Tijdens onze gesprekken met klanten en geinterresseerden worden er altijd goede vragen gesteld. Vragen waarvan de antwoorden niet direct terug te vinden zijn op onze website. Deze vragen schrijven wij op en worden verwerkt op deze pagina. Op die manier kun je al veel meer te weten komen over PIMS, Simac en onze manier van werken alvorens je met ons in gesprek gaat.
Privacy Information Management Systeem
Privacy Information Management Systeem
-
Mijn organisatie is alleen Verwerker. Moeten we dan toch een verwerkingsregister bijhouden?
Jazeker. Misschien zelfs nog wel meer dan wanneer je een verwerkingsverantwoordelijke bent. Want los van het kunnen aantonen dat je verwerkingsactiviteiten conform de wensen en eisen van je opdrachtgever en de AVG wet- en regelgeving correct uitvoert, dien je als verwerker bijzondere aandacht te besteden aan de technische en organisatorische maatregelen. PIMS helpt je deze maatregelen vast te leggen, te bewaken en periodiek te evalueren.
-
Wat is een DPIA?
DPIA staat voor Data Protection Impact Assessment. Een DPIA, of kortweg PIA, is een beoordeling van de specifieke waarschijnlijkheid en de ernst van de risico’s voor de persoonlijke levenssfeer van betrokkenen. Anders gezegd, Een DPIA brengt vooraf de privacy-risico's van een gegevensverwerking in kaart. PIMS geeft een automatische waarschuwing dat een DPIA vereist is. Bijvoorbeeld omdat je een verwerkingsactiviteit met de categorie “hoog risico” hebt geclassificeerd.
-
Hoe voer ik een DPIA uit?
Een DPIA kan in verschillende vormen en voor verschillende branches worden uitgevoerd. Feitelijk is een DPIA het invullen van een checklist. Die checklist gaat over de gevoelige data, of je de data extern opslaat, de wijze van data verkrijging, de maatregelen die je neemt om de data te beschermen, etc. Daarom zullen over het algemeen meerdere disciplines zich met een DPIA bezighouden: HR, ICT, Facilitair, etc. Met PIMS kun je de voortgang van een DPIA en de acties van het hele DPIA-team volgen.
-
Hoe achterhaal ik de privacy status in mijn organisatie?
Of je AVG compliant bent, is niet altijd helder. Daarom is het goed dat eerst te onderzoeken, met een 0-meting. Dat doen we door middel van een Context-analyse. Deze geeft een antwoord op thema’s zoals awareness, communicatie, dataverwerking, privacy by design en processen. Daar waar aandacht of verbetering gewenst is zorgt PIMS voor concrete hulpmiddelen.
Wil je daarnaast een beeld hebben van de risico’s, de impact daarvan en te nemen maatregelen (preventief of repressief), dan zorgt een Risicoanalyse voor extra toegevoegde waarde. Deze onderwerpen vormen een belangrijk onderdeel van onze werkwijze.
-
Ik leg de verwerkingsactiviteiten vast in Excel. Dat is toch voldoende?
Tja, we zijn bijna geneigd om hier “Ja” op te antwoorden. Het is voldoende… maar Excel bewaakt geen deadlines van Verwerkersovereenkomsten, handelt geen potentiële datalekken af, is niet gekoppeld met andere bedrijfsapplicaties, zet geen taken uit naar collega's met het verzoek contact op te nemen met leverancier X en levert geen actuele dashboards en rapportages. PIMS kan dit wel allemaal. Dat zorgt ervoor dat je efficienter en overzichtelijker te werk kunt gaan en kunt aantonen dat je AVG compliant bent.
-
Kan ik bedrijfsprocessen vastleggen in PIMS?
Alle bedrijfsprocessen, inclusief hun gelaagdheid, kunnen worden opgenomen in PIMS. Daarmee breng je verwerkingsactiviteiten en processen met elkaar in verband zodat je bij veranderingen direct ziet welke impact dat heeft.
-
Waar bewaar ik de documenten m.b.t. procedures, toestemmingen, verwerkersovereenkomsten, contracten, e.d.?
Documenten kun je eenvoudig in PIMS opslaan. Daar kun je de documenten meteen koppelen aan de processen, activiteiten, risico’s, etc. Contracten koppel je mogelijk aan een leverancier, de verwerkersovereenkomsten sla je centraal op, of verbind je met een Verwerker of wellicht met een specifieke verwerkingsactiviteit. Binnen PIMS kun je ook een eigenaar koppelen aan een bepaald document.