Showing all 4 results
Het organiseren van de bedrijfsactiviteiten met bedrijfsprocessen waar in ‘by design’ beheers-, beveiligings-, en compliance-maatregelen zijn opgenomen moeten effectief persoonsgegevens beschermen. De interne compliance maatregelen stellen vast dat de getroffen beheers- en beveiligingsmaatregelen – op enig moment – effectief zijn geweest. Het bewijs van compliance legt de verwerkingsverantwoordelijke vast in de Privacy-, Security-, en Compliance-administratie (PSCa). Hiermee is de PSCa het afgeleid object van onderzoek voor het vaststellen van het effectief kunnen zijn (bestaan) en de daadwerkelijke effectiviteit (werking) van de getroffen maatregelen.
In de PSCa legt het management de incidenten en datalekken vast plus de opvolging. Wij kunnen zeggen dat de incidenten en datalekken de ineffectiviteit van de getroffen maatregelen laat zien en de neerslag van het adequaat opvolgen de werking van corrigerende maatregelen laat zien.
De compliance manager zal op basis van het risico-register en in samenspraak met het management een compliance-plan opstellen met uit te voeren assessments (onderzoeken). De onderzoeken, de planningen, de bevindingen en de resultaten documenteert de compliance manager in het PSCa. De resultaten van de onderzoeken hebben een impact op het risico-register.
De FG ziet toe op het organiseren en uitvoeren van de onderzoeken. De FG zal bij organisaties met een beperkte bedrijfsomvang zelf de onderzoeken uitvoeren.
De FG ziet toe op het register van verwerkingen, het PSCa, en stelt vast dat het bewijs van effectieve werking van interne controlemaatregelen en onderzoeken/ assessments systematisch en volledig gedocumenteerd wordt.
Een volkomen administratie is essentieel voor de werking van het risico-register en vormt het afgeleid object van onderzoek van (IT-)auditors. In het verantwoordingsproces spreekt de bedrijfsleiding zich uit over het effectief beschermd zijn van persoonsgegevens en desgewenst bevestigt de IT-)auditor de verantwoordingsverklaring van de bedrijfsleiding.