Na het vernieuwde AVG Borgingsproduct 3.0 en het Privacy Control Framework (PCF) 3.0 van NOREA is ook de CIP Privacy Baseline geactualiseerd. Versie 3.4 biedt een stevig fundament voor het organiseren van privacy in de dagelijkse praktijk van overheidsorganisaties. In dit laatste deel van het drieluik bespreek ik de belangrijkste onderdelen en de praktische toepasbaarheid van deze nieuwe versie.

Doel en uitgangspunten

Van regels naar werkbaarheid

Publieke organisaties verwerken steeds grotere hoeveelheden persoonsgegevens, vaak binnen ketens en samenwerkingsverbanden waarbij meerdere partijen betrokken zijn. Dan is het belangrijk om niet alleen de Algemene Verordening Gegevensbescherming (AVG) te kennen, maar ook om privacyrisico’s structureel te beheersen.

De Privacy Baseline 3.4 biedt hiervoor een praktisch instrument: een set beheersmaatregelen die organisaties helpen om privacy ‘in control’ te krijgen en te houden. De nadruk ligt op uitvoerbaarheid, risico’s en transparantie. De belangrijkste uitgangspunten van de nieuwe versie zijn: 

  • Risicogestuurd en proportioneel werken: maatregelen worden afgestemd op de aard van de verwerking en de risico’s voor betrokkenen.
  • Aansluiten op bestaande governance: de baseline sluit aan op de Baseline Informatiebeveiliging Overheid 2 (BIO2), PDCA-cycli en bestaande audit- en verantwoordingsprocessen.
  • Praktisch en toepasbaar: geen juridische handboek, maar concrete maatregelen die direct inzetbaar zijn in projecten en processen.

Daarmee is de Privacy Baseline een waardevolle aanvulling op zowel de BIO2 (informatiebeveiliging) als het AVG Borgingsproduct 3.0. Waar de AVG en het borgingsproduct voorschrijven wat er moet gebeuren, laat de Privacy Baseline vooral zien hoe je dit in de dagelijkse praktijk organiseert. Het AVG Borgingsproduct biedt de juridische kaders, verplichtingen en benodigde beheersmaatregelen (controls) voor verantwoording, terwijl de Privacy Baseline deze vertaalt naar concrete, uitvoerbare maatregelen binnen processen, systemen en samenwerkingen. Juist die combinatie maakt organisaties in staat om privacy niet alleen juridisch op orde te hebben, maar ook praktisch werkbaar, controleerbaar en duurzaam geborgd te krijgen.

"De Privacy Baseline 3.4 biedt hiervoor een praktisch instrument: een set beheersmaatregelen die organisaties helpen om privacy ‘in control’ te krijgen en te houden."

Doelgroep

De CIP Privacy Baseline 3.4 is bedoeld voor alle publieke organisaties die persoonsgegevens verwerken en behoefte hebben aan een praktisch, breed inzetbaar kader voor privacybeheer. De baseline ondersteunt professionals zoals de Functionaris Gegevensbescherming (FG), Chief Information Security Officers (CISO’s), Privacy Officers, proceseigenaren, auditors en interne toezichthouders. Daarnaast biedt het management en bestuur waardevolle inzichten in risico’s, prioriteiten en noodzakelijke maatregelen. Omdat privacy in vrijwel alle processen raakt aan dagelijkse werkzaamheden, is de baseline uiteindelijk relevant voor iedereen die bijdraagt aan een zorgvuldige omgang met persoonsgegevens binnen de organisatie.

Toepassingsgebied

De Privacy Baseline is breed inzetbaar: bij verwerkingsregisters, Data Privacy Impact Assessments (DPIA’s), audits, projecten, aanbestedingen en bij de inrichting van processen. Veel gemeenten gebruiken de baseline als toetsingskader voor de ENSIA-verantwoording, als argumentatie bij risicobeoordelingen, of als hulpmiddel om datakwaliteit en gegevensminimalisatie te verbeteren.

Wat de baseline onderscheidt, is dat deze kaderoverstijgend werkt: het is een instrument dat privacy en informatiebeveiliging met elkaar verbindt en helpt om het gesprek te voeren tussen beleid, uitvoering en control (incl. toezicht).

Structuur en opbouw

Heldere controls, praktische kaders

De CIP Privacy Baseline 3.4 bestaat uit een set concrete privacy beheersmaatregelen die zijn onderverdeeld in thema’s. Deze sluiten goed aan op hoe we binnen informatiebeveiliging gewend zijn te werken, bijvoorbeeld bij de BIO2 en ISO 27001. ISO 27001 kent weliswaar niet de indeling Beleid, Uitvoering en Control, maar werkt met de Plan-Do-Check-Act-cyclus. Toch sluit de Privacy Baseline daar prima bij aan: het draait in beide gevallen om plannen, doen, controleren en bijsturen.

Die herkenbare aanpak is handig, zeker voor organisaties die privacy nog niet volledig in de vingers hebben of met een klein privacyteam werken. De baseline geeft namelijk een duidelijke ondergrens: dit is wat je minimaal moet regelen. Daarmee kun je meteen praktisch aan de slag, weet je waar de belangrijkste risico’s zitten en welke stappen voorrang hebben. Zo helpt de Privacy Baseline om privacy goed én haalbaar te organiseren, ook als de capaciteit beperkt is. De baseline richt zich op:

  • Governance & verantwoording: Rollen, verantwoordelijkheden, beleid en managementbetrokkenheid.
  • Rechten van betrokkenen: Bewaken van toegang, correctie, verwijdering en bezwaar.
  • Transparantie & communicatie: Het juist informeren van inwoners over verwerkingen.
  • Data Protection Impact Assessments (DPIA’s): Criteria, uitvoering en opvolging van maatregelen.
  • Contract- en ketenbeheer: Afspraken met verwerkers en ketenpartners.
  • Registratie van verwerkingen: Actualiteit, volledigheid en risicobeoordeling.
  • Incidentmanagement: Het melden, registreren en leren van datalekken.

Wat opvalt in deze versie, is dat de baseline duidelijker maakt welke maatregelen minimaal nodig zijn en welke aanvullend wenselijk zijn. Dat maakt het instrument goed toepasbaar voor organisaties die niet over grote privacyteams beschikken. Je hoeft niet alles tegelijk te kunnen: de baseline laat zien waar je moet beginnen en welke stappen daarop logisch (moeten) volgen.

In feite biedt de baseline hiermee een lichte vorm van volwassenheidsniveaus. Je kunt groeien van de basis naar een meer volwassen privacy-organisatie, zonder dat je daarvoor eerst complexe modellen hoeft uit te werken. Voor organisaties die meer inzicht willen in hun eigen niveau, sluit dit bovendien goed aan op de Privacy Self Assessment (PriSa) van het CIP. Met die zelfevaluatie kun je eenvoudig toetsen hoe je er als organisatie voor staat, welke onderdelen al op orde zijn en waar verbetering nodig is. De baseline en PriSa versterken elkaar daarmee: de baseline geeft richting en maatregelen, PriSa helpt om je voortgang en volwassenheid te bepalen.

"De CIP Privacy Baseline en het Privacy Self-Assessment versterken elkaar: de baseline geeft richting en maatregelen, het self-assessment helpt om je voortgang en volwassenheid te bepalen."

Relatie met andere normen

Praktische vertaalslag naar beheersmaatregelen

De CIP Privacy Baseline 3.4 sluit goed aan op andere bekende kaders in de publieke sector, zoals de BIO2, het NOREA Privacy Control Framework 3.0, ISO 27701 en het AVG Borgingsproduct 3.0. Die aansluiting is goed zichtbaar doordat veel thema’s en maatregelen overeenkomen.

  • Het NOREA Privacy Control Framework 3.0, werkt net als de baseline met duidelijke, toetsbare maatregelen. Onderwerpen als rechten van betrokkenen, DPIA’s en verwerkersbeheer komen vrijwel één op één terug, waardoor auditors de baseline eenvoudig kunnen meenemen in hun beoordeling.
  • Ook met ISO 27701 is er een sterke inhoudelijke link. Beide kaders volgen de Plan-Do-Check-Act-cyclus en hebben een vergelijkbare thematische opbouw. Organisaties die al met een ISMS werken, kunnen de Privacy Baseline daardoor gemakkelijk inpassen.
  • Het AVG Borgingsproduct beschrijft vooral wat er geregeld moet worden, terwijl de Privacy Baseline laat zien hoe je dat in de praktijk uitvoert. De onderwerpen sluiten op elkaar aan, maar de baseline maakt het concreter en toepasbaar.

Kortom: de Privacy Baseline past goed naast bestaande kaders doordat zij dezelfde onderwerpen en werkwijze deelt, maar deze vertaalt naar uitvoerbare en toetsbare maatregelen. De baseline is bedoeld voor organisaties die duidelijke controles nodig hebben om privacy op de werkvloer, in systemen en in ketens te borgen. De baseline vormt daarmee een concrete tool die goed past binnen bredere governance- en risicomanagementprocessen. Uniek aan de Privacy Baseline is de koppeling met PriSa, waarmee de maatregelen expliciet zijn ingedeeld in beleid, uitvoering en control, zodat organisaties direct kunnen zien welke acties op welk niveau nodig zijn en hoe deze getoetst kunnen worden.

Sterke punten & aandachtspunten

Compact, praktisch en herkenbaar 

Net als andere frameworks kent de CIP Privacy Baseline 3.4 sterke punten én punten die aandacht vragen bij implementatie.

Sterke punten:

  • Het is compact en begrijpelijk, waardoor ook niet-juristen en niet-securityspecialisten ermee kunnen werken.
  • Het sluit aan op BIO2 en bestaande governance, waardoor integratie eenvoudig is.
  • Het is een praktisch hulpmiddel voor projecten, DPIA’s en audits.
  • Het biedt een goede basis voor ketensamenwerking, doordat het taal en structuur geeft aan verwerkingsafspraken.

Aandachtspunten:

  • Het biedt geen volwassenheidsmodel, organisaties moeten zelf inschatten hoe volwassen hun privacyborging is. Daarvoor is de PriSa beschikbaar vanuit het CIP, dat hierbij als hulpmiddel kan worden ingezet.
  • Het is contextgevoelig, beheersmaatregelen moeten worden geïnterpreteerd binnen specifieke processen of ketens.
  • Het vraagt om afstemming. Privacy, informatiebeveiliging en procesmanagement moeten samenwerken om het instrument goed in te bedden. Dit is een aandachtspunt omdat het kader sterk praktisch en operationeel is: de maatregelen raken direct aan werkprocessen, IT-systemen en governance. Daardoor kan de baseline alleen goed landen als deze domeinen gezamenlijk optrekken.

Conclusie

Een praktische standaard voor privacyborging in de dagelijkse praktijk

De CIP Privacy Baseline 3.4 biedt publieke organisaties een concreet, herkenbaar en uitvoerbaar instrument voor het borgen van privacy. Waar het AVG Borgingsproduct 3.0 organisaties ondersteunt bij het inrichten en aantoonbaar maken van privacyborging op strategisch en organisatorisch niveau, sluit de Privacy Baseline hier juist logisch op aan door dezelfde onderwerpen te vertalen naar praktische beheersmaatregelen. De twee instrumenten vullen elkaar daarmee aan: het Borgingsproduct beschrijft wat er geregeld moet zijn, de Privacy Baseline laat zien hoe je dit in de praktijk vormgeeft. Het NOREA Privacy Control Framework 3.0 helpt goed bij de toetsing.

In een tijd waarin ketensamenwerking groeit, systemen steeds meer met elkaar verbonden zijn en inwoners hogere verwachtingen hebben, biedt de baseline precies datgene wat veel organisaties nodig hebben: duidelijkheid, structuur en praktische handvatten om privacy te borgen in beleid én uitvoering.

Deze link maakt onderdeel uit van een content collectie. Wat dat is leg ik hier uit. Via onderstaande button vind je alle content rondom het onderwerp frameworks bij elkaar.

Ga naar de Frameworks content collectie