IT-auditors publiceren Privacy Control Framework (PCF)

Privacy Control Framework NOREA versie 2 AVG voldoen onderwerp beheersmaatregelen

PCF, versie 2

NOREA, de beroepsorganisatie voor IT-auditors, heeft op 17 september 2019 een nieuwe versie van haar Privacy Control Framework (PCF) gepubliceerd. Deze aangescherpte versie is de opvolger van het PCF dat vlak voor de inwerkingtreding van de AVG is vastgesteld. Het PCF kan een handig hulpmiddel zijn om te kijken in hoeverre uw organisatie aan de AVG voldoet. Wij gaan hier kort op in.

Wat is het PCF en hoe ziet het eruit?

Het PCF is een raamwerk dat bestaat uit 32 onderwerpen met bijbehorende beheersdoelstellingen. Een van die onderwerpen is bijvoorbeeld de ‘Identificatie en classificatie van persoonsgegevens’. De doelstelling die daarbij hoort is dat de organisatie een duidelijk beeld heeft van en documenteert welke persoonsgegevens worden opgeslagen en verwerkt.

NOREA PCF v2 PDI Onderwerp

Deze doelstelling is uitgewerkt in vier beheersmaatregelen:

Norea PCF v2 PDI 4 beheersmaatregelen PDI

In PDI04 lezen we bijvoorbeeld dat de organisatie een verwerkingsregister bijhoudt. De eisen die daaraan gesteld worden verschillen tussen een verwerkingsverantwoordelijke (VV) en verwerker (V). Dat onderscheid zien we in maatregel PDI04 terug.

In totaal beslaan de 32 onderwerpen 95 beheersmaatregelen.

Wat kun je met het PCF?

Voor de meeste organisaties biedt het PCF een hulpmiddel om te kijken in hoeverre wordt voldaan aan de wetgevingskaders, zoals de AVG. De beheersmaatregelen sluiten, volgens NOREA, namelijk nauw aan bij de 13 kernelementen van de AVG. NOREA suggereert dat met de implementatie en uitvoering van de beheersmaatregelen met een redelijke mate van zekerheid gewaarborgd worden dat aan de AVG wordt voldaan. Het biedt echter niet de garantie, daarvoor moeten aanvullend onderzoek worden gedaan.

Voor de meeste organisaties zal het nalopen van de onderwerpen en beheersmaatregelen van het PCF een goed beeld geven van in hoeverre aan de AVG wordt voldaan. Het framework is daarom goed als raamwerk te gebruiken, vergelijkbaar met ISO 27001 of de nieuwe ISO 27701.

Handreiking Privacy Impact Assessments

Norea heeft in 2015 een nuttige handreiking gedaan over de wijze hoe privacy impact assessments (PIA of DPIA) kunnen worden uitgevoerd. Deze wordt naar verwachting in het tweede halfjaar van 2019 geactualiseerd.

Bron: https://www.norea.nl/nieuws/6034/norea-privacy-control-framework-vernieuwd-versie-20

1 Trackback / Pingback

  1. Wat is ISO 27701 en moet mijn organisatie voldoen? - PrivacyPortaal.nl

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*