Toetsingskader Privacy
Het Toetsingskader Privacy helpt je de juiste maatregelen te implementeren om persoonsgegevens adequaat te beschermen. Met het toetsingskader kun je alle zaken rondom privacy binnen de organisatie effectief inregelen, onderhouden, meten en evalueren.
Door het volgen van de PDCA-verbetercyclus, werk je consistent aan de identificatie van risico's, het actueel houden van je verwerkingsregister, de bewustwording van medewerkers en je ontdekt tekortkomingen waarop je kunt inspelen. Je kunt het kader dus gebruiken voor je Privacy Information Management System (PIMS).
Het kader is onderverdeeld in zeven onderwerpen (domeinen) en elk domein kent een aantal controls met richtlijnen die helpen je gegevensbescherming op orde te krijgen en te verbeteren. De zeven domeinen zijn:
- Beleid (BL)
- Processen (PR)
- Organisatorische inbedding (OI)
- Rechten van betrokkenen (RB)
- Samenwerking (SW)
- Beveiliging (GB)
- Verantwoording (VW)
De bijbehorende controls (25 in totaal) geven je waardevolle richtlijnen om te zien wat je moet doen om te groeien en een bepaald volwassenheidsniveau te bereiken per onderdeel Je ziet snel wat je moet doen om de bescherming van persoonsgegevens te verbeteren. Zo heb je een solide basis voor het kiezen en implementeren van passende maatregelen voor de veilig verwerking van persoonsgegevens.
Het toetsingskader is ook bedoeld om de volwassenheid te meten van de bescherming van persoonsgegevens binnen de organisatie. Dit toetsingskader is ontwikkeld met vertegenwoordigers uit de hele onderwijssector (po/vo, mbo, hbo en wo).
Om privacy goed te organiseren zijn veel documenten nodig. Er zijn strategische keuzes te maken, tactische kaders op te stellen én operationele maatregelen te implementeren. De beleidspiramide privacy helpt om hier structuur in aan te brengen.
Hier lees je alles over de beleidspiramide privacy en welke documenten waar in die piramide thuishoren.
In mei 2025 is het beheer van het Toetsingskader Privacy inhoudelijk overgedragen vanuit SURFaudit naar het Privacy Expertise Centrum van SURF. Heb je vragen, stel ze dan via pec@surf.nl.
Het toetsingskader is beschikbaar in tekst-format. Je kunt het zo gemakkelijk kopiëren en gebruiken voor je PDCA-verbetercyclus. Je kunt het ook gebruiken om met anderen het gesprek aan te gaan en ze mee te krijgen.
Bekijk hier een preview van het toetsingskader (PDF). In het downloadcentrum vind je het toetsingskader in Word en een toelichting op het benodigde bewijsmateriaal per volwassenheidsniveau.
Trustbound
NB Veel organisaties werken met het toetsingskadaer via de de GRC-tool 'Trustbound'. Hier kun je eenvoudig je PDCA-verbetercyclus inregelen.
In het downloadcentrum vind je allerlei voorbeelden en templates die je helpen om de juiste maatregelen te implementeren. Er is ook een 'how-to'-document beschikbaar te downloaden. Hierin vind je een overzicht van wat je moet doen c.q. wat er nodig is om naar het gewenste volwassenheidsniveau te komen en hoe je dat kunt aantonen (welk bewijsmateriaal) en wat je nog mist. Zo weet je precies wat er nog moet gebeuren.
SURFaudit blijft een belangrijke rol spelen; deze dienst verzorgt bijvoorbeeld het jaarlijkse meetmoment: de benchmark.
Iedere instelling die het toetsingskader gebruikt om naar volwassenheidsniveau 3 te groeien, moedigen we aan om dit jaarlijkse meetmoment te gebruiken als thermometer. Je kunt - anoniem - zien hoe je instelling het doet ten opzichte van anderen, én je weet waar nog aan gewerkt moet worden. Dit helpt ook het interne gesprek.
Zodra er een nieuwe meting/benchmark wordt uitgevoerd, kun je via deze website de Excel downloaden voor het aanleveren van je resultaten (tenzij je gebruikmaakt van Trustbound, dan lever je de cijfers daar in).
Hier lees je alle artikelen over het toetsingskader.