Klik hier om in te loggen als u al een account heeft.
NORMA is standaard gevuld met 13 normen. Elke norm kent een algemeen geformuleerde beschrijving en is met behulp van meerdere normspecificaties verder uitgewerkt. De normspecificaties die wettelijk gezien minimaal geregeld moeten zijn, zijn benoemd als ‘basisspecificatie’.
Governance rondom privacy en informatiebeveiliging
T.a.v. de verwerking van persoonsgegevens is sprake van een beschreven, ingeregelde en werkende governance structuur op basis waarvan duidelijk is wie welke verantwoordelijkheid heeft.
Register van verwerkingsactiviteiten
De doelen van de verwerking van persoonsgegevens zijn gedocumenteerd en zijn rechtmatig.
Beleid
Er wordt afgestemd op de context van de organisatie en binnen de kaders van wet- en regelgeving, beleid gehanteerd m.b.t. de invulling en ambities van privacy en gegevensbescherming. Besluitvorming m.b.t. privacy en gegevensbescherming is afgewogen gebeurd en is gedocumenteerd.
Beleid en operatie
Bij de uitvoering van werkzaamheden worden t.a.v. het privacy beleid, uitvoeringskaders en procedures ter nadere invulling van het beleid gehanteerd.
Bewustwording en opleidingen
De bewustwording en kennis van management en medewerkers m.b.t. het verantwoordelijk omgaan met persoonsgegevens wordt onderhouden.
Beheersen van informatiebeveiligingsrisico’s
Er worden toepassingen gehanteerd en onderhouden om ongewenste toegang tot en niet toegestane verwerkingen van persoonsgegevens te voorkomen.
Derden en risico’s
Er zijn mitigerende maatregelen getroffen t.a.v. privacy en gegevensbeschermingsrisico’s waar persoonsgegevens worden verstrekt gedeeld of in opdracht van de organisatie worden verwerkt.
Transparantie
Waar persoonsgegevens worden verwerkt is dat t.a.v. de doelen, grondslagen, bewaren en delen inzichtelijk voor de betrokkenen.
Rechten van betrokkenen
Hoe en waar betrokkenen hun rechten kunnen uitoefenen is beschreven en toegankelijk. De afhandeling van verzoeken, vragen en issues is georganiseerd.
Nieuwe verwerkingen en aanpassingen in bestaande verwerkingen
Nieuwe verwerkingen of aanpassingen in bestaande verwerkingen ,et persoonsgegevens zijn altijd rechtsgeldig. Waar wettelijk vereist is vooraf een gegevensbeschermingseffectbeoordeling uitgevoerd waarvan de mitigerende maatregelen zijn geïmplementeerd.
Managen van privacy inbreuken
Er worden processen en procedures gehanteerd voor het onderkennen en adequaat afhandelen van eventuele privacy en gegevensbeschermingsinbreuken.
Monitoren van AVG compliancy
Periodiek wordt het voldoen aan de AVG verplichtingen en beginselen beoordeeld en wordt een audit uitgevoerd.
Relevante wijzigingen en ontwikkelingen
Relevante wijzigingen en ontwikkelingen t.a.v. privacy en gegevensbescherming worden bijgehouden en leiden waar van toepassing, tot wijzigingen van beleid, uitvoeringskaders en werkwijze.
Het overgrote deel van de normspecificaties zijn echter beleidskeuzes. Deze zijn afhankelijk van het ambitieniveau dat de organisatie t.a.v. privacy en gegevensbescherming nastreeft. Deze beleidskeuzes kunnen in stappen gerealiseerd worden. Dat kan organisatiebreed op alle normen, maar kan ook per norm verschillen. NORMA heeft vier volwassenheidsniveaus van privacy en gegevensbescherming gedefinieerd:
1) er is sprake van een ad hoc aanpak waarbij nog niet aan alle minimale compliance voorwaarden wordt voldaan;
2) er is sprake van een vooraf gedefinieerde aanpak en risicoafweging;
3) de aanpak is gericht op continu verbeteren op basis van monitoring, analyses en reviews;
4) de aanpak is gericht op optimalisatie, gebaseerd op morele juridische waardenafwegingen.
Het algoritme dat NORMA gebruikt, is zo gedefinieerd dat met het bereiken van de ambities, het volwassenheidsniveau toeneemt. Privacy en gegevensbescherming maken daarmee, meer en meer integraal onderdeel uit van de bedrijfsvoering en de besturing. Daartoe zijn in de normspecificaties onder meer de beleidscyclus en de PDCA cyclus opgenomen.
Dat sowieso aan volwassenheidsniveau 1 voldaan moet worden (wettelijk minimum) is logisch maar of daarnaast ook aan niveau 2, 3 of 4 voldaan moet worden en waar de organisatie feitelijk staat maakt NORMA inzichtelijk aan de hand van het ingeven van prioriteit en het regelmatig aangeven en bijwerken van de status.
Door over de vulling van NORMA met het management afspraken te maken, worden toezichtsnormen, beleidsambities en realisatiebeelden gecombineerd. NORMA wordt daarmee een gesprekstool tussen toezichthouder en management waar het om toezicht en (bij)sturing gaat.
NORMA is zo gebouwd dat die op strategisch, tactisch en eventueel operationeel niveau inzicht geeft. Dat gebeurt d.m.v. een samenvattend normen dashboard en overzichten per norm en normspecificatie.
Algoritme
Vereenvoudigd weergegeven is het algoritme waarmee NORMA het volwassenheidsniveau van privacy en gegevensbescherming als volgt gedefinieerd.
|
Ad hoc |
Zolang niet alle met ‘nu’ geprioriteerde normspecificatie ‘afgerond’ zijn |
|
Gedefinieerde aanpak |
Wanneer alle met ‘nu’ geprioriteerde normspecificaties ‘afgerond’ zijn en alle met ‘binnen afzienbare tijd’ geprioriteerde normspecificaties minimaal de helft plus 1 de status ‘loopt’ hebben |
|
Continu verbeteren |
Wanneer alle met ‘nu’ geprioriteerde normspecificaties ‘afgerond’ zijn en van alle met ‘binnen afzienbare tijd’ geprioriteerde normspecificaties de helft plus 1 ‘afgerond’ zijn en tegelijk alle normspecificaties met prioriteit ‘later’ minimaal de status ‘loopt’ hebben |
|
Optimalisatie |
Wanneer alle met ‘nu’ en met ‘binnen afzienbare tijd’ geprioriteerde normspecificaties ‘afgerond’ zijn, tegelijk alle met ‘later’ geprioriteerde normspecificaties minimaal de helft plus 1 de status ‘afgerond’ hebben én de overige normspecificaties met prioriteit 'later' de status 'loopt' hebben én geen normspecificaties ‘niet van toepassing’ als prioriteit hebben |