Stel: een sollicitant stuurt een net verzoekje. Of hij even zijn eigen gegevens mag inzien. Geen gekke vraag – onder de AVG heb je daar als betrokkene recht op. Maar intern ontstaat direct onrust. Want waar die gegevens precies staan, wie er toegang toe heeft, of er iets is doorgestuurd naar een derde partij? Dat blijkt lastiger te achterhalen dan gedacht.
Veel organisaties komen op dit punt tot dezelfde conclusie: er is wel iets geregeld, maar grip op privacy ontbreekt. En dan duiken termen op als ISMS, PIMS, ISO 27001, ISO 27701. Inclusief bijbehorende verwarring. Want wat is het verschil? En belangrijker nog: wat heb jij nodig?
Informatiebeveiliging is breder dan privacy
Een ISMS – Information Security Management System – is een raamwerk van afspraken, processen en verantwoordelijkheden waarmee je informatie structureel beschermt. Daarbij gaat het niet alleen om persoonsgegevens, maar om álle waardevolle informatie binnen je organisatie: klantgegevens, technische documenten, rapportages, financiële overzichten, en nog veel meer.
De norm die daarbij hoort is ISO 27001. Binnen dat kader regel je zaken als toegangsbeheer, back-upbeleid, logging en continue monitoring. Alles draait om vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Maar of je die informatie überhaupt mag verwerken? Dat is een andere vraag.
Privacy stelt andere eisen
Een PIMS – Privacy Information Management System – benadert informatiebeveiliging vanuit de AVG. Hier ligt de nadruk niet op technische maatregelen, maar op juridische grondslagen en verantwoordelijkheden. Mogen we deze gegevens verzamelen? Met welk doel? Voor hoelang? Wie is verantwoordelijk als iemand om verwijdering vraagt?
Een PIMS helpt je om zulke vragen gestructureerd te beantwoorden en na te leven. Denk aan verwerkingsregisters, DPIA’s, bewaartermijnen, toestemmingsbeheer en procedures voor inzageverzoeken. De ISO 27701-norm sluit hierop aan: als uitbreiding op ISO 27001 biedt die een structurele aanpak voor privacybeheer. Niet verplicht, maar wel een krachtig hulpmiddel om aan te tonen dat je de AVG serieus neemt.
Wat past bij jouw situatie?
Dus terug naar die sollicitant die om inzage vroeg: had je daar een procedure voor, of moest je het bij elkaar zoeken?
Voor organisaties die vooral werken met persoonsgegevens – zoals HR-dienstverleners, zorgaanbieders of SaaS-platforms – is het logisch om te beginnen met privacystructuur. Dat betekent: je PIMS op orde. Voor bedrijven die daarnaast werken met andere vertrouwelijke informatie, zoals projectplannen, R&D-data of klantstrategieën, is een ISMS minstens zo belangrijk.
In de praktijk blijkt: het is geen kwestie van kiezen. Privacy en informatiebeveiliging zijn geen gescheiden domeinen. Ze grijpen in elkaar. Je kunt toegang goed geregeld hebben (ISMS), maar als je geen grondslag hebt voor de verwerking (PIMS), loop je alsnog risico. En andersom.
Structuur begint vóór certificering
Het goede nieuws: je hoeft niet te wachten op een certificaat om aan de slag te gaan. Wat je wél nodig hebt, is een aanpak waarmee je afspraken vastlegt, verantwoordelijkheden toewijst, processen bewaakt en bijhoudt wat er gebeurt. Van verzoeken tot incidenten, van taken tot auditacties.
Dat is precies waar CompliTrack op is ingericht. De tool helpt je om:
- AVG-verzoeken en incidenten vast te leggen en op te volgen,
- Taken rondom compliance te automatiseren en te structureren,
- Auditprocessen efficiënt uit te voeren én af te ronden met concrete acties.
Geen verwerkingsregister, geen beleidsbibliotheek, wel overzicht, actiegerichtheid en continuïteit. Daarmee leg je de basis voor grip. Of je nu begint bij informatiebeveiliging of privacy.
Het begint bij kiezen wat je nú nodig hebt
Of je nou werkt met sollicitanten, klanten, patiëntgegevens of interne projectinformatie, je draagt verantwoordelijkheid voor hoe je die informatie beheert, beveiligt en verwerkt. En dat vraagt keuzes.
Een ISMS helpt je risico’s op cyberincidenten beheersbaar te maken. Een PIMS helpt je voldoen aan de privacywet. Maar wat je vandaag vooral nodig hebt, is een aanpak die werkt in jouw praktijk. En die hoeft niet perfect te beginnen, als je maar begint.
De eerste stap? Bepalen waar je grootste risico ligt. De tweede? Iets opzetten wat je morgen kunt gebruiken.
Geef een reactie