AVG module
Geef diepgang aan AVG naast je ISO certificering
Algemene Verordening Gegevensbescherming
Wil jij diepgang geven aan Algemene Verordening Gegevensbescherming (AVG), naast ISO certificering(en), zoals ISO 27001 of ISO 9001 voor jouw organisatie? In de PCT kun je invulling geven aan een aantal eisen van de AVG, zodat je zicht hebt op de verwerking van persoonsgegevens in jouw organisatie. Dit kun je in de AVG module doen door overzichten van verwerkersovereenkomsten en verwerkingsregisters te creëren.
Informatie ten aanzien van persoonsgegevens
De AVG module in de PCT stelt extra formulieren beschikbaar om te registreren en inzichtelijk te maken welke persoonsgegevens jouw organisatie verwerkt en of er verwerkingsovereenkomsten zijn. Let wel de AVG module maakt jouw organisatie niet compliant aan AVG, dan is het noodzakelijk om aan meer eisen te voldoen.
De AVG stelt dat je overzicht moet hebben hoe persoonsgegevens worden geregistreerd. Dit heeft te ermee maken dat je als persoon recht hebt op vergetelheid. Oftewel dat de organisatie je ‘vergeet’, zodat je hen vraagt de persoonsgegevens gerelateerd aan jou te verwijderen. Meer informatie hierover vind je op de website van de Autoriteit Persoonsgegevens.
Om hieraan te kunnen voldoen, is het van belang dat je als organisatie ergens documenteert, waar persoonsgegevens gerelateerd aan een persoon worden opgeslagen. Dit wordt in verwerkingsregisters geregistreerd.
Bij het registreren van persoonsgegevens wordt het volgende onderscheid gemaakt:
- Registers die jij hebt als verwerkingsverantwoordelijke: denk daarbij aan data; persoonsgegevens waar jij verantwoordelijke voor bent binnen jouw organisatie, zoals bijvoorbeeld persoonsgegevens van jouw eigen medewerkers.
- Persoonsgegevens waar jij verwerker van bent, maar niet verantwoordelijk voor bent. Bijvoorbeeld klantdata die jouw organisatie verwerkt. Omdat jouw organisatie toegang heeft tot deze data. Voorbeeld: Stel jij levert als softwareleverancier een applicatie waarin persoonsgegevens verwerkt kunnen worden, dan ben jij verwerker, omdat je toegang hebt tot die data. Je bent niet de verantwoordelijke voor die data.
Voor wie is de AVG module?
De AVG module is voor elke kleine of grote organisatie die graag alle managementinformatie, van certificeringen tot aan verwerking persoonsgegevens, op één online locatie wil registreren. Registratie van calamiteiten is ook mogelijk in de PCT.
Los van de AVG module is er binnen de PCT het KAVI; incidentenformulier. Hierin is de mogelijkheid aanwezig om incidenten ten aanzien van persoonsgegevens te registeren. Zeker wanneer je een melding dient te doen bij de Autoriteit Persoonsgegevens (AP) en hier opvolging aan dient te geven, is het eenvoudig wanneer alle informatie op één locatie beschikbaar is.
ISO 27701: informatiebeveiliging persoonsgegevens
De AVG module, ook wel de ISO 27701 module genoemd, de norm die zich richt op informatiebeveiliging ten aanzien van persoonsgegevens. Wanneer je als organisatie in het bezit bent van een ISO 27001 certificering, kun je je aanvullend laten certificeren op deze norm. De norm zegt ook dat je meer zicht dient te hebben op bepaalde persoonsgegeven en de gerelateerde processen. Je dient jaarlijks te controleren of je nog wel de juiste verwerkingen doet en de PDCA cyclus toepast. Ook al wil je als organisatie je niet laten certificeren voor deze norm, is het wel een goede manier om zicht te geven in de verwerking van persoonsgegevens van jouw organisatie.
ISO 27701 voor privacy-informatiemanagement
ISO 27701 helpt je bij het naleven van én invulling geven aan de informatiebeveiliging ten aanzien van privacy, waarmee je beheersmaatregelen implementeert om in control te zijn van de AVG. De norm specificeert eisen voor het opzetten, onderhouden en verbeteren van een Privacy Information Management Systeem (PIMS), een managementsysteem waarmee je de persoonsgegevens van je klanten, leveranciers en medewerkers beschermt.
Als je organisatie al gecertificeerd is voor ISO 27001 of NEN 7510 de norm voor Informatiebeveiliging in de zorg, dan zijn de vereiste maatregelen uit de ISO 27701 relatief eenvoudig toe te voegen en te implementeren.
Audit informatiebeveiliging
Ook tijdens de audit van ISO 27001 voor informatiebeveiliging wordt er getoetst op naleving van het wettelijk kader; hoe de omgang is met persoonsgegevens vanuit de AVG. Hier zijn twee controls uit de norm op van toepassing:
- A.18.1 Naleving van wettelijke en contractuele eisen.
- A.18.1.4 Privacy en bescherming van persoonsgegevens
Je dient als organisatie verwerkingsovereenkomsten te hebben van de verwerkingen en een verwerkingsregister om aan te teven welke data worden verwerkt, zodat dit getoetst kan worden. Wanneer dit niet volledig aanwezig is, kun je een afwijking krijgen tijdens de audit.
Kosten AVG module
€45,- per maand*
De AVG module wordt afgenomen aanvullend op een PCT licentie voor jouw organisatie. Je kunt iedereen toegang geven tot deze module.
*De licentie wordt afgenomen voor één jaar en wordt maandelijks achteraf gefactureerd.
Voordelen AVG ISO 27701 module
- Informatie ten aanzien van persoonsgegevens en certificeringen overzichtelijk en op één locatie.
- Controle is eenvoudig door overzicht in de gegevens.