Tag: Privacy

  • Onze AI-leverancier scoorde een 10 in de salespitch, tot de DPIA ons wakker schudde

    Het was een indrukwekkende demonstratie. Onze nieuwe AI-leverancier liet in een half uur zien hoe hun tool processen kon versnellen, rapportages kon automatiseren en zelfs voorspellingen kon doen op basis van onze data. Alles zag er gelikt uit: een gebruiksvriendelijke interface, veelbelovende voorbeelden en een prijs die aantrekkelijk was voor ons budget. We gaven het product inwendig een 10. Hier hadden we eindelijk dé oplossing gevonden om onze compliance slimmer en efficiënter te maken.

    Totdat we een Data Protection Impact Assessment (DPIA) uitvoerden – verplicht zodra sprake is van een waarschijnlijk hoog risico voor de privacy van betrokkenen.

    Waarom een DPIA onmisbaar is bij AI

    Een DPIA is geen formaliteit. Het is een instrument om vooraf de privacyrisico’s van een nieuwe verwerking of systeem in kaart te brengen. De AVG schrijft dit voor wanneer de verwerking waarschijnlijk een hoog risico inhoudt. AI-systemen vallen hier vaak onder, omdat ze grote hoeveelheden data verwerken, analyseren n combineren.

    In ons geval bleek dat de AI-oplossing niet alleen onze interne data analyseerde, maar óók gebruikmaakte van externe datasets en subcontractors in meerdere landen. Met andere woorden: onze klantgegevens zouden door meer handen gaan dan in de salespitch werd genoemd.

    Van enthousiasme naar ongemakkelijkheid

    Tijdens de DPIA rezen cruciale vragen: waar staan de gegevens, welke subverwerkers zijn betrokken, wordt data gebruikt voor modeltraining en hoe lang (en door wie) worden logs bewaard?

    Het bleek dat de leverancier de technische werking prima voor elkaar had, maar dat er nauwelijks aandacht was besteed aan transparantie en contractuele borging. Alles wat in de pitch zo solide leek, voelde ineens wankel.

    Vier lessen uit onze eigen DPIA-ervaring

    De belangrijkste inzichten die wij opdeden bij het uitvoeren van de DPIA, vertaal ik graag naar praktische lessen voor andere organisaties:

    1. Vraag altijd naar de subverwerkerslijst

    Een leverancier kan nog zo betrouwbaar lijken, maar als zij gebruikmaken van derden (bijvoorbeeld een clouddienst in een ander land), dan lopen jouw gegevens ook daar risico. Vraag altijd een actueel overzicht van subverwerkers en borg contractueel dat nieuwe subverwerkers alleen met jouw toestemming worden toegevoegd.

    2. Controleer hoe logs en datapaden zijn ingericht

    AI-systemen verwerken data op manieren die niet altijd zichtbaar zijn. Zorg dat er een duidelijk overzicht is van welke gegevens worden verwerkt, waar deze naartoe gaan en hoe lang logs worden bewaard. Logging moet zó zijn ingericht dat verwerkingen transparant zijn en loggegevens niet langer bewaard worden dan noodzakelijk.

    3. Borg afspraken in contractclausules

    Mondelingen toezeggingen zijn waardeloos als ze niet zwart op wit staan. Leg doelbinding, verbod op hergebruik voor modeltraining, bewaartermijnen en aansprakelijkheid expliciet vast.

    4. Doe een praktische risicoanalyse

    Een DPIA hoeft geen papieren exercitie te zijn. Beoordeel concreet: wat kan er misgaan, wat is de impact voor betrokkenen en welke maatregelen zijn er nodig? Een tool als CompliTrack kan dit proces ondersteunen door risico’s, maatregelen en verantwoordelijkheden overzichtelijk vast te leggen.

    Hoe een GRC-tool hierbij helpt

    Voor veel kleinere organisaties voelt dit proces als een enorme drempel. Maar juist daarom kan een lichtgewicht GRC-tool, zoals CompliTrack, het verschil maken.

    Leg DPIA-risico’s centraal vast en koppel ze aan maatregelen, eigenaren en herbeoordelingen. Registreer incidenten, documenteer clausules en automatiseer opvolgtaken in één overzicht. In plaats van losse Excel-sheets en mapjes, ontstaat er zo één systeem waarmee je grip houdt op leveranciers en hun AI-oplossingen.

    Van frustratie naar opluchting

    De realisatie dat onze AI-leverancier niet volledig transparant was, gaf aanvankelijk frustratie en schaamte. Hoe konden we dit over het hoofd zien? Maar door de DPIA serieus uit te voeren, konden we alsnog de juiste voorwaarden afdwingen en alternatieve maatregelen nemen.

    Het resultaat? Geen naïef vertrouwen meer in een gelikte salespitch, maar een gecontroleerde samenwerking waarin verantwoordelijkheden en risico’s helder zijn vastgelegd. Dat zorgde uiteindelijk voor opluchting: we hadden wél grip op de situatie.

    Waarom dit juist nu relevant is voor het MKB

    Veel kleinere bedrijven staan aan het begin van hun AI-adoptie. AI belooft tijdswinst en efficiëntie, maar zonder goede due diligence kan het uitmonden in risico’s: datalekken, reputatieschade of boetes.

    De les van onze ervaring: laat je niet verblinden door de technologie, maar kijk altijd naar de governance en compliance-structuur erachter.

    Een DPIA is daarbij geen lastige verplichting, maar een kans om fouten vóór te zijn. Het helpt je om AI-leveranciers niet alleen te beoordelen op functionaliteit, maar ook op betrouwbaarheid.

    Conclusie

    De mooiste demo of pitch zegt niets over hoe veilig en verantwoord een AI-oplossing met jouw data omgaat. Een DPIA dwingt je om kritische vragen te stellen, de juiste contractuele afspraken te maken en grip te houden op de risico’s die derde partijen met zich meebrengen.

    Voor het MKB is dit geen luxe, maar een noodzaak. Want juist organisaties zonder compliance-afdeling kunnen zich geen datalek of AVG-boetes veroorloven.

    Wil jij zeker weten dat jouw AI-leveranciers écht betrouwbaar zijn? Start vandaag nog met een DPIA en ontdek hoe een praktische GRC-tool zoals CompliTrack je helpt om risico’s te beheersen en met vertrouwen te werken met AI.

    Verder lezen

  • Wat we leerden van een klantincident: waarom een PIMS geen luxe is

    Wat we leerden van een klantincident: waarom een PIMS geen luxe is

    Een middelgroot adviesbureau in de zakelijke dienstverlening stuurde per ongeluk een Excel-bestand met persoonsgegevens naar de verkeerde klant. Wat volgde was een klassiek AVG-datalek: onbedoeld gedeelde klantinformatie, stress over meldplichten, onzekerheid over procedures – en uiteindelijk de conclusie dat het bestaande privacybeleid vooral op papier bestond.

    Het was een confronterend moment voor deze organisatie, die nota bene zelf diensten aanbiedt op het gebied van digitalisering en gegevensverwerking. Wat ze dachten geregeld te hebben, bleek in praktijk nauwelijks gevolgd.

    En ze zijn bepaald niet de enige.

    Wanneer privacybeleid geen bescherming biedt

    Veel organisaties hebben tegenwoordig wél een privacyverklaring, een verwerkersovereenkomst en een paar algemene richtlijnen. Maar als je eenmaal te maken krijgt met een incident – of met een klant die vragen stelt over je databeheer – merk je al snel dat losse documenten geen bescherming bieden.

    Wat ontbreekt, is structuur. Niet de intentie om privacy serieus te nemen, maar de vertaalslag naar processen, eigenaarschap en toezicht.

    Precies daar komt een PIMS in beeld.

    Wat is een PIMS?

    Een Privacy Information Management System (PIMS) helpt organisaties om de verwerking van persoonsgegevens aantoonbaar te organiseren, beoordelen en verbeteren. Het biedt structuur, overzicht en herhaalbaarheid.

    Een goed PIMS geeft antwoord op vragen als:

    • Wie verwerkt welke persoonsgegevens?
    • Waar liggen de grootste risico’s?
    • Hoe worden datalekken geregistreerd en afgehandeld?
    • Welke maatregelen zijn gekoppeld aan welke risico’s?
    • Is er toezicht op naleving en bewustzijn?

    Een PIMS is geen extra bureaucratische laag. Het is juist het fundament onder professioneel privacybeheer – zeker voor organisaties die willen voldoen aan de AVG of werken richting ISO 27701.

    De casus: wat ging er mis?

    In dit specifieke geval werd een bestand met persoonsgegevens gemaild naar een verkeerd contact. Er was geen bestandscodering, geen automatische waarschuwing, en geen tweekoppige controle bij verzending. Binnen een kwartier was de fout helder – en de gevolgen serieus.

    Wat bleek:

    • Er was geen actueel verwerkingsregister.
    • Incidenten werden niet structureel geregistreerd of geëvalueerd.
    • Er waren geen duidelijke rollen en taken bij privacybeheer.
    • Bewustwordingstrainingen waren eenmalig – en twee jaar geleden.

    De organisatie handelde correct: ze voerden een interne beoordeling uit, documenteerden het incident en kozen ervoor om het datalek te melden bij de toezichthouder. Maar belangrijker: het was een wake-up call. Geen paniek, geen boete – maar wel reputatieschade bij een klant.

    Wat een PIMS had kunnen voorkomen

    Als de organisatie had gewerkt met een gestructureerd PIMS, hadden ze:

    • Automatisch inzicht gehad in welke risico’s aan welke processen gekoppeld zijn.
    • Bewustwordingstrainingen jaarlijks kunnen opvolgen en documenteren.
    • Incidenten kunnen registreren, evalueren en koppelen aan verbetermaatregelen.
    • Een verwerkingsregister paraat gehad voor de klantvraag én voor zichzelf.
    • Een vast incident response-plan gehad, inclusief verantwoordelijkheden en checklists.

    Met andere woorden: ze hadden niet hoeven improviseren onder druk.

    De rol van tooling

    Een PIMS hoeft niet groot, duur of complex te zijn. Juist kleinere organisaties profiteren van een lichtgewicht oplossing met heldere processen. In dit geval koos het adviesbureau na het incident voor een gestroomlijnde GRC-tool (CompliTrack), waarmee ze o.a.:

    • DPIA’s standaard onderdeel maakten van projectstart.
    • Incidenten en verbeteracties automatisch volgden.
    • Rollen en taken rondom privacybeheer vastlegden.
    • Inzicht kregen in maatregelen per verwerkingsactiviteit.

    Binnen drie maanden stonden ze er organisatorisch én auditmatig beter voor dan ooit.

    Conclusie: privacy is geen paragraaf, maar een proces

    Datalekken zijn zelden het gevolg van slechte bedoelingen. Maar ze leggen wel pijnlijk bloot waar processen ontbreken. Privacybeleid is belangrijk – maar zonder structuur, eigenaarschap en opvolging is het geen bescherming, maar schijnzekerheid.

    Een PIMS brengt rust, overzicht en aantoonbare naleving. En met de juiste tooling is het eenvoudiger dan veel organisaties denken.

    Meer lezen?

    Meer weten over hoe CompliTrack privacy structureel ondersteunt?

    Neem vandaag nog contact met ons op om een demo te plannen.

  • PIMS of ISMS? Praktische voorbeelden voor de juiste keuze

    PIMS of ISMS? Praktische voorbeelden voor de juiste keuze

    Je wilt serieus werk maken van privacy en informatiebeveiliging, maar waar begin je? ISO 27001, ISO 27701, PIMS, ISMS… de afkortingen vliegen je om de oren. En dan komt de echte uitdaging: hoe vertaal je dat allemaal naar iets dat gewoon werkt in de dagelijkse praktijk?

    Deze blog helpt je kiezen tussen een PIMS en een ISMS en geeft praktische voorbeelden van organisaties die je situatie waarschijnlijk goed zullen herkennen. Geen theoretische modellen, maar concrete situaties en oplossingen waar je direct mee aan de slag kunt.

    Even terug: wat is het verschil tussen een ISMS en een PIMS?

    Een ISMS (Information Security Management System) is een raamwerk waarmee je álle informatie in je organisatie beschermt. Denk aan klantgegevens, financiële gegevens, offertes of interne documenten.

    Een PIMS (Privacy Information Management System) is een uitbreiding op ISO 27001 en richt zich specifiek op de bescherming van persoonsgegevens, bijvoorbeeld in het kader van de AVG/GDPR.

    In de blog Het verschil tussen PIMS en ISMS: Wat past bij jouw bedrijf? (22 december 2024) legden we het al in hoofdlijnen uit. In deze blog gaan we een stap verder en kijken we vooral naar de praktische toepasbaarheid.

    Praktijkvoorbeeld 1: Webshop met groeiambities

    Een webshop verwerkt dagelijks persoonsgegevens: namen, adressen, betaalgegevens. Er is behoefte aan structuur en controle over hoe met die gegevens wordt omgegaan. ISO 27001 lijkt logisch, maar al snel blijkt dat ook ISO 27701 nodig is om aan de privacyregels te voldoen.

    Uitdaging: Er is beleid geschreven, maar het blijft hangen in abstracte taal. Medewerkers weten niet goed wat ze concreet moeten doen. De procedures verdwijnen in een mapje dat niemand meer opent.

    Oplossing: Koppel beleid aan de praktijk. Zet in je software concrete taken klaar zoals: “Controleer maandelijkse verwijdering van oude accounts” of “Beoordeel toegang tot klantdata”. Zo geef je uitvoering aan je beleid – en maak je het tastbaar.

    Praktijkvoorbeeld 2: Zorgaanbieder met focus op privacy

    Een organisatie die werkt met medische of persoonlijke gegevens wil vooral aan de AVG voldoen. De verwerking van persoonsgegevens staat centraal, er is minder aandacht nodig voor andere vormen van informatiebeveiliging.

    Keuze: Hier past een PIMS goed. De organisatie werkt met verwerkingsregisters, datalekprocedures, en voert regelmatig DPIA’s uit. De focus ligt op privacy, en dat is precies waar een PIMS voor bedoeld is.

    Let op: Zorg dat je niet alleen de AVG ‘afvinkt’. Zorg dat processen zoals rechten van betrokkenen en dataminimalisatie ook echt zijn ingeregeld en opgevolgd worden.

    Praktijkvoorbeeld 3: Adviesbureau met vertrouwelijke klantinformatie

    Een adviesbureau verwerkt nauwelijks persoonsgegevens, maar wel gevoelige informatie van klanten: offertes, strategische plannen, technische ontwerpen. Een datalek zou grote schade opleveren.

    Keuze: Een ISMS is hier voldoende. Het gaat niet om privacy, maar om vertrouwelijkheid en integriteit van informatie. Denk aan risicoanalyses, toegangsbeheer, en back-upbeleid.

    Oplossing: Begin met het classificeren van informatie: wat is openbaar, wat is intern, wat is vertrouwelijk? Zorg voor toegangsbeperkingen en bewustwording bij medewerkers. Met GRC-software kun je rollen, taken en controles overzichtelijk organiseren.

    Van beleid naar praktijk: veelvoorkomende uitdagingen (en hoe je ze oplost)

    1. Beleid blijft abstract

    Je hebt een mooi beleidsdocument. Maar niemand weet precies wat ermee moet gebeuren.

    Zo maak je het praktisch:

    • Zet je beleidsdoelen om in concrete werkprocessen.
    • Schrijf procedures in begrijpelijke taal.
    • Gebruik voorbeelden uit je eigen werkomgeving (bijv. “Bij verlof van medewerkers: verwijder e-mailtoegang binnen 24 uur”).

    2. Beperkte betrokkenheid

    Beleid komt van bovenaf, maar wordt onderin de organisatie niet gedragen.

    Wat werkt:

    • Betrek medewerkers actief bij de inrichting van processen.
    • Laat teams meedenken bij risicoanalyses of procesverbeteringen.
    • Gebruik korte instructievideo’s of visuele hulpmiddelen om uitleg te geven.

    3. Geen opvolging of controle

    Er worden afspraken gemaakt, maar niemand checkt of het gebeurt.

    Zorg voor structuur:

    • Automatiseer herinneringen en terugkerende controles in je software.
    • Plan periodieke reviews of interne audits.
    • Laat acties opvolgen door verschillende medewerkers, zodat het niet afhangt van één persoon.

    4. Tooling sluit niet aan bij je werkproces

    Sommige organisaties kopen een te complexe tool of blijven hangen in Excel.

    Slimme aanpak:

    • Kies een tool die meegroeit met je behoeften.
    • Begin klein met alleen risico’s en acties, breid later uit naar audits of verbetermaatregelen.
    • Zorg dat iedereen zonder uitgebreide training ermee kan werken.

    Meer hierover? Lees ook de blog ISMS implementatie in de praktijk voor tips over de vertaling van beleid naar uitvoerbare ISO 27001-processen.

    Welke aanpak past bij jou?

    Stel jezelf deze vragen:

    • Gaat het om bescherming van alle informatie, of specifiek om persoonsgegevens?
    • Wil je één raamwerk voor informatiebeveiliging, of specifiek werken aan privacycompliance?
    • Heb je al structuur, of begin je vanaf nul?
    • Werk je vooral met interne documenten, klantdata of privacygevoelige gegevens?

    Je hoeft niet direct alles tegelijk te doen. Belangrijk is dat je begint op een manier die werkt voor jouw organisatie.

    Tot slot: maak het niet moeilijker dan nodig

    Beleid is niets waard zonder uitvoering. Met de juiste aanpak én tooling zorg je dat processen worden nageleefd, zonder dat het onnodig complex wordt. GRC-software zoals CompliTrack is ontworpen om eenvoudig structuur aan te brengen – zonder dure implementaties of ingewikkelde inrichting.

    Benieuwd wat het beste past in jouw situatie? Plan een vrijblijvend gesprek via de contactpagina