Privacy Management Systeem
organisatie….
Module Opdracht Gegevensbescherming en
Privacy
Naam : Raimond Zonneveld
Studentnummer : 4676693
Datum : 16-11-2020
NCOI Opleidingsgroep
Opleiding Bachelor Business IT & Management
:
Module Gegevensbescherming en Privacy
Docent : Bram de Bruijn
:
,Voorwoord
Als Records & Information Lead ben ik per 01 september 2018 in dienst bij organisatie. Organisatie is
onderdeel van ORGANISATIE, een internationaal energie en water bedrijf opererend in 11 landen
verspreid over 4 continenten. Het Europese deel met daarbij Nederland houdt zicht voornamelijk
bezig met gas- en oliewinning en gas opslag.
Vanuit mijn rol ben ik verantwoordelijk voor het verbeteren van informatie management en de
informatie huishouding binnen de organisatie, inclusief datamanagement. Dit geldt ook voor de
informatie systemen en de informatie en data stromen en governance.
Het is mijn taak om te borgen dat de doelstellingen en strategie van de organisatie met betrekking tot
informatie management en data management vertaald worden naar verbeteringen binnen de
organisatie en op het vlak van systemen, informatie beschikbaarheid, kwaliteit, en datastromen in
samenwerking met de ORGANISATIE IT organisatie. De bescherming van persoonsgegevens en alle
procedures en processen hebben raakvlakken met mijn verantwoordelijk en daarom is het goed voor
mij om te begrijpen wat er allemaal speelt op dit vlak zodat ik dat kan meenemen in de plannen op het
gebied van informatie management en information governance en rekening kan houden met
mogelijke risico’s.
2
, Samenvatting
Binnen ORGANISATIE is privacy management en de wet AVG belegd in verschillende documenten
welke onderdeel zijn van het management systeem.
Deze opdracht richt zich specifiek op de verwerking van persoonsgegevens binnen het deel van het
Supply Chain proces wat zich bezig houdt met de inhuur van externe medewerkers en partijen.
Dit om activiteiten te vervullen binnen de organisatie welke competenties ORGANISATIE zelf niet in
huis heeft.
De verwerking kan plaatsvinden tijdens offerte trajecten met externe partijen waarin ook services (het
leveren van personeel en expertise) onderdeel zijn van de scope. Tevens kan de verwerking van
persoonsgegevens plaatsvinden gedurende het uitvoeren van activiteiten waarin ORGANISATIE
contractors inhuurt waarbij gegevens van contractors binnen ORGANISATIE worden verwerkt of dat
gegevens van ORGANISATIE medewerkers met contractors worden gedeeld. Tijdens deze fases
moeten implicaties met de Algemene Verordening Gegevensbescherming (AVG) geadresseerd
worden. Dit geldt met name waar gedurende het offerte traject nodig is om persoonlijke gegevens te
verwerken of te delen. Deze data kan bijvoorbeeld gaan over competenties van aangeboden
personeel en/of tarieven.
Een aantal risico’s zijn geïdentificeerd aan het verwerken van persoonsgegevens binnen het Supply
Chain proces:
- Persoonsgegevens worden op onrechtmatige wijze gedeeld of gebruikt
- Persoonsgegevens worden gebruikt voor doeleinden waar de betrokkenen niet van op de
hoogte zijn
- Door niet te voldoen aan de voorwaarden van de AVG loopt de ORGANISATIE organisatie
het risico van dwangmaatregelen of boetes
- Gegevens zijn in te zien door ongeautoriseerd personeel
- Er vindt een verwerking plaats van bijzondere persoonsgegevens
Om deze risico’s te bepalen en maatregelen te kunnen treffen om de risico’s af te vangen kan het
privacy control framework gebruikt worden als startpunt. Daarna kan een DPIA ingezet worden om de
risico’s te herkennen en akties te bepalen. Privacy by Design en Privacy by Default kan ingezet
worden om binnen systemen de juiste privacy maatregelen in te bouwen.
Het PCDA model kan helpen om de maatregelen te borgen en constant opnieuw te reviewen bij
veranderingen.
De beleidsverklaring voor betrokkenen laat zien hoe ORGANISATIE met persoonsgegevens omgaat.
Alhoewel binnen ORGANISATIE de documentatie omtrent de verwerking van persoonsgegevens op
orde is, en deze in het management systeem van de organisatie zijn opgenomen kunnen er nog
stappen gemaakt worden in de praktijk. Toetsing, training hebben extra aandacht nodig. Daarnaast
kunnen het regelmatig houden van oefeningen ook helpen.
Audits, intern en extern, moeten extra aandacht krijgen om zo compliance aan te tonen en
verbeteringen te identificeren.
3
organisatie….
Module Opdracht Gegevensbescherming en
Privacy
Naam : Raimond Zonneveld
Studentnummer : 4676693
Datum : 16-11-2020
NCOI Opleidingsgroep
Opleiding Bachelor Business IT & Management
:
Module Gegevensbescherming en Privacy
Docent : Bram de Bruijn
:
,Voorwoord
Als Records & Information Lead ben ik per 01 september 2018 in dienst bij organisatie. Organisatie is
onderdeel van ORGANISATIE, een internationaal energie en water bedrijf opererend in 11 landen
verspreid over 4 continenten. Het Europese deel met daarbij Nederland houdt zicht voornamelijk
bezig met gas- en oliewinning en gas opslag.
Vanuit mijn rol ben ik verantwoordelijk voor het verbeteren van informatie management en de
informatie huishouding binnen de organisatie, inclusief datamanagement. Dit geldt ook voor de
informatie systemen en de informatie en data stromen en governance.
Het is mijn taak om te borgen dat de doelstellingen en strategie van de organisatie met betrekking tot
informatie management en data management vertaald worden naar verbeteringen binnen de
organisatie en op het vlak van systemen, informatie beschikbaarheid, kwaliteit, en datastromen in
samenwerking met de ORGANISATIE IT organisatie. De bescherming van persoonsgegevens en alle
procedures en processen hebben raakvlakken met mijn verantwoordelijk en daarom is het goed voor
mij om te begrijpen wat er allemaal speelt op dit vlak zodat ik dat kan meenemen in de plannen op het
gebied van informatie management en information governance en rekening kan houden met
mogelijke risico’s.
2
, Samenvatting
Binnen ORGANISATIE is privacy management en de wet AVG belegd in verschillende documenten
welke onderdeel zijn van het management systeem.
Deze opdracht richt zich specifiek op de verwerking van persoonsgegevens binnen het deel van het
Supply Chain proces wat zich bezig houdt met de inhuur van externe medewerkers en partijen.
Dit om activiteiten te vervullen binnen de organisatie welke competenties ORGANISATIE zelf niet in
huis heeft.
De verwerking kan plaatsvinden tijdens offerte trajecten met externe partijen waarin ook services (het
leveren van personeel en expertise) onderdeel zijn van de scope. Tevens kan de verwerking van
persoonsgegevens plaatsvinden gedurende het uitvoeren van activiteiten waarin ORGANISATIE
contractors inhuurt waarbij gegevens van contractors binnen ORGANISATIE worden verwerkt of dat
gegevens van ORGANISATIE medewerkers met contractors worden gedeeld. Tijdens deze fases
moeten implicaties met de Algemene Verordening Gegevensbescherming (AVG) geadresseerd
worden. Dit geldt met name waar gedurende het offerte traject nodig is om persoonlijke gegevens te
verwerken of te delen. Deze data kan bijvoorbeeld gaan over competenties van aangeboden
personeel en/of tarieven.
Een aantal risico’s zijn geïdentificeerd aan het verwerken van persoonsgegevens binnen het Supply
Chain proces:
- Persoonsgegevens worden op onrechtmatige wijze gedeeld of gebruikt
- Persoonsgegevens worden gebruikt voor doeleinden waar de betrokkenen niet van op de
hoogte zijn
- Door niet te voldoen aan de voorwaarden van de AVG loopt de ORGANISATIE organisatie
het risico van dwangmaatregelen of boetes
- Gegevens zijn in te zien door ongeautoriseerd personeel
- Er vindt een verwerking plaats van bijzondere persoonsgegevens
Om deze risico’s te bepalen en maatregelen te kunnen treffen om de risico’s af te vangen kan het
privacy control framework gebruikt worden als startpunt. Daarna kan een DPIA ingezet worden om de
risico’s te herkennen en akties te bepalen. Privacy by Design en Privacy by Default kan ingezet
worden om binnen systemen de juiste privacy maatregelen in te bouwen.
Het PCDA model kan helpen om de maatregelen te borgen en constant opnieuw te reviewen bij
veranderingen.
De beleidsverklaring voor betrokkenen laat zien hoe ORGANISATIE met persoonsgegevens omgaat.
Alhoewel binnen ORGANISATIE de documentatie omtrent de verwerking van persoonsgegevens op
orde is, en deze in het management systeem van de organisatie zijn opgenomen kunnen er nog
stappen gemaakt worden in de praktijk. Toetsing, training hebben extra aandacht nodig. Daarnaast
kunnen het regelmatig houden van oefeningen ook helpen.
Audits, intern en extern, moeten extra aandacht krijgen om zo compliance aan te tonen en
verbeteringen te identificeren.
3
