Beleid inzake gegevensbescherming en gegevensprivacy

Het Beleid inzake gegevensbescherming en gegevensprivacy (P17) stelt een uitgebreid kader vast voor de bescherming van persoonsgegevens en de implementatie van privacy by design-principes binnen de organisatie. Dit beleid legt de verplichte organisatorische en technische vereisten vast die nodig zijn om te voldoen aan internationale normen en zich ontwikkelende regelgevende kaders, en waarborgt dat persoonsgegevens gedurende hun volledige levenscyclus op een rechtmatige, veilige en transparante wijze worden verwerkt. De dekking strekt zich uit tot alle organisatie-eenheden, al het personeel en systemen die persoonsgegevens verwerken, ongeacht of dit op fysieke of digitale media gebeurt, en omvat clouddiensten, SaaS-platformen en mobiele apparaten. Het beleid is expliciet in zijn toepassingsgebied en verduidelijkt dat alle werknemers, contractanten en derde partijen aan de vereisten zijn onderworpen. Alle omgevingen waarin persoonsgegevens aanwezig zijn—productie, ontwikkeling, test of back-up—vallen binnen de scope. Het beleid behandelt niet alleen het verzamelen, opslaan en gebruiken van persoonsgegevens, maar ook bewaring, afvoer, grensoverschrijdende doorgiften en de afhandeling van rechten van betrokkenen. Een centraal doel van het beleid is naleving van toonaangevende regelgeving en normen: GDPR (Articles 5, 6, 12–23, 25, 28, 30, 32–34; Recital 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (Clauses 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (Controls 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (diverse beheersmaatregelen) en COBIT 2019 (APO12, DSS01, DSS05, MEA). Daartoe verplicht het de toewijzing van rollen en verantwoordingsstructuren: Executive Management zorgt voor strategisch toezicht; de DPO orkestreert complianceprocessen, handhaving van rechten van betrokkenen en interactie met toezichthoudende autoriteiten; en Beveiliging, Juridische zaken, Data Owners en IT implementeren gezamenlijk technische en organisatorische waarborgen, onderhouden registers en beheren datalekken. Het beleid vereist een formeel Privacy Governance Framework dat is geïntegreerd met het Managementsysteem voor informatiebeveiliging (ISMS) van de organisatie voor consistente handhaving. Het beschrijft processen voor het bijhouden van privacy-risicoregisters, het uitvoeren van DPIA's voor verwerking met hoog risico en het borgen dat privacybeheersmaatregelen (van gegevensminimalisatie en pseudonimisering tot bewaarschema’s en veilige afvoer) diep zijn ingebed. Rechtmatige verwerking en gedocumenteerde rechtsgronden zijn fundamenteel, met expliciet beheer van toestemming, gegevensinventarissen en grensoverschrijdende gegevensstromen. Verzoeken van betrokkenen worden binnen vastgestelde termijnen afgehandeld en gelogd voor traceerbaarheid, en robuuste kaders voor beheer van datalekken, afhandeling van uitzonderingen en toezicht op derde partijen worden in detail beschreven. Regelmatige herzieningen, audittrails en een vereiste voor jaarlijkse (of ad-hoc) interne audits helpen waarborgen dat het beleid doeltreffend blijft en inspeelt op wijzigingen in regelgeving, auditbevindingen of grote incidenten. Elke significante update moet door Executive Management worden goedgekeurd en in het ISMS worden gedocumenteerd. Dit beleid vormt een integraal onderdeel van het bredere systeem voor informatiebeveiliging en risicomanagement van de organisatie en sluit nauw aan op complementaire beleidslijnen inzake incidentrespons, risicobeheer, classificatie, bewaring, datamasking en auditmonitoring.