar het kader geeft mij een goede basis.’

Roodnat: ‘Voor een sectoraal kader past het prima. Natuurlijk is het soms zo dat in een beschrijving soms andere termen worden gebruikt dan in je eigen instelling. Daarom vind ik het belangrijk om in gesprek te blijven over de normuitleg. Maar dat zijn ook precies de gesprekken die je wilt voeren. Op dit moment ondersteunt het mij voldoende. Het werken met kaders is nog volop in ontwikkeling binnen onze instelling.’

Wat zijn jouw ervaringen met het werken met het Toetsingskader? Welke aspecten maken het voor jou gebruiksvriendelijk?

Dutij: ‘Je moet de structuur van het Toetsingskader wel even leren kennen. We zouden nog wel wat kunnen doen aan het gebruikersvriendelijk maken. Het vergt soms best wat uitleg aan betrokkenen hoe zij het Toetsingskader goed kunnen hanteren. Als je er eenmaal wat ervaring mee hebt opgedaan, is het eenvoudig het Toetsingskader te doorlopen.’

Roodnat: ‘We hebben het Toetsingskader tot nu toe alleen op instellingsniveau ingezet. Dan kan het frustrerend zijn dat je een bepaalde score niet haalt omdat één of twee organisatieonderdelen niet voldoen, maar de rest wel. We zijn voornemens om het komend jaar ook steeds meer af te dalen op afdelingsniveau, om het zo te zeggen. Zo kun je de best practices echt zichtbaar maken en zien waar je je energie vooral op moet richten.’

Vind je het Toetsingskader veelzijdig en toepasbaar in verschillende contexten, zoals projecten en processen? Zijn er situaties waarin je successen hebt behaald?

Dutij: ‘Het Toetsingskader wordt bij mijn werkzaamheden vooral op centraal niveau gebruikt. Het helpt bij het meten van de compliance, maar ook om verantwoording af te leggen bij de directie en het bestuur. Het is prettig wanneer je met daadwerkelijke cijfers een jaarverslag kan opstellen en bijvoorbeeld ook gebruik kan maken van een benchmark om jezelf te vergelijken met andere instellingen. Voor mij is het Toetsingskader een essentieel onderdeel van mijn AVG-compliance-programma geworden.’

Roodnat: ‘Ik vind het op verschillende contexten toepasbaar. Bij projecten of processen bijvoorbeeld, maar ook op technisch en organisatorisch gebied. Het voert mij te ver om de successen die zijn behaald toe te schrijven aan een toetsingskader. Het zijn de ambassadeurs van privacy die het verschil maken. Zij kunnen wel efficiënter, consistenter en met meer zelfvertrouwen hun werk doen dankzij het register.’

Hoe draagt het Toetsingskader Privacy bij aan een effectieve samenwerking met andere afdelingen of stakeholders? Welke positieve effecten merk je in de praktijk?

Dutij: ‘Het Toetsingskader helpt met name als objectieve bron en om de AVG meetbaar te maken. Ik kan collega’s beter overtuigen om bepaalde acties te nemen, omdat we kunnen aantonen dat dit nodig is voor het kunnen voldoen aan de Toetsingskaders. Het maakt voor iedereen in de organisatie transparant wat nodig is en op welke manier je dit dient te bereiken.’

Roodnat: ‘Doordat de adviezen consistenter en dus voorspelbaarder worden, leren onze gesprekspartners en samenwerkingspartners sneller. Het beklijft beter. Het Toetsingskader als geheel is nauwelijks onderwerp van gesprek, maar wel de inhoud van een specifieke norm die aan de orde is. Nu we risicomanagement in een instellingbrede tool gaan implementeren, zal het kader als instrument voor meer afdelingen raadpleegbaar zijn.’

Wil je meer weten over het Toetsingskader Privacy?

SURF heeft een uitgebreide verzameling van beleidsdocumenten en praktische sjablonen gepubliceerd, die helpen bij de implementatie van de werkprocessen, met als doel de privacybeveiliging binnen je instelling te verhogen en te waarborgen. Klik op onderstaande button voor meer informatie.

Meer informatie over het Toetsingskader Privacy

Hoe werkt het Toetsingskader Privacy in de praktijk?

Op welke manier integreer je het Toetsingskader Privacy in jouw dagelijkse werkzaamheden?

Hoe helpt het Toetsingskader jou om privacyrisico’s helder en effectief te identificeren en beoordelen? Ervaar je dat het soepel in je werkproces past?

Hoe goed sluit de toepassing van het Toetsingskader aan bij jouw werkzaamheden? Ondersteunt het jouw processen?

Wat zijn jouw ervaringen met het werken met het Toetsingskader? Welke aspecten maken het voor jou gebruiksvriendelijk?

Vind je het Toetsingskader veelzijdig en toepasbaar in verschillende contexten, zoals projecten en processen? Zijn er situaties waarin je successen hebt behaald?

Hoe draagt het Toetsingskader Privacy bij aan een effectieve samenwerking met andere afdelingen of stakeholders? Welke positieve effecten merk je in de praktijk?

Wil je meer weten over het Toetsingskader Privacy?

Gerelateerde artikelen

Wat weet jij van privacybescherming? Doe mee met de vernieuwde Privacy Pubquiz!

Privacy bingokaart: houvast voor jouw organisatie bij AVG-compliance

Jan van den Berg (FG, HvA): ‘AI gaat veel verder dan tools als ChatGPT’