fw-1

BCPI - AVG Analyse

fw-1

BCPI - AVG Beheer

fw-1

BCPI - AVG Reports

AVG 2018

Algemene Verordening Gegevensbescherming (AVG)

Op 27 april 2016 is de Europese Algemene Verordening Gegevensbescherming (AVG) vastgesteld.
Deze zal met ingang van 25 mei 2018 in alle lidstaten, dus ook in Nederland, van toepassing zijn.
Per die datum vervangt de AVG definitief de Wet Bescherming Persoonsgegevens.

Deze verordening beoogt een in de gehele Europese Unie coherente en homogene bescherming van grondrechten en fundamentele vrijheden van natuurlijke personen rond de verwerking van persoonsgegevens.

Uitgangspunt is dat de bescherming van natuurlijke personen bij verwerking van persoonsgegevens een grondrecht is. Burgers krijgen meer controle over hun persoonsgegevens. Zij kunnen bedrijven toestemming geven om persoonsgegevens te bewaren maar kunnen die toestemming ook weer intrekken. Nationale Autoriteiten Persoonsgegevens krijgen naast een waarschuwende functie ook het recht om aan organisaties die in overtreding zijn, aanzienlijke boetes op te leggen. De bescherming strekt zich ook uit naar persoonsgegevens die van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of internationale organisaties worden doorgegeven.

AVG Tooling - Vandaag al starten

BCPI heeft een specifiek op GDPR / AVG Implementaties toegespitste versie van de reguliere BCPI tooling ontwikkeld. De kosten bedragen € 220 per gebruiker per maand (excl BTW). 
Er zijn geen aanvullende kosten.
Kleine en middelgrote organisaties hebben voldoende aan een of twee gebruikerslicenties.

De tooling wordt geleverd met uitgebreide AVG implementatie training en helpdesk support. 
De tooling maakt maximaal gebruik van de kennis en expertise van uw eigen medewerkers en leveranciers. 
De beveiliging van de tooling is goedgekeurd door de grootste IT organisaties in Nederland.

Uw organisatie kan direct een hoogwaardige AVG Privacy Management methodiek presenteren, evenals een verankerd AVG Privacy Management proces met een gesloten Plan-Do-Check-Act beheercyclus, een AVG trainingsprogramma en hoogwaardige AVG Privacy Management tooling.

BCPI zal eventueel reeds beschikbare overzichten in Word of Excel zonder kosten voor u inlezen.

Elke afdeling ontvangt een compact en inzichtelijk Privacy Impact Analyse rapport, dat periodiek of bij grote veranderingen eenvoudig kan worden geactualiseerd.
De tooling kan met die input op elk gewenst moment automatisch het AVG Implementatieplan, het Register van verwerkingsactiviteiten en het Testplan bijwerken. Alle rapporten hebben uw eigen huisstijl. 

U kunt desgewenst vandaag al de uitgebreide AVG implementatie training doorlopen en direct aansluitend ook vandaag al uw AVG Implementatieplan gaan ontwikkelen én onderhouden.

Presentatie aanvragen

De presentatie 'BCPI - AVG Implementatie ondersteuning' geeft een overzicht van de belangrijkste functies, schermen en rapporten van de BCPI AVG tooling.

U kunt de presentatie hieronder aanvragen.

 

 

 

 

 

 

 

 

 

 

 

  • 2 + 30 =

Het centrale thema

Het centrale thema in de AVG is dat de verwerkingsverantwoordelijke zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf passende technische en organisatorische maatregelen moet treffen om gegevensbescherming conform de verordening op een doeltreffende manier uit te voeren. Daarbij moet rekening worden gehouden met:

  • de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en het doel van de verwerking
  • de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden

AVG Demo 12 januari

Op 12 januari as. organiseert BCPI van 09:30 - 12:30 in Utrecht een uitgebreide demonstratie van de BCPI - GDPR AVG Implementatie tooling. 

Deze demo laat zien hoe u met de BCPI - GDPR AVG Implementatie tooling kunt voldoen aan de kernartikelen 30 en 32 van de GDPR AVG wetgeving. Zie in dit kader ook de AVG publicaties in het blog op deze site.

In de demo wordt stap voor stap getoond hoe in de BCPI tooling een AVG Implementatieplan kan worden uitgewerkt en hoe een effectief en efficiënt Privacy Management proces kan worden ingericht. 

U kunt zich onder aan deze pagina inschrijven. Hieraan zijn geen kosten verbonden.

 

Artikel 30 – Register van Verwerkingsactiviteiten

Elke verwerkingsverantwoordelijke dient een schriftelijk of elektronisch register van verwerkingsactiviteiten onder hun verantwoordelijkheid bij te houden met alle volgende gegevens:

  • namen en contactgegevens van verwerkingsverantwoordelijke(n), hun vertegenwoordigers of functionarissen voor gegevensbescherming
  • de verwerkingsdoeleinden
  • een beschrijving van de categorieën van betrokkenen en categorieën van persoonsgegevens
  • categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties
  • indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie met, in specifieke gevallen, de documenten inzake de passende waarborgen
  • indien mogelijk, de beoogde termijnen waarbinnen categorieën van gegevens moeten worden gewist
  • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen

De verwerker dient een soortelijk schriftelijk of elektronisch register van alle categorieën van verwerkingsactiviteiten ten behoeve van een verwerkingsverantwoordelijke bij te houden met soortgelijke gegevens. Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker het register ter beschikking van de toezichthoudende autoriteit.
Voor ondernemingen of organisaties met minder dan 250 personen in dienst kan onder voorwaarden een vrijstelling gelden.

Toegevoegde waarde van de BCPI methodiek & tooling

Door de aangescherpte voorschriften en het risico van hoge boetes zullen organisaties veel beter moeten (gaan) vastleggen welke persoonsgegevens waar worden gebruikt en bewaard met, indien mogelijk, ook een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen.

Het belang van een betrouwbare security management omgeving wordt hierdoor nog hoger  dan het al was. En juist hier kan BCPI de Verwerkingsverantwoordelijke en de Functionaris Gegevensbescherming uitstekend ondersteunen.

De GDPR / AVG implementatie  is geen éénmalige exercitie. Daar waar voorheen nog een zekere mate van vrijblijvendheid bestond om beveiligingsmaatregelen niet te documenteren of niet te implementeren is die vrijblijvendheid met deze nieuwe wetgeving verdwenen. Bovendien zullen auditors en toezichthouders navragen hoe de organisatie heeft geborgd dat het Register van verwerkingsactiviteiten en de (uitbestede) beveiligingsmaatregelen actueel en effectief zijn. Na de implementatie zullen de beschermingsmaatregelen en registraties voortdurend onderhouden moeten worden. Dit zal van organisaties een aanzienlijke inspanning vragen. 

De belangrijke toegevoegde waarde van de methodiek  en tooling is deze enerzijds het beheerproces veel efficiënter en eenvoudiger maken en anderzijds het beheer ook  direct borgen in een Plan-Do-Check-Act cyclus.
Bovendien wordt het door de gestructureerde manier van werken en de gestructureerde documentatie aanzienlijk eenvoudiger om toezicht te houden op de effectiviteit van (uitbestede) maatregelen. En het wordt mogelijk om in audits aan te tonen dat de organisatie  daadwerkelijk 'in control' is. De methodiek en tooling borgen bij wijze van spreken de eerste 50% van het beoogde kwaliteitsniveau. 

 

AVG - Beheerfuncties

BCPI kan door hergebruik van reeds ingevoerde gegevens ook plannen & draaiboeken voor Bescherming Persoonsgegevens produceren die de risico's en beschermingsmaatregelen van persoonsgegevens tot op het niveau van key IT-service en applicatie inzichtelijk en beheersbaar maken.



Key IT-services en applicaties worden in dat plan op volgorde van Privacy classificatie gepresenteerd.
IT-services en applicaties die geen persoonsgegevens registreren, kunnen worden uitgefilterd.

De voor IT-services en applicaties verantwoordelijke interne beveiligingsteams of externe organisaties kunnen automatisch worden bepaald en de beoogde of operationele beschermingsregelingen plus de status daarvan kunnen worden gedocumenteerd en bewaakt.

Operational (IT) Auditors kunnen tests inplannen ten aanzien van de gegevensbeschermingsmaatregelen (intern of bij derden) en de uitkomsten van tests in deze structuur documenteren ten behoeve van externe toezichthouders.
Rapportages voor de verwerkingsverantwoordelijke(n), verwerker(s), beveiligingsteams en auditors zijn altijd op maat en actueel, voor het geheel of per verwerker, per verantwoordelijke of per team.

AVG Implementatieplan - AVG Register van verwerkingsactiviteiten

Het AVG Implementatieplan en het Register van verwerkingsactiviteiten zijn door de gesloten Plan-Do-Check-Act cyclus altijd actueel en maken de risico's en beschermingsmaatregelen ten aanzien van persoonsgegevens inzichtelijk tot op het niveau van key IT-services en applicaties. 



In het AVG Implementatieplan en het Register van Verwerkingsactiviteiten worden naast de inleiding en totaaloverzichten ook overzichten per team / per verwerker / per externe organisatie toegevoegd, eveneens op volgorde van Privacy classificatie.

In het overzicht per team / verwerker / externe organisatie wordt per IT Service of applicatie de Registratie van verwerkingsactiviteiten conform artikel 30 gespecificeerd. Deze teamoverzichten kunnen periodiek naar de betreffende teams / verwerkers / organisaties worden gestuurd met het verzoek om de Artikel 30 registraties ten aanzien van de onder hen ressorterende IT Services of applicaties te actualiseren.

Tenslotte is het mogelijk om, eveneens op volgorde van Privacy classificatie en per team / verwerker / externe organisatie, AVG auditplannen/ testplannen (hier niet afgebeeld) en testrapportages te kunnen produceren.

Let op: GDPR  - AVG richt zich op meer dan alleen Privacy

Weinig mensen realiseren zich dat de nieuwe GDPR – AVG Privacy wetgeving niet alleen eisen stelt aan technische en organisatorische maatregelen gericht op vertrouwelijkheid van persoonsgegevens, ofwel Privacy.

De nieuwe GDPR – AVG Privacy wetgeving stelt ook expliciete eisen ten aanzien van de Vertrouwelijkheid, Integriteit, Beschikbaarheid en Veerkracht van de onderliggende verwerkingssystemen en diensten en ten aanzien van de Herstelbaarheid van de toegang tot persoonsgegevens na een fysiek of technisch incident.

Die eisen staat in artikel 32 van de verordening, met name in de 2e en 3e bullit van het eerste lid.
Dit artikel gaat in op de grote betekenis van deze twee regels tekst in de verordening voor uw organisatie.