fw-1

BCPI - AVG Analyse

fw-1

BCPI - AVG Beheer

fw-1

BCPI - AVG Reports

AVG 2018

Hands on - demo's op 9 en 16 februari 2018

Neem uw laptop mee en ervaar zelf hoe u met de BCPI - GDPR AVG Implementatie tooling kunt voldoen aan de GDPR AVG wetgeving.

Op 9 en 16 februari as. organiseert BCPI van 10:00 - 12:30 een 'hands on' demonstratie van de BCPI - GDPR AVG Implementatie tooling. Hieraan zijn geen kosten verbonden.

In de demo doorloopt u in de BCPI tooling alle stappen die leiden tot een AVG Implementatieplan en een Register van verwerkingsactiviteiten. Zie ook de AVG publicaties in het blog op deze site.

Inschrijven

  • 1 + 49 =

Algemene Verordening Gegevensbescherming (AVG)

Op 27 april 2016 is de Europese Algemene Verordening Gegevensbescherming (AVG) vastgesteld. 
Deze zal met ingang van 25 mei 2018 in alle lidstaten, dus ook in Nederland, van toepassing zijn.
Per die datum vervangt de AVG definitief de Wet Bescherming Persoonsgegevens.

Deze verordening beoogt een in de gehele Europese Unie coherente en homogene bescherming van grondrechten en fundamentele vrijheden van natuurlijke personen rond de verwerking van persoonsgegevens.

Uitgangspunt is dat de bescherming van natuurlijke personen bij verwerking van persoonsgegevens een grondrecht is. Burgers krijgen meer controle over hun persoonsgegevens. Zij kunnen bedrijven toestemming geven om persoonsgegevens te bewaren maar kunnen die toestemming ook weer intrekken. Nationale Autoriteiten Persoonsgegevens krijgen naast een waarschuwende functie ook het recht om aan organisaties die in overtreding zijn, aanzienlijke boetes op te leggen. De bescherming strekt zich ook uit naar persoonsgegevens die van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of internationale organisaties worden doorgegeven.

Zoekt u AVG Consulting ondersteuning?

BCPI levert hoogwaardige AVG consulting ondersteuning bij ondernemingen, non profit organisaties en gemeente-organisaties. Afhankelijk van de wensen van de organisatie kan de ondersteuning gericht zijn op:

  • het optimaliseren van het privacy beleid en informatiebeveiligingsbeleid en AVG implementatieplannen
  • het produceren van een Register van Verwerkingsactiviteiten dat voldoet aan de eisen van de AVG
  • het inventariseren van risicovolle gegevensverwerkingen die een Privacy Impact Analyse (PIA) vereisen
  • het verzorgen van PIA’s en verzorgen van de opvolging van bevindingen en aanbevelingen uit PIA's
  • het inventariseren van bijzondere persoonsgegevens en zorgen voor compliance aan de AVG 
  • het leveren van een bijdrage aan het AVG-bestendig maken van de bewerkersovereenkomsten
  • het bevorderen van privacy bewustzijn en kennis van de AVG binnen de organisatie
  • het inregelen van procedures rond rechten van betrokkenen op inzage en wissing van persoonsgegevens
  • het inregelen van procedures omtrent eventuele datalekken van persoonsgegevens
  • het inbedden van privacy maangement in de processen van de organisatie (privacy by design/by default)
  • het adviseren over de positionering van de privacy functie na invoering AVG.

In alle opdrachten maakt BCPI gebruik van de krachtige BCPI AVG Tooling. Door optimaal hergebruik van uw reeds beschikbare kennis en documentatie kunnen hiermee uitzonderlijk snel ongekende resultaten worden geboekt. De inzet van de BCPI AVG tooling is inbegrepen in het concurrerende uurtarief. Er zijn geen extra kosten. Het aantal benodigde consulting uren zal aanzienlijk lager zijn dan bij consultants die met conventionele hulpmiddelen als Word en Excel werken, terwijl de kwaliteit van de opgeleverde producten vele malen hoger zal zijn.

Uniek aan de BCPI ondersteuning is de mogelijkheid om tijdens de consulting support een interne Functionaris Gegevensverwerking een training on the job te geven. BCPI kan de Functionaris Gegevensbescherming trainen en opleiden om aansluitend op de ondersteuning, alle opgeleverde producten met de krachtige BCPI AVG tooling volledig in eigen beheer  te kunnen onderhouden.

BCPI kan de organisatie toegang verschaffen tot een zeer hoogwaardige en vaak beproefde beheermethodiek, tooling en een scala aan best practices procedures en beschrijvingen. En BCPI bemiddelt graag bij het tot stand brengen van bilaterale contacten tussen Functionarissen Gegevensbescherming van verschillende BCPI klanten.

 

Zelf de AVG implementeren met BCPI - AVG tooling support?

BCPI heeft een specifiek op GDPR / AVG Implementaties toegespitste versie van de reguliere BCPI SaaS tooling ontwikkeld. U heeft uitsluitend een browser nodig en kunt vandaag nog beginnen. De kosten bedragen € 220 per gebruiker per maand (excl BTW).  Er zijn geen aanvullende kosten.  Kleine en middelgrote organisaties hebben voldoende aan een of twee gebruikerslicenties.

De tooling wordt geleverd inclusief uitgebreide AVG implementatie training en helpdesk support. 
De tooling maakt maximaal gebruik van de kennis en expertise van uw eigen medewerkers en leveranciers. 
De beveiliging van de tooling is beoordeeld en goedgekeurd door de grootste IT organisaties in Nederland.

Uw organisatie kan direct een hoogwaardige AVG Privacy Management methodiek presenteren, evenals een verankerd AVG Privacy Management proces met een gesloten Plan-Do-Check-Act beheercyclus, een AVG trainingsprogramma en hoogwaardige AVG Privacy Management tooling.

BCPI zal eventueel reeds beschikbare overzichten in Word of Excel zonder kosten voor u inlezen.

Elke afdeling ontvangt een compact en inzichtelijk Privacy Impact Analyse rapport, dat periodiek of bij grote veranderingen eenvoudig kan worden geactualiseerd.
De tooling kan met die input op elk gewenst moment automatisch het AVG Implementatieplan, het Register van verwerkingsactiviteiten en het Testplan bijwerken. Alle rapporten hebben uw eigen huisstijl. 

U kunt desgewenst vandaag al de uitgebreide AVG implementatie training doorlopen en direct aansluitend ook vandaag al uw AVG Implementatieplan gaan ontwikkelen én onderhouden.

Artikel 30 – Register van Verwerkingsactiviteiten

Elke verwerkingsverantwoordelijke dient een schriftelijk of elektronisch register van verwerkingsactiviteiten onder hun verantwoordelijkheid bij te houden met alle volgende gegevens:

  • namen en contactgegevens van verwerkingsverantwoordelijke(n), hun vertegenwoordigers of functionarissen voor gegevensbescherming
  • de verwerkingsdoeleinden
  • een beschrijving van de categorieën van betrokkenen en categorieën van persoonsgegevens
  • categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties
  • indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie met, in specifieke gevallen, de documenten inzake de passende waarborgen
  • indien mogelijk, de beoogde termijnen waarbinnen categorieën van gegevens moeten worden gewist
  • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen

De verwerker dient een soortelijk schriftelijk of elektronisch register van alle categorieën van verwerkingsactiviteiten ten behoeve van een verwerkingsverantwoordelijke bij te houden met soortgelijke gegevens. Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker het register ter beschikking van de toezichthoudende autoriteit.
Voor ondernemingen of organisaties met minder dan 250 personen in dienst kan onder voorwaarden een vrijstelling gelden.

Toegevoegde waarde van de BCPI methodiek & tooling

Door de aangescherpte voorschriften en het risico van hoge boetes zullen organisaties veel beter moeten (gaan) vastleggen welke persoonsgegevens waar worden gebruikt en bewaard met, indien mogelijk, ook een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen.

Het belang van een betrouwbare security management omgeving wordt hierdoor nog hoger  dan het al was. En juist hier kan BCPI de Verwerkingsverantwoordelijke en de Functionaris Gegevensbescherming uitstekend ondersteunen.

De GDPR / AVG implementatie  is geen éénmalige exercitie. Daar waar voorheen nog een zekere mate van vrijblijvendheid bestond om beveiligingsmaatregelen niet te documenteren of niet te implementeren is die vrijblijvendheid met deze nieuwe wetgeving verdwenen. Bovendien zullen auditors en toezichthouders navragen hoe de organisatie heeft geborgd dat het Register van verwerkingsactiviteiten en de (uitbestede) beveiligingsmaatregelen actueel en effectief zijn. Na de implementatie zullen de beschermingsmaatregelen en registraties voortdurend onderhouden moeten worden. Dit zal van organisaties een aanzienlijke inspanning vragen. 

De belangrijke toegevoegde waarde van de methodiek  en tooling is deze enerzijds het beheerproces veel efficiënter en eenvoudiger maken en anderzijds het beheer ook  direct borgen in een Plan-Do-Check-Act cyclus.
Bovendien wordt het door de gestructureerde manier van werken en de gestructureerde documentatie aanzienlijk eenvoudiger om toezicht te houden op de effectiviteit van (uitbestede) maatregelen. En het wordt mogelijk om in audits aan te tonen dat de organisatie  daadwerkelijk 'in control' is. De methodiek en tooling borgen bij wijze van spreken de eerste 50% van het beoogde kwaliteitsniveau. 

 

AVG - Beheerfuncties

BCPI kan door hergebruik van reeds ingevoerde gegevens ook plannen & draaiboeken voor Bescherming Persoonsgegevens produceren die de risico's en beschermingsmaatregelen van persoonsgegevens tot op het niveau van key IT-service en applicatie inzichtelijk en beheersbaar maken.



Key IT-services en applicaties worden in dat plan op volgorde van Privacy classificatie gepresenteerd.
IT-services en applicaties die geen persoonsgegevens registreren, kunnen worden uitgefilterd.

De voor IT-services en applicaties verantwoordelijke interne beveiligingsteams of externe organisaties kunnen automatisch worden bepaald en de beoogde of operationele beschermingsregelingen plus de status daarvan kunnen worden gedocumenteerd en bewaakt.

Operational (IT) Auditors kunnen tests inplannen ten aanzien van de gegevensbeschermingsmaatregelen (intern of bij derden) en de uitkomsten van tests in deze structuur documenteren ten behoeve van externe toezichthouders.
Rapportages voor de verwerkingsverantwoordelijke(n), verwerker(s), beveiligingsteams en auditors zijn altijd op maat en actueel, voor het geheel of per verwerker, per verantwoordelijke of per team.

AVG Implementatieplan - AVG Register van verwerkingsactiviteiten

Het AVG Implementatieplan en het Register van verwerkingsactiviteiten zijn door de gesloten Plan-Do-Check-Act cyclus altijd actueel en maken de risico's en beschermingsmaatregelen ten aanzien van persoonsgegevens inzichtelijk tot op het niveau van key IT-services en applicaties. 



In het AVG Implementatieplan en het Register van Verwerkingsactiviteiten worden naast de inleiding en totaaloverzichten ook overzichten per team / per verwerker / per externe organisatie toegevoegd, eveneens op volgorde van Privacy classificatie.

In het overzicht per team / verwerker / externe organisatie wordt per IT Service of applicatie de Registratie van verwerkingsactiviteiten conform artikel 30 gespecificeerd. Deze teamoverzichten kunnen periodiek naar de betreffende teams / verwerkers / organisaties worden gestuurd met het verzoek om de Artikel 30 registraties ten aanzien van de onder hen ressorterende IT Services of applicaties te actualiseren.

Tenslotte is het mogelijk om, eveneens op volgorde van Privacy classificatie en per team / verwerker / externe organisatie, AVG auditplannen/ testplannen (hier niet afgebeeld) en testrapportages te kunnen produceren.

Let op: GDPR  - AVG richt zich op meer dan alleen Privacy

Weinig mensen realiseren zich dat de nieuwe GDPR – AVG Privacy wetgeving niet alleen eisen stelt aan technische en organisatorische maatregelen gericht op vertrouwelijkheid van persoonsgegevens, ofwel Privacy.

De nieuwe GDPR – AVG Privacy wetgeving stelt ook expliciete eisen ten aanzien van de Vertrouwelijkheid, Integriteit, Beschikbaarheid en Veerkracht van de onderliggende verwerkingssystemen en diensten en ten aanzien van de Herstelbaarheid van de toegang tot persoonsgegevens na een fysiek of technisch incident.

Die eisen staat in artikel 32 van de verordening, met name in de 2e en 3e bullit van het eerste lid.
Dit artikel gaat in op de grote betekenis van deze twee regels tekst in de verordening voor uw organisatie.