Na het vernieuwde Privacy Control Framework (PCF) 3.0 van NOREA is ook het AVG Borgingsproduct vernieuwd. Versie 3.0, met de toepasselijke titel Privacy in Control, sluit beter aan op de praktijk van overheidsorganisaties, waar privacy niet alleen gaat over naleving van regels, maar over vertrouwen en transparantie. In deel II van dit drieluik bespreek ik deze nieuwe versie.

Doel en uitgangspunten

Van naleving naar verankering

Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) is er veel veranderd. Gemeenten en publieke organisaties werken steeds digitaler samen, wisselen meer gegevens uit en staan onder toenemende maatschappelijke en bestuurlijke druk om te laten zien dat ze privacy écht goed hebben geregeld.

Het AVG Borgingsproduct 3.0 Privacy in Control speelt daarop in: het helpt organisaties niet alleen om te voldoen aan de wet, maar vooral om aan te tonen dat privacy structureel geborgd is binnen beleid, processen en cultuur. Het biedt handvatten om privacy aantoonbaar te verankeren in de organisatie. Dus geen vinklijstjes of juridische paragraaf aan het eind van een project, maar een integrale aanpak die aansluit op governance, risicomanagement en kwaliteitszorg. De belangrijkste uitgangspunten zijn:

  • Risicogestuurd werken: privacyrisico’s worden geïdentificeerd, beheerst en gemonitord.
  • Verantwoordelijkheid in de lijn: privacy is niet alleen een taak van de Privacy Officer en de Functionaris Gegevensbescherming (FG), maar van de hele organisatie.
  • Continu verbeteren: leren van datalekken, audits en signalen uit de praktijk, zoals verzoeken van betrokkenen om hun privacyrechten uit te oefenen of bevindingen uit interne controles.

Daarmee sluit het borgingsproduct goed aan op de werkwijze die gemeenten ook kennen vanuit de Baseline Informatiebeveiliging Overheid 2, (BIO2) en de ENSIA-verantwoording, waarin risicogestuurd werken, duidelijke verantwoordelijkheden en aantoonbare borging ook centrale uitgangspunten zijn.

"Het AVG Borgingsproduct 3.0 Privacy in Control [...] helpt organisaties niet alleen om te voldoen aan de wet, maar vooral om aan te tonen dat privacy structureel geborgd is binnen beleid, processen en cultuur."

Doelgroep

Het AVG Borgingsproduct 3.0 is ontwikkeld voor publieke organisaties die moeten kunnen aantonen dat zij hun privacybeheer op orde hebben. Denk aan gemeenten, samenwerkingsverbanden, uitvoeringsorganisaties en zorginstellingen. Het biedt daarmee houvast in een omgeving waarin transparantie, controle en vertrouwen richting bestuur, inwoners en toezichthouders belangrijk zijn.

Daarnaast biedt het een gemeenschappelijk kader om privacy structureel te borgen en is vooral geschreven voor rollen zoals de FG, de Chief Information Security Officer (CISO), Privacy Officers en proceseigenaren. Ook bestuurders en directies profiteren ervan, omdat het borgingsproduct inzicht geeft in hoe goed de organisatie haar privacyprocessen beheerst en waar nog verbeteringen mogelijk zijn.

Toepassingsgebied

Het AVG Borgingsproduct 3.0 is in de praktijk goed inzetbaar binnen het gemeentelijke domein. Gemeenten kunnen het gebruiken bij het opstellen van de jaarlijkse ENSIA-rapportage, als onderbouwing van de privacyparagraaf, maar ook voor zelfevaluaties of interne audits op het gebied van privacy. Daarnaast dient het als gespreksinstrument tussen de FG, CISO, directie en proceseigenaren om gezamenlijk inzicht te krijgen in verantwoordelijkheden en risico’s. Het borgingsproduct helpt zo de brug te slaan tussen beleid en uitvoering: privacy is niet langer uitsluitend het domein van juristen of securityspecialisten, maar een gezamenlijke opgave van bestuur (beleid), uitvoering en toezicht (control).

Structuur en opbouw

Ruimte om te groeien in volwassenheid

Het AVG Borgingsproduct 3.0 bestaat uit drie hoofdonderdelen:

  • Beleid en organisatie: de inrichting van governance, verantwoordelijkheden en beleid.
  • Uitvoering en borging: het uitvoeren van Data Privacy Impact Assessments (DPIA’s), het waarborgen van rechten van betrokkenen en het beheersen van verwerkingen.
  • Verantwoording en verbetering: zoals meten, evalueren en aantoonbaar verbeteren.

Deze opbouw sluit goed aan op bekende kaders zoals ISO 27001, de BIO2 en de NEN-normen voor informatiebeveiliging en privacy (waaronder NEN-ISO/IEC 27001 en NEN-ISO/IEC 27701*). Hierdoor kunnen gemeenten het borgingsproduct eenvoudig integreren in hun bestaande sturings- en verantwoordingsprocessen. Die aansluiting is belangrijk, omdat het zorgt voor samenhang tussen informatiebeveiliging en privacy.

Nieuw in deze versie is de toevoeging van volwassenheidsniveaus, waarmee organisaties kunnen inschatten hoe ver ze staan in het borgen van privacy. Zo ontstaat een groeipad van basis naar volwassen, waarbij het niet alleen gaat om naleving, maar ook om gedrag, cultuur en continue (proces)verbetering.

*De ISO 27701 is de privacy-uitbreiding op ISO 27001. Deze heeft in Nederland nog geen formele status binnen de overheid. Toch kan deze norm waardevol zijn voor organisaties die hun privacymanagement willen integreren in hun bestaande informatiebeveiligingsraamwerk.

Relatie met andere normen

Nadruk op praktische uitvoering

Het AVG Borgingsproduct 3.0 sluit goed aan op bestaande kaders binnen de publieke sector, zoals het BIO2 normenkader voor informatiebeveiliging, het NOREA Privacy Control Framework 3.0 voor toetsbaarheid en audit, en de ISO 27701 voor de integratie van privacy in managementsystemen. Samen bieden deze kaders een compleet beeld van hoe gemeenten zowel hun informatiebeveiliging als privacy governance kunnen versterken. Waar andere frameworks vaak technischer of auditgericht zijn, legt het borgingsproduct juist de nadruk op praktische toepasbaarheid. Daarmee vormt het een waardevolle schakel tussen beleid en uitvoering.

Sterke punten & aandachtspunten

Sterk in structuur, maar succes vraagt om betrokkenheid

Zoals bij elk raamwerk kent ook het AVG Borgingsproduct 3.0 sterke kanten en punten die aandacht vragen. Hieronder de belangrijkste sterke punten en aandachtspunten in de praktijk.

Sterke punten:

  • Het sluit goed aan op gemeentelijke governance- en verantwoordingsstructuren (zoals ENSIA).
  • Het combineert juridische, organisatorische en praktische invalshoeken.
  • Het ondersteunt groei in volwassenheid: van ‘voldoen’ naar ‘verantwoorden’.

Aandachtspunten:

  • Het vraagt bestuurlijke betrokkenheid; zonder mandaat blijft privacy een papieren dossier.
  • De toepassing in de praktijk vraagt om ondersteuning: niet iedereen spreekt de taal van controls en borging.
  • De volwassenheidsniveaus bieden richting, maar vragen wel om zorgvuldige interpretatie en context.
"Het AVG Borgingsproduct is een praktisch hulpmiddel voor gemeenten [...] die privacy niet alleen structureel willen borgen, maar ook willen laten zíen dat ze het op orde hebben."

Conclusie

Van naleving naar vertrouwen: privacy aantoonbaar geborgd in de praktijk

Het AVG Borgingsproduct 3.0: Privacy in Control is een praktisch hulpmiddel voor gemeenten en publieke organisaties die privacy niet alleen structureel willen borgen, maar ook willen laten zíen dat ze het op orde hebben. Het sluit mooi aan op bestaande kaders en helpt om inzicht te krijgen in de mate van grip op privacy binnen de organisatie.

Waar het NOREA PCF 3.0 vooral sterk is in toetsing en audits, legt het AVG Borgingsproduct de nadruk op bestuurlijke verantwoordelijkheid en het borgen van privacy in de dagelijkse uitvoering. Daarmee vormt het een belangrijke schakel tussen beleid, uitvoering en toezicht, precies wat gemeenten nodig hebben om het vertrouwen van inwoners te behouden in een steeds digitalere samenleving.

In de volgende en laatste blog uit deze reeks ga ik in op de CIP Privacy Baseline 3.4, een praktisch instrument dat helpt om privacy te vertalen naar de dagelijkse praktijk.

Deze link maakt onderdeel uit van een content collectie. Wat dat is leg ik hier uit. Via onderstaande button vind je alle content rondom het onderwerp frameworks bij elkaar.

Ga naar de Frameworks content collectie