Vijf jaar geleden schreef ik een blog over drie privacy control frameworks (PCF's) die organisaties helpen bij de naleving van de AVG. Inmiddels zijn ze allemaal vernieuwd, want de wereld is digitaler, complexer en meer risicogericht geworden. Waar privacy eerst vooral draaide om regels (toen de AVG van kracht werd), gaat het nu steeds meer om vertrouwen. In dit drieluik bespreek ik de nieuwe versies, te beginnen met het vernieuwde Privacy Control Framework (PCF) 3.0 van NOREA.

Doel en uitgangspunten

Een grotere rol voor risicomanagement

Het PCF 3.0 van NOREA dient als een hulpmiddel om te laten zien dat je als organisatie je privacyzaken op orde hebt. Geen AVG-afvinklijstje meer, maar aantoonbaar grip op hoe met persoonsgegevens wordt omgegaan. Waar eerdere versies vooral gingen over naleving van regels, ziet versie 3.0 privacy als vast onderdeel van risicomanagement en compliance. De kernvraag is niet langer ‘voldoen we aan de AVG?’, maar: ‘kunnen we aantoonbaar maken dat we verantwoord omgaan met persoonsgegevens?’.

De kern is simpel: werken op basis van controle in plaats van op gevoel. Privacy goed regelen betekent dat het structureel is ingebed in de organisatie, niet iets wat je pas oppakt als er iets misgaat. Het framework sluit aan op het risicogestuurd werken dat we kennen uit de auditwereld (zoals de ISO 27001) en op het three lines of defence-model, waarin iedereen een eigen rol heeft bij het beheersen van risico’s. NOREA heeft in deze versie gezocht naar de juiste balans tussen toetsbaarheid en werkbaarheid. Het is minder juridisch en meer gericht op de praktijk.

Versie 3.0 sluit goed aan bij de uitdagingen van nu: data worden complexer, toezicht neemt toe en organisaties willen kunnen aantonen dat ze verantwoord handelen. Het PCF biedt daarvoor een kapstok, niet door meer beleid, maar door aantoonbare beheersing en vertrouwen in de praktijk.

"NOREA heeft in deze versie gezocht naar de juiste balans tussen toetsbaarheid en werkbaarheid. Het is minder juridisch en meer gericht op de praktijk."

Doelgroep

Het PCF van NOREA is vooral geschreven voor auditors, Chief Information Security Officers (CISO’s), de Functionaris Gegevensbescherming (FG) en Compliance Officers. Daarnaast is het ook geschikt voor organisaties die zich willen voorbereiden op een audit of externe toetsing. In de praktijk wordt het framework veel gebruikt door overheden, zorginstellingen, financiële instellingen en andere organisaties die zekerheid willen bieden aan klanten of toezichthouders over hoe ze omgaan met privacy.

Toepassingsgebied

Het PCF 3.0 kun je in principe overal gebruiken, maar het komt het best tot zijn recht in organisaties waar verantwoording en toetsbaarheid belangrijk zijn. Denk aan overheden die ENSIA-rapportages moeten maken, zorginstellingen die aan toezichthouders rapporteren, of bedrijven die richting klanten willen aantonen dat ze hun privacy op orde hebben. Die brede toepasbaarheid is ook precies de bedoeling. Privacy is tenslotte voor elke organisatie belangrijk, alleen de mate waarin je die borging moet kunnen aantonen verschilt per sector.

Structuur en opbouw

8 domeinen en 49 beheersdoelen

Het PCF 3.0 bestaat uit acht domeinen en 49 beheersdoelen, van beleid en verantwoordelijkheden tot uitvoering, monitoring en incidentmanagement. De structuur is overzichtelijk en goed te volgen. In grote lijnen gaat het om drie stappen:

  1. Organisatie-inrichting: denk aan beleid, functies en rollen.
  2. Uitvoering: bijvoorbeeld het uitvoeren van Data Privacy Impact Assesments (DPIA’s) en het waarborgen van de rechten van betrokkenen.
  3. Borging en evaluatie: zoals meten, auditen en continu verbeteren.

Deze opbouw sluit goed aan op bekende kaders zoals ISO 27001 en de Baseline Informatiebeveiliging Overheid 2 (BIO2), waardoor het PCF goed parallel te gebruiken is.

De kracht, en meteen ook de valkuil, van het PCF is de mate van detail. Elk beheersdoel heeft duidelijke criteria waarmee je kunt toetsen of je als organisatie echt ‘in control’ bent. Dat is perfect voor audits, maar vraagt van niet-auditors wel wat extra uitleg of vertaling naar de dagelijkse praktijk.

Nieuw in deze versie is de aandacht voor volwassenheid. Het PCF kijkt niet alleen of iets geregeld is, maar ook hoe goed het geregeld is. Daarmee helpt het organisaties om stap voor stap te groeien van basisaanpak naar een volwassen en aantoonbaar geborgde privacyorganisatie. Later dit jaar schrijf ik een aparte blog over volwassenheidsmodellen, waarin ik hier dieper op inga.

Relatie met andere normen

Ken je de ISO 27701 al?

Het PCF 3.0 sluit goed aan op bestaande standaarden (ISO 27001, ISAE 3000) en normenkaders (BIO2). Je kunt het zien als een brug tussen informatiebeveiliging en privacy. Waar ISO 27001 zich richt op het beschermen van informatie, gaat het PCF juist over de vraag of en hoe je persoonsgegevens op een rechtmatige en zorgvuldige manier verwerkt. Samen geven deze kaders een compleet beeld van hoe je als organisatie digitaal weerbaar én verantwoord met data omgaat.

De ISO 27701, de privacy-uitbreiding op ISO 27001, sluit hier inhoudelijk goed op aan, maar heeft in Nederland nog geen formele status binnen de overheid. Toch kan deze norm waardevol zijn voor organisaties die hun privacymanagement willen integreren in hun bestaande informatiebeveiligingsraamwerk.

Sterke punten & aandachtspunten

Dit Control Framework is (nog) niet voor iedereen weggelegd

Het PCF 3.0 draait niet alleen om naleving, maar om aantoonbare kwaliteit. Het helpt organisaties privacy structureel te verankeren én te laten zien dat ze die verantwoordelijkheid serieus nemen.

Sterke punten:

  • Het is helder en logisch opgebouwd en sluit goed aan op andere standaarden en kaders.
  • Het heeft een sterke focus op accountability, je kunt echt aantonen dat je grip hebt.
  • Het past goed bij organisaties die privacy al stevig hebben verankerd.

Aandachtspunten:

  • Het is minder geschikt voor organisaties die nog aan het begin staan van de ontwikkeling naar een volwassen en aantoonbaar geborgde privacyorganisatie.
  • Je hebt wel enige kennis van audit en risicomanagement nodig om ermee te kunnen werken.
  • De toepassing in de praktijk vraagt actieve begeleiding en uitleg: medewerkers moeten begrijpen wat de controls betekenen voor hun dagelijkse werk.
"Het NOREA PCF 3.0 is een volwassen en stevig raamwerk dat privacy naar een hoger niveau tilt: dat van governance en verantwoording."

Conclusie

Toon aan dat je het vertrouwen van je burgers en klanten waard bent

Het NOREA PCF 3.0 is een volwassen en stevig raamwerk dat privacy naar een hoger niveau tilt: dat van governance en verantwoording. Het helpt organisaties niet alleen te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), maar vooral om vertrouwen te laten zien richting bestuur, burgers en partners.

In de volgende blog uit deze reeks ga ik in op het AVG Borgingsproduct 3.1, dat juist vanuit de uitvoering is geschreven.