Stel je voor: je bent druk bezig met de privacy van je bedrijf. Je hebt een mooi verwerkingsregister opgesteld in Excel of een tool van een leverancier zoals OneTrust.
▶Inhoudsopgave
Tegelijkertijd werk je aan je ISO 27001 certificering of je NEN 7510 documentatie voor de zorg. Het voelt alsof je twee aparte werelden moet managen. Je bent druk met het bijhouden van twee systemen die eigenlijk over hetzelfde gaan: het veilig en compliant houden van je organisatie.
Dit is een veelgehoorde uitdaging. Veel organisaties laten deze twee werelden langs elkaar heen draaien, wat leidt tot dubbel werk en verwarring.
In dit artikel leg ik je uit hoe je deze twee belangrijke systemen slim combineert, zodat je tijd bespaart en je compliance op orde houdt.
Waarom twee systemen als één genoeg is?
Veel bedrijven zien een verwerkingsregister en hun ISO- of NEN-documentatie als twee losse eindjes. Het verwerkingsregister is vaak een Excel-lijstje met daarin alle persoonsgegevens die je verwerkt.
Dit is een vereiste van de AVG (Algemene Verordening Gegevensbescherming). Aan de andere kant heb je de eisen vanuit normen zoals ISO 27001 (informatiebeveiliging) of NEN 7510 (informatiebeveiliging in de zorg).
Deze normen vragen om gedocumenteerde processen, risico-analyses en beveiligingsmaatregelen. Het probleem? Deze documenten overlappen elkaar vaak. Denk aan het beschrijven van een beveiligingsmaatregel voor klantdata.
In je verwerkingsregister beschrijf je hoe je de persoonsgegevens verwerkt. In je ISO-documentatie beschrijf je hoe je die gegevens beveiligt. Als je dit twee keer apart vastlegt, werk je inefficiënt en loop je risico op fouten. Door ze te combineren, creëer je één waarheid voor je organisatie.
De basis: begrijp wat je vastlegt
Voordat je de systemen kunt koppelen, moet je begrijpen wat beide documenten van je vragen. In een verwerkingsregister leg je vast welke persoonsgegevens je verwerkt, waarom je ze verwerkt (doeleinden), wie toegang heeft en hoe lang je ze bewaart. Dit is je startpunt voor privacy compliance.
In je ISO- of NEN-documentatie leg je vast hoe je informatiebeveiliging is geregeld.
Denk aan toegangscontroles, versleuteling, back-ups en incidentenmanagement. De overlap zit hem in de beveiligingsmaatregelen.
Stap 1: breng je processen in kaart
Bijvoorbeeld: als je in je verwerkingsregister aangeeft dat je medische gegevens verwerkt (een bijzonder persoonsgegevens), dan moet je in je ISO- of NEN-documentatie beschrijven hoe je deze gegevens beveiligt. Door deze link te leggen, voorkom je dat je maatregelen losstaan van je verwerkingsactiviteiten. De eerste stap is simpel: breng je processen in kaart.
Begin met je verwerkingsregister. Welke verwerkingsactiviteiten heb je?
Denk aan het verwerken van klantgegevens, medewerkergegevens of leveranciersgegevens. Vervolgens kijk je naar je ISO- of NEN-documentatie. Welke beveiligingsmaatregelen horen bij deze verwerkingsactiviteiten? Een handige tip: maak een matrix waarin je per verwerkingsactiviteit de bijbehorende beveiligingsmaatregelen uit je ISO- of NEN-documentatie koppelt.
Stap 2: kies een centrale opslagplek
Bijvoorbeeld: verwerkingsactiviteit "verwerking van klantgegevens in CRM-systeem" koppel je aan de beveiligingsmaatregel "toegangscontrole tot CRM-systeem" uit je ISO-documentatie. Dit geeft je direct inzicht in waar de koppelingen liggen.
Om te voorkomen dat je met losse Excel-bestanden werkt, is het slim om een centrale opslagplek te kiezen.
Er zijn verschillende tools die je helpen bij het combineren van je verwerkingsregister en je ISO- of NEN-documentatie. Denk aan tools zoals PrivacyPerfect, DPOffice of een module van een groter GRC-platform zoals ServiceNow. Deze tools bieden vaak de mogelijkheid om je verwerkingsregister te koppelen aan je risico- of maatregelenregister.
Zo hoef je niet twee keer hetzelfde te documenteren. Als je geen tool wilt gebruiken, kun je ook een gestructureerde mapstructuur in SharePoint of Teams opzetten. Zorg ervoor dat je per verwerkingsactiviteit een document hebt dat zowel de privacyaspecten als de beveiligingsmaatregelen bevat. Dit voorkomt dat je documenten verspreid raken.
De technische koppeling: hoe je het doet
Als je eenmaal weet welke processen je combineert, is het tijd voor de technische koppeling. Je wilt niet dat je medewerkers twee keer hetzelfde invullen.
Een slimme manier is om stap voor stap je verwerkingsregister op te bouwen als basis voor je risico-analyse.
In je ISO- of NEN-documentatie leg je risico-analyses vast. Voor elke verwerkingsactiviteit uit je verwerkingsregister kun je een risico-analyse uitvoeren. Bijvoorbeeld: risico op datalekken bij verwerking van klantgegevens.
Gebruik sjablonen voor consistente documentatie
Je koppelt dan de maatregelen uit je ISO- of NEN-documentatie (zoals encryptie) aan dit risico. Zo ontstaat er een logische flow: verwerkingsactiviteit -> risico -> maatregel.
Dit maakt het niet alleen overzichtelijker, maar helpt ook bij het aantonen van compliance aan auditors. Zij zien direct dat je maatregelen aansluiten op je verwerkingsactiviteiten. Een andere handige tip is het gebruik van sjablonen. Maak een sjabloon voor je verwerkingsregister waarin je direct ruimte vrijmaakt voor de bijbehorende ISO- of NEN-maatregelen.
Bijvoorbeeld een extra kolom "Beveiligingsmaatregel" of "Risico-analyse". Dit zorgt ervoor dat je bij het invullen van je verwerkingsregister direct nadenkt over de beveiliging.
Hetzelfde kun je doen voor je ISO- of NEN-documentatie: voeg een kolom toe voor "Verwerkingsactiviteit" zodat je per maatregel kunt aangeven welke verwerkingsactiviteit dit raakt. Door sjablonen te gebruiken, zorg je voor consistentie en voorkom je dat je documenten uit elkaar groeien. Tools zoals Microsoft Excel of Google Sheets bieden hiervoor goede opties, maar voor meer geavanceerde functionaliteiten kun je kijken naar tools zoals LogicGate of StandardFusion.
Praktijkvoorbeeld: hoe het werkt in de zorg
Laten we een praktijkvoorbeeld bekijken. Stel je voor dat je een zorginstelling bent die werkt met het NEN 7510 normenkader.
Je verwerkt medische gegevens van patiënten. Tegelijkertijd moet je voldoen aan de NEN 7510 eisen voor informatiebeveiliging. In je gezondheidsgegevens registreren in je verwerkingsregister leg je vast dat je medische gegevens verwerkt in een EPD-systeem (Elektronisch Patiënten Dossier).
In je NEN 7510 documentatie leg je vast dat je voor dit EPD-systeem maatregelen neemt zoals tweefactorauthenticatie en regelmatige back-ups. Door deze te combineren, koppel je de verwerkingsactiviteit "verwerking medische gegevens in EPD" direct aan de maatregelen "tweefactorauthenticatie" en "back-ups".
Dit zorgt ervoor dat je als organisatie kunt aantonen dat je niet alleen weet wat je verwerkt, maar ook hoe je dit beveiligt.
Dit is precies wat auditors willen zien.
Voorkom valkuilen bij het combineren
Hoewel het combineren van je verwerkingsregister en ISO- of NEN-documentatie veel voordelen heeft, zijn er ook valkuilen.
Een veelgemaakte fout is dat organisaties te veel details proberen vast te leggen. Probeer je te concentreren op de belangrijkste verwerkingsactiviteiten en bijbehorende maatregelen. Je hoeft niet voor elke losse handeling een aparte regel in je register te zetten.
Een andere valkuil is het niet bijwerken van je documenten. Als je een nieuwe verwerkingsactiviteit toevoegt, moet je ook je ISO- of NEN-documentatie updaten.
Zorg voor een vast moment in je kalender, bijvoorbeeld maandelijks of per kwartaal, om je documenten te controleren en bij te werken.
Dit voorkomt dat je achter de feiten aanloopt.
Conclusie: eenheid creëert rust
Het combineren van je verwerkingsregister met je ISO- of NEN-documentatie is geen rocket science. Het vraagt om een gestructureerde aanpak en de juiste tools, maar het levert je enorm veel op.
Je bespaart tijd, voorkomt fouten en je compliance wordt sterker. Door je verwerkingsregister als basis te nemen en hier de beveiligingsmaatregelen uit je ISO- of NEN-documentatie aan te koppelen, creëer je één waarheid.
Dit maakt het leven makkelijker voor je privacy officer, je IT-team en niet te vergeten je auditors. Dus pak je verwerkingsregister erbij, breng je processen in kaart en leer hoe je het verwerkingsregister aanpast na een wetswijziging. Je zult merken dat het werken met compliance ineens een stuk leuker wordt.