Wat is een PIMS? Het privacy information management system uitgelegd
Een PIMS — privacy information management system — is een vaste manier van werken waarmee je grip houdt op alle persoonsgegevens die door je organisatie gaan. Het is geen softwarepakket. Het is een set processen, rollen en afspraken: wie verwerkt welke gegevens, voor welk doel, met welke bescherming, en hoe controleer je dat alles werkt? ISO 27701 legt vast hoe een PIMS eruit moet zien. De norm vind je bij ISO en via NEN . Wat de norm precies vraagt staat op eisen van ISO 27701. De relatie met de AVG lees je op AVG en ISO 27701.
Op deze pagina
Definitie en kerngedachte.
Wat is een PIMS?Verwerkingsregister, beleid, procedures.
Onderdelen van een PIMSHoe het systeem blijft leven.
De PDCA-cyclusPrivacy vs. beveiliging.
PIMS vs ISMSWat het oplevert voor AVG-naleving.
PIMS en de AVGWat is een PIMS precies?
Vergelijk een PIMS met een ISMS. Een ISMS — information security management system geeft je structuur om informatie te beveiligen. Een PIMS geeft je structuur om persoonsgegevens correct te verwerken en de rechten van betrokkenen te respecteren.
Het PIMS is niet een document of systeem dat je eenmalig opstelt. Het is een levend geheel dat draait op basis van de Plan-Do-Check-Act-cyclus. Je plant wat je gaat doen, voert het uit, controleert of het werkt, en verbetert waar nodig.
Een concreet voorbeeld. Een HR-SaaS-bedrijf verwerkt salarisgegevens van werknemers van opdrachtgevers. Voor hun PIMS betekent dat:
- Verwerkingsregister met alle categorieën salarisdata en de bijbehorende grondslagen
- Privacybeleid dat beschrijft hoe je data verwerkt en beschermt
- Procedure waarmee een betrokkene inzage of verwijdering kan aanvragen
- Verwerkersovereenkomsten met opdrachtgevers en subverwerkers (loonprocessors, boekhoudsoftware)
- Privacytraining voor medewerkers die toegang hebben tot de data
- Interne audit om jaarlijks te toetsen of alles nog werkt
Dat zijn geen losse documenten. Ze hangen samen en worden beheerd als systeem.
Onderdelen van een PIMS
| Onderdeel | Wat het is |
|---|---|
| Verwerkingsregister | Overzicht van alle verwerkingen: welke data, welk doel, grondslag, bewaartermijn, ontvangers |
| Privacybeleid | Intern beleid over hoe je persoonsgegevens verwerkt en beschermt |
| Procedure verzoeken betrokkenen | Hoe je omgaat met inzage, correctie, verwijdering en bezwaar |
| Privacy-risicoanalyse | Analyse van risico’s vanuit het perspectief van de betrokkene |
| Leveranciersafspraken | Verwerkersovereenkomsten en contractuele privacyvereisten |
| Incidentprocedure | Wat te doen bij een datalek, inclusief melding aan de AP |
| Bewustwording en training | Medewerkers weten wat privacy betekent in hun werk |
| Interne audit en directiebeoordeling | Periodieke toetsing van het systeem |
Een PIMS is geen dik handboek. Documenteer wat je doet, niet meer. Een register in een spreadsheet, een beleid van drie pagina’s en een heldere procedure voor betrokkenen is genoeg voor een klein bedrijf. Kwaliteit gaat boven volume.
De PDCA-cyclus in een PIMS
ISO 27701 is gebouwd op de Plan-Do-Check-Act-cyclus. Die maakt het verschil tussen een systeem dat leeft en een document dat stolt.
Plan: Je stelt doelen. Je voert een risicoanalyse uit en beslist welke maatregelen je neemt. Je legt vast wie verantwoordelijk is.
Do: Je voert de maatregelen uit. Je traint medewerkers. Je implementeert de procedures.
Check: Je toetst of het werkt. Je voert een interne audit uit. Je houdt een directiebeoordeling. Zijn incidenten goed afgehandeld? Zijn betrokkenenverzoeken binnen de termijn beantwoord?
Act: Je verbetert. Bevindingen uit de audit worden opgepakt. Nieuwe verwerkingen worden in het register opgenomen. Beleid wordt aangepast aan gewijzigde wetgeving.
Elk jaar doorloop je deze cyclus. Dat is ook waarom jaarlijkse controle-audits zin hebben: ze houden het systeem scherp.
PIMS vs. ISMS: wat is het verschil?
| Kenmerk | ISMS (ISO 27001) | PIMS (ISO 27701) |
|---|---|---|
| Focus | Alle informatie beschermen | Persoonsgegevens correct verwerken |
| Centrale vraag | Is de informatie veilig? | Gaan we netjes om met mensen en hun data? |
| Verplichtingen | Beveiligingsmaatregelen | AVG-rechten, grondslagen, transparantie |
| Norm | ISO 27001 | ISO 27701 |
De twee systemen overlappen. Goede beveiliging is ook goed voor privacy. Maar ze zijn niet hetzelfde. Je kunt data perfect beveiligen en toch de privacywet overtreden, bijvoorbeeld door gegevens zonder grondslag te verzamelen. Andersom kun je een zorgvuldige privacyprocedure hebben en de data slecht beveiligen.
Heb je al een ISMS? Dan bouw je het PIMS erop. Je voegt de privacy-specifieke onderdelen toe: het verwerkingsregister, de privacyrisicoanalyse en de maatregelen voor je rol. Lees hoe dat werkt op ISO 27701 vs. ISO 27001.
Hoe een PIMS aansluit op de AVG
De AVG eist dat je persoonsgegevens rechtmatig, transparant en doelgebonden verwerkt. Het vraagt ook dat je kunt aantonen dat je dat doet (de accountability-plicht). Precies daar helpt een PIMS.
| AVG-eis | Hoe het PIMS helpt |
|---|---|
| Verwerkingsregister (art. 30) | Kernonderdeel van elk PIMS |
| Rechten van betrokkenen (art. 12-22) | Procedure en documentatie verzoeken |
| Privacy by design (art. 25) | Risicoanalyse vóór nieuwe verwerkingen |
| Beveiliging (art. 32) | Technische en organisatorische maatregelen |
| Datalekmelding (art. 33) | Incidentprocedure met meldtermijnen |
| Accountability (art. 5 lid 2) | Gedocumenteerd systeem aantoonbaar |
Dat maakt ISO 27701 waardevol voor organisaties die hun AVG-huishouding willen structureren en aantoonbaar willen maken. Maar het is geen wettelijk AVG-certificaat. Lees waarom op AVG en ISO 27701.
Volgende stappen
Welke maatregelen gelden voor jou?
Verwerker of verantwoordelijke?Hoe bouw je een PIMS op?
StappenplanHet zusterconcept voor informatiebeveiliging.
ISMS uitgelegd (ISO 27001)Overzicht ISO 27701.
Terug naar de hubBronnen
- ISO/IEC 27701 bij ISO – International Organization for Standardization
- NEN – Informatiebeveiliging en privacy – Nederlands Normalisatie-instituut