Het is weer tijd voor het jaarverslag. Als functionaris voor gegevensbescherming (FG) ben je er vast al druk mee bezig. Je blikt terug op een druk jaar privacy en informatiebeveiliging. Veel bestuurders willen weten waar zij staan en hoe de privacywetgeving wordt nageleefd binnen de gemeente. Hoe je correct en compleet rapporteert over de AVG lees je in deze blog.
Als FG informeer en adviseer je je bestuur via het jaarverslag. Dat doe je vanuit je wettelijke taak om toe te zien op naleving van de AVG en het interne beleid. Hoewel privacy het centrale thema is van het jaarverslag, is dit onlosmakelijk verbonden met informatiebeveiliging. Als de informatiebeveiliging niet op orde is, lopen gebruikers het gevaar dat persoonsgegevens op straat komen te liggen. En dat wil je niet.
Effectief onderdeel in jaarverslag
Met een jaarlijks verslag met daarin analyse, evaluatie en een verbeterplan, kijk je zowel terug als vooruit naar jouw activiteiten en die van de organisatie. Maar hoe geef je een jaarverslag effectief vorm, zodat het aansluit bij de PDCA-cyclus?
Analyse van activiteiten
Vaak ontbreekt een helder beeld van wat er precies in het jaarverslag moet staan. Maar geen paniek. Als gebruiker van LIAS ISMS word je op weg geholpen door een ‘template jaarverslag’ waarin verwijzingen zijn opgenomen naar ondersteunende content voor de invulling aan het jaarverslag. Denk hierbij bijvoorbeeld aan alle ontwikkelingen en trends per kwartaal zoals belangrijke uitspraken van de Autoriteit Persoonsgegevens of rechterlijke uitspraken.
Aan de slag
Je start het schrijven van je jaarverslag met een analyse van activiteiten en ontwikkeling van het afgelopen jaar. Benoem de uitgevoerde activiteiten aan de hand van de doelstellingen. Vragen over de inrichting van de interne organisatie zijn:
- Wat zijn de meerjarige beleidsdoelstellingen op het gebied van privacy?
- Met welke activiteiten is dit jaar geprobeerd deze doelstellingen te behalen?
- Welke ontwikkelingen en trends, bijvoorbeeld uitspraken van de Autoriteit Persoonsgegevens, speelden er het afgelopen jaar en hoe hadden deze invloed op het beleid en de uitvoering?
Vragen over het meten van de effectiviteit van maatregelen zijn:
- Welke controle activiteiten heb je als FG uitgevoerd?
- Welke rapportages zijn in de loop van het jaar opgesteld en welke lessen zijn hieruit te trekken?
- Wat zijn je constateringen op basis van de controles?
- Zijn het datalekregister en verwerkingsregister up-to-date?
- Hoeveel datalekken zijn er geweest dit jaar?
- Wat is er gedaan aan bewustwording van medewerkers en hoe is naleving gemeten?
- Zijn risico’s middels Privacy Impact Assessments in kaart gebracht?
- Zijn PIA’s op de juiste manier uitgevoerd?
Niet afvinken, maar verbeteren
Na je inventarisatie en eerste analyse is het tijd voor de evaluatie. Een deel van de evaluatie kan je ondersteunen met metingen. Andere onderwerpen vragen om jouw interpretatie. Hiermee ga je verder dan alleen afvinken en benoemen. Stel ook een verbeterplan op. Daarmee heb je direct een focus en planning voor volgend jaar.
Wil je direct aan de slag met jouw jaarverslag? De LIAS ISMS bevat een PMS module met uitgewerkte up-to-date normen op basis van de AVG, de AVG en wordt ondersteund door verschillende raamwerken die (interne) controles en audits mogelijk maken. Dit PMS kan specifiek voor elke organisatie aangepast worden. Wil je meer weten over een Privacy Management Systeem voor jouw organisatie? Wij helpen je graag!
