Tag: Privacybeheer

  • ISO 27701 of alleen AVG-beleid: wanneer heb je echt een PIMS nodig?

    ISO 27701 of alleen AVG-beleid: wanneer heb je echt een PIMS nodig?

    Privacy is geregeld… tot iemand doorvraagt

    In veel organisaties voelt privacy als iets dat “staat”. De privacyverklaring is gepubliceerd, verwerkersovereenkomsten zijn geregeld en er is een overzicht van verwerkingen. Op papier klopt het.

    Totdat er vragen komen.

    Een klant wil weten hoe jullie omgaan met privacyrisico’s. Een auditor vraagt hoe beslissingen rondom persoonsgegevens tot stand komen. Intern ontstaat discussie over de vraag of dit eigenlijk wel consistent gebeurt.

    Op dat moment blijkt dat privacy niet ontbreekt, maar dat de onderbouwing ontbreekt. Niet wat je doet, maar hoe je het uitlegt.

    Het verschil tussen AVG-beleid en privacybeheer

    De AVG verplicht organisaties om zorgvuldig met persoonsgegevens om te gaan. Veel organisaties vertalen dat naar beleid en documentatie. Dat is logisch, maar het is niet hetzelfde als daadwerkelijk privacybeheer.

    Beleid beschrijft wat je doet. Privacybeheer laat zien hoe je keuzes maakt.

    In de praktijk betekent dat dat beleid vaak reactief en documentgedreven is, terwijl privacybeheer juist doorlopend is en gekoppeld aan processen, risico’s en verantwoordelijkheden. De AVG geeft richting aan wat er moet gebeuren, maar zegt weinig over hoe je dat structureel organiseert.

    En precies daar ontstaat in veel organisaties de spanning.

    Wat een PIMS in de praktijk betekent

    Een Privacy Information Management System (PIMS) klinkt vaak zwaarder dan het is. In de praktijk gaat het niet om extra documentatie, maar om samenhang.

    Een PIMS zorgt ervoor dat privacy geen losse activiteit blijft, maar onderdeel wordt van hoe je werkt en beslist. Dat zie je vooral terug in hoe organisaties omgaan met afwegingen.

    Wanneer vraagt een verwerking om extra aandacht? Wie neemt die beslissing? En kun je later nog uitleggen waarom een keuze logisch was?

    Zonder structuur blijven dit soort vragen afhankelijk van personen. Met structuur worden ze herhaalbaar en uitlegbaar. Niet omdat alles dichtgeregeld is, maar omdat duidelijk is hoe keuzes tot stand komen.

    De relatie met ISO 27001

    Voor organisaties die al met informatiebeveiliging werken, wordt deze vraag vaak zichtbaar in de relatie tussen ISO 27001 en ISO 27701.

    ISO 27001 richt zich op het beschermen van informatie via een Information Security Management System. ISO 27701 sluit daarop aan en breidt dit uit met privacybeheer rondom persoonsgegevens.

    Het verschil zit vooral in perspectief. Informatiebeveiliging gaat over beschikbaarheid, integriteit en vertrouwelijkheid van data. Privacy gaat over de rechtmatigheid en uitlegbaarheid van het gebruik ervan.

    Daarmee verschuift de aandacht. Niet alleen naar het beschermen van data, maar ook naar de vraag of en hoe je die data verwerkt, welke rol je daarin hebt en hoe je omgaat met de rechten van betrokkenen.

    Wie dit onderscheid verder wil verdiepen, kan ook kijken naar Wat is een ISMS en waarom is het belangrijk voor jouw bedrijf en Het verschil tussen PIMS en ISMS: Wat past bij jouw bedrijf?.

    Wanneer AVG-beleid voldoende kan zijn

    Niet elke organisatie heeft een PIMS nodig.

    Er zijn situaties waarin een pragmatische invulling van de AVG goed werkt. Dat geldt met name wanneer persoonsgegevens een beperkte rol spelen binnen de dienstverlening en de complexiteit van verwerkingen laag blijft.

    In die context is het belangrijker dat je helder kunt uitleggen wat je doet, dan dat je een uitgebreid systeem inricht. De voorwaarde is wel dat die uitleg consistent blijft.

    Zodra antwoorden beginnen te verschillen per persoon of situatie, ontstaat alsnog een probleem. Niet omdat de inhoud ontbreekt, maar omdat de samenhang ontbreekt.

    Wanneer structuur noodzakelijk wordt

    Er is een kantelpunt waarop privacy niet meer als losse activiteit werkt.

    Dat punt herken je niet aan het aantal documenten, maar aan het soort vragen dat terugkomt. Klanten gaan gerichter doorvragen, vergelijkbare situaties leiden tot verschillende antwoorden en beslissingen blijken achteraf lastig te reconstrueren.

    In die situaties ontbreekt geen kennis, maar samenhang. En juist daar ontstaat de behoefte aan structuur.

    Voor organisaties die die afweging concreter willen maken, geven PIMS of ISMS? Praktische voorbeelden voor de juiste keuze en PIMS of ISMS: wat past bij jouw organisatie? een goed beeld van hoe dit in de praktijk uitpakt.

    Wanneer een PIMS te zwaar is

    Een PIMS voegt alleen waarde toe als het een concreet probleem oplost.

    Wanneer privacy geen structureel onderdeel is van de dienstverlening, kan extra structuur juist onnodige complexiteit introduceren. Dat zie je wanneer de inrichting vooral tijd kost, terwijl de praktijk overzichtelijk blijft, of wanneer privacyvraagstukken zelden tot echte afwegingen leiden.

    In die situaties is het verstandiger om privacy pragmatisch te organiseren en pas te verdiepen wanneer de context daarom vraagt.

    Hoe je een goede keuze maakt

    De keuze voor een PIMS is geen normvraag, maar een organisatievraag.

    Het helpt om scherp te kijken naar drie dingen: de rol van persoonsgegevens in je dienstverlening, hoe vaak je privacykeuzes moet uitleggen en in hoeverre die keuzes nu consistent worden genomen.

    Wanneer de impact beperkt is en vragen zelden terugkomen, is een lichte aanpak vaak voldoende. Zodra de impact toeneemt en uitleg vaker nodig is, ontstaat vanzelf de behoefte aan meer structuur.

    Dit gaat niet over certificering

    ISO 27701 is geen doel op zich. Het is een manier om privacy zo te organiseren dat keuzes herhaalbaar zijn en uitlegbaar blijven, ook wanneer context verandert of mensen wisselen.

    De vraag is daarom niet of je ISO 27701 nodig hebt.

    De vraag is of je privacy nog kunt uitleggen zonder afhankelijk te zijn van wie er toevallig bij betrokken was.

    Tot slot

    Veel organisaties hebben privacy op papier goed geregeld. De echte test komt pas wanneer iemand doorvraagt.

    Dan wordt zichtbaar of keuzes onderdeel zijn van een systeem, of van een gesprek dat ooit heeft plaatsgevonden.

    In dat verschil zit het kantelpunt.

    Als je merkt dat uitleg afhankelijk wordt van personen in plaats van van structuur, is dat vaak het moment waarop losse maatregelen niet meer voldoende zijn en samenhang nodig wordt om consistentie vast te houden.

  • De DPIA werd pas gestart toen het besluit al genomen was

    De DPIA werd pas gestart toen het besluit al genomen was

    Waarom een DPIA alleen werkt als je hem inzet vóór de keuze

    Het besluit was in feite al genomen. De leverancier was gekozen, de planning stond vast en de communicatie lag klaar. Tijdens een laatste check kwam de vraag alsnog op tafel: “Moeten we hier niet ook een DPIA voor doen?”

    Niemand bedoelde het verkeerd. In tegendeel. Het voelde zorgvuldig. Privacy werd serieus genomen, risico’s kregen aandacht en de juiste mensen werden betrokken. De DPIA werd ingepland, ingevuld en vastgelegd. Formeel klopte alles.

    Maar inhoudelijk veranderde er niets meer. De uitkomst had geen invloed op het besluit. De risico’s werden beschreven, maar niet afgewogen. De keuzes lagen a vast. Eigenlijk wist iedereen dat dit document niets meer zou veranderen.

    En precies daar gaat het vaak mis.

    De DPIA als sluitstuk

    In veel organisaties wordt de DPIA benaderd als een verplicht document. Iets dat je moet hebben zodra een project persoonsgegevens raakt. Dat leidt tot een herkenbaar patroon. De DPIA komt laat in het traject, wanneer richting en keuzes al zijn bepaald. De vragen voelen abstract, omdat ze geen ruimte meer krijgen om iets te beïnvloeden. De uitkomst wordt geaccepteerd, maar zelden gebruikt.

    Formeel is er niets fout gegaan. Er ligt een DPIA, hij is beoordeeld en goedgekeurd. Maar als instrument heeft hij weinig toegevoegd. De DPIA legitimeert een bestaand besluit in plaats van dat hij helpt om het besluit beter te nemen.

    Dat is geen juridisch probleem. Het is een governancevraagstuk.

    Wat een DPIA eigenlijk hoort te zijn

    Een DPIA is geen checklist en geen juridisch schild. In de kern is het een gestructureerd moment van twijfel. Een expliciete pauze waarin je zegt: we willen begrijpen wat de gevolgen zijn van de keuzes die we nu maken.

    Een goede DPIA draait daarom niet om formuleringen, maar om het expliciet maken van aannames en consequenties. Welke aannames doen we over gebruik en toegang? Welke risico’s accepteren we bewust, en welke niet? Wat gebeurt er als gegevens anders worden gebruikt dan we nu voorzien?

    Dat zijn geen juridische vragen. Het zijn vragen over besluitvorming.

    Privacy governance in de praktijk

    Hier raakt de DPIA aan privacy governance. Niet als beleid of papieren structuur, maar als dagelijkse praktijk. Privacy governance gaat niet over wie het document invult, maar over wie de afweging maakt.

    In veel organisaties wordt privacy belegd bij één persoon. Soms is dat een formele rol, soms degene die het er “bij doet”. Die persoon vult de DPIA in, geeft feedback en archiveert het document. De rest van de organisatie haakt af.

    Het gevolg is voorspelbaar. Privacy wordt iets dat geregeld moet worden, niet iets dat gezamenlijk wordt afgewogen.

    Goede privacy governance ziet er anders uit. Dan is de DPIA geen solistische exercitie, maar een gesprek tussen verschillende perspectieven. Degene die wil versnellen. Degene die verantwoordelijk is voor risico’s. Degene die de impact op betrokkenen overziet. Niet om consensus af te dwingen, maar om zichtbaar te maken waar spanning zit en welke keuzes daarachter schuilgaan.

    Waarom te laat zo hardnekkig is

    Dat DPIA’s vaak laat worden gestart, komt zelden door onwil. Het is een logisch gevolg van hoe projecten lopen. Eerst wil men vooruit. Pas daarna volgt de verantwoording.

    Bij privacy werkt dat echter averechts. Zodra een besluit is genomen, verandert de rol van de DPIA onbewust. Hij wordt geen stuurinstrument meer, maar een verdedigingsdocument. Alles wat de gekozen richting ter discussie zou kunnen stellen, voelt dan als een risico voor voortgang.

    Dat hoor je terug in formuleringen als “dit risico accepteren we”, “de kans is klein” of “anderen doen dit ook zo”. Niet per definitie onjuist, maar vaak niet onderbouwd. De DPIA legt vooral de conclusie vast, niet het denkproces dat eraan voorafging.

    Juist daarom is timing cruciaal. Een DPIA krijgt pas waarde als er nog ruimte is om alternatieven te overwegen. Denk aan een andere inrichting van toegang, een korte bewaartermijn, een aangepaste configuratie of een andere leverancier. Als die opties niet meer bespreekbaar zijn, documenteer je vooral wat al besloten is.

    De misvatting van “we zijn compliant”

    Een hardnekkige denkfout is dat een ingevulde DPIA gelijkstaat aan compliant zijn. In werkelijkheid zegt een DPIA niets over goed of fout. Hij laat alleen zien dat er is nagedacht, of dat in ieder geval wordt gesteld dat er is nagedacht.

    In praktijkvragen, klantbeoordelingen en audits gaat het steeds vaker over de onderbouwing achter keuzes. Waarom is dit risico acceptabel? Wie heeft dat besloten? En op basis waarvan?

    Zonder die context blijft een DPIA een leeg bewijsstuk.

    De relatie met risicomanagement

    Hier sluit de DPIA aan op een breder patroon. In veel organisaties worden risicoanalyses opgesteld, maar zelden gebruikt. Ze bestaan in documenten, niet in besluitvorming. De DPIA vormt daarop geen uitzondering.

    Wanneer risico’s niet zichtbaar worden verbonden aan keuzes, blijven ze abstract. Ze leven in rapporten, niet in gedrag. Een DPIA die geen invloed heeft op besluiten, draagt niet bij aan beheersing, maar alleen aan archivering.

    Organisaties die de DPIA wél serieus nemen, behandelen hem als onderdeel van hun bredere afwegingskader. Niet losstaand, maar in samenhang met andere risico’s, belangen en verantwoordelijkheden.

    Wat dit vraagt in de praktijk

    Een DPIA die werkt, vraagt geen extra stappen, maar een andere timing en houding. Niet de vraag of hij is ingevuld, maar of dit het juiste moment is om risico’s zichtbaar te maken.

    Dat betekent eerder beginnen, voordat alles vastligt. Het betekent meerdere perspectieven betrekken. En het betekent accepteren dat de uitkomst soms ongemakkelijk kan zijn.

    Wie dat aandurft, merkt dat een DPIA geen rem hoeft te zijn. Het wordt een manier om verantwoordelijkheid te nemen, keuzes uit te leggen en vertrouwen op te bouwen.

    Tot slot

    De DPIA is geen administratieve last en geen juridisch obstakel. Het is een instrument om betere besluiten te nemen, mits hij wordt ingezet waarvoor hij bedoeld is.

    Wanneer de DPIA onderdeel is van het besluit zelf, helpt hij om keuzes bewust te maken in plaats van ze achteraf te verdedigen. Daar begint privacy governance in de praktijk.

    Verder lezen