Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

B.07.3 De FG en toetsing van de Interne Organisatie

Toetsing van de interne organisatie

De organisatie neemt "passende organisatorische en technische maatregelen". De FG zal moeten toetsen op het voldoen daarvan aan de AVG.

Deze bijlage gaat over de organisatorische maatregelen. De belangrijkste aspecten zijn:

  • is de organisatie en haar medewerkers uitgerust voor het toepassen van de AVG bij hun taken?

  • kunnen de Betrokkenen hun rechten uitoefenen?

  • kan een datalek adequaat worden opgepakt? 

De toetsing van de FG bestaat uit twee delen. Allereerst zullen alle elementen van de AVG (als voorschrift) in het beleid moeten zijn opgenomen. Daarnaast moet het beleid voldoen aan de normen van de AVG. Vaak worden bij die toetsing ook andere toetsingskaders (of normen) gebruikt. De meest bekende is ISO-27001 "Informatiebeveiliging", die ICT is georienteerd. Scholen gebruiken vaak ook het SAMBO-toetsingskader.  Gemeentes gebruiken NEN-7510, die sterk op de ISO-norm lijkt.

De checklist op interen organisatie voor de FG volgt het Check-Privacy Framework met een serie vragen die de FG zich kan stellen met daaraan gekoppeld de referenties naar de genoemde toetsingskaders. De lijst dekt in ieder geval alle voorgeschreven elementen van de AVG. 

 

Hfdst/par. Te toetsen aspecten: AVG ISO 27001

IBP

D0C7

2.1

Organisatie structuur en taken medewerkers

  1. Zijn alle taken rondom AVG goed belegd?

  2. Zijn er één of meerdere vv's? 

  3. Is er goed beschreven wat de taken zijn van deze vv's?

  4. Is er getoetst of deze beschreven taken bekend zijn bij de medewerkers (vv's? )

  5. Is het duidelijk wie de vv benoemd?

  6. Is de vv voldoende capabel voor alle verantwoordingen die hij/zij heeft?  Zo niet, wordt deze vv adequaat ondersteund?  

Dezelfde serie vragen moet worden vastgesteld / vastgelegd m.b.t. de v, de FG, de Directie. Kortom is de organisatie structuur en werkprocessen rondom Privacy goed geborgd?

 

 

 

2.2

Afhandelen vragen van Betrokkenen: zijn de processen rondom de rechten van Betrokkenen goed (in-)geregeld?

  1. kunnen alle rechten (informatie, beperken, wissen, corrigeren, overdragen) worden uitgevoerd? 

  2. zijn processen vastgelegd en beschreven?

  3. zjjn de registers goed en volledig? Is het resultaat van een proces correct?

 

 

 P.13


 

hfd. 2 Te toetsen
  Weten alle medewerkers waar zijn mogelijke inbreuken moeten aanmelden?
 

Is de medewerker bekend bij "soorten beveiligingsincidenten" zoals b.v.:

  1. het kwijt raken dan wel diefstal van een laptop, tablet, smartphone, USB stick of papieren dossiers
  2. door haperende beveiliging (technische storing) zijn mogelijk persoonsgegevens  ingezien door onbevoegden;
  3. de ruimte van de medewerker met daarin de fysieke persoonsdossiers heeft per ongeluk niet op slot gezeten voor een bepaalde periode;
  4. een medewerker eeft per ongeluk onbeheerd zijn laptop in zijn werkplek laten staan met daarop een memo-sticker met zijn inlognaam en wachtwoord;
  5. het verzenden door een medewerker van e-mail met vertrouwelijke gegevens aan de verkeerde ontvanger;
  6. het verzenden van een e-mail aan meerdere ontvangers die elkaars emailadressen niet kennen (zonder gebruik te maken van de bcc-optie);
  7. het crashen van een harde schijf met daarop persoonsgegevens;
  8. brand in een serverruimte of archiefruimte;
  9. aan de situatie dat één van de hier voor genoemde situaties zich voordoet bij een verwerker
  10. het kopiëren, meenemen of bijvoorbeeld vernietigen van persoonsgegevens door personeel bijvoorbeeld uit onvrede over ontslag of als vriendendienst of als gevolg van chantage;
  11. phishing: het uitbuiten van menselijke kwetsbaarheden door hen onder valse voorwendselen persoonsgegevens te ontfutselen via mail of internet;
  12. hack: het uitbuiten van kwetsbaarheden in informatiesystemen en webservers;
   Wordt alle incidenten vastgelegd in een bestand, ticket systeem o.i.d.? 
   Is de procedure duidelijk m.b.t. de verwerker? Is deze procedure vastgelegd in de vovk dan wel SLA?
 

Is het bekend dat niet ieder datalek aangemeld behoeft te worden aan de AP? 

  • Indien de inbreuk geen (of nauwelijks) risico’s met zich meebrengt voor de rechten en vrijheden van betrokkene(n)?
   
   
   

 

Vorige pagina      Volgende pagina

Afdrukken