FAQ

Jazeker. Misschien zelfs nog wel meer dan wanneer je een verwerkingsverantwoordelijke bent. Want los van het kunnen aantonen dat je verwerkingsactiviteiten conform de wensen en eisen van je opdrachtgever en de AVG wet- en regelgeving correct uitvoert, dien je als verwerker bijzondere aandacht te besteden aan de technische en organisatorische maatregelen. PIMS helpt je deze maatregelen vast te leggen, te bewaken en periodiek te evalueren.

DPIA staat voor Data Protection Impact Assessment. Een DPIA, of kortweg PIA, is een beoordeling van de specifieke waarschijnlijkheid en de ernst van de risico’s voor de persoonlijke levenssfeer van betrokkenen. Anders gezegd, Een DPIA brengt vooraf de privacy-risico's van een gegevensverwerking in kaart. PIMS geeft een automatische waarschuwing dat een DPIA vereist is. Bijvoorbeeld omdat je een verwerkingsactiviteit met de categorie “hoog risico” hebt geclassificeerd. 

Een DPIA kan in verschillende vormen en voor verschillende branches worden uitgevoerd. Feitelijk is een DPIA het invullen van een checklist. Die checklist gaat over de gevoelige data, of je de data extern opslaat, de wijze van data verkrijging, de maatregelen die je neemt om de data te beschermen, etc.  Daarom zullen over het algemeen meerdere disciplines zich met een DPIA bezighouden: HR, ICT, Facilitair, etc. Met PIMS kun je de voortgang van een DPIA en de acties van het hele DPIA-team volgen. 

Of je AVG compliant bent, is niet altijd helder. Daarom is het goed dat eerst te onderzoeken, met een 0-meting. Dat doen we door middel van een Context-analyse. Deze geeft een antwoord op thema’s zoals awareness, communicatie, dataverwerking, privacy by design en processen. Daar waar aandacht of verbetering gewenst is zorgt PIMS voor concrete hulpmiddelen.

Wil je daarnaast een beeld hebben van de risico’s, de impact daarvan en te nemen maatregelen (preventief of repressief), dan zorgt een Risicoanalyse voor extra toegevoegde waarde. Deze onderwerpen vormen een belangrijk onderdeel van onze werkwijze.

Tja, we zijn bijna geneigd om hier “Ja” op te antwoorden. Het is voldoende… maar Excel bewaakt geen deadlines van Verwerkersovereenkomsten, handelt geen potentiële datalekken af, is niet gekoppeld met andere bedrijfsapplicaties, zet geen taken uit naar collega's met het verzoek contact op te nemen met leverancier X en levert geen actuele dashboards en rapportages. PIMS kan dit wel allemaal. Dat zorgt ervoor dat je efficienter en overzichtelijker te werk kunt gaan en kunt aantonen dat je AVG compliant bent.

Alle bedrijfsprocessen, inclusief hun gelaagdheid, kunnen worden opgenomen in PIMS. Daarmee breng je verwerkingsactiviteiten en processen met elkaar in verband zodat je bij veranderingen direct ziet welke impact dat heeft.

Documenten kun je eenvoudig in PIMS opslaan. Daar kun je de documenten meteen koppelen aan de processen, activiteiten, risico’s, etc. Contracten koppel je mogelijk aan een leverancier, de verwerkersovereenkomsten sla je centraal op, of verbind je met een Verwerker of wellicht met een specifieke verwerkingsactiviteit. Binnen PIMS kun je ook een eigenaar koppelen aan een bepaald document.

Over het onderwerp FG hebben we een blog geschreven. Daarin lees je meer over de rol en verantwoordelijkheden van de FG.