Privacy Dashboard 6 KPI s en Aandachtspunten

Transcriptie

1 Privacy Dashboard 6 KPI s en Aandachtspunten Disclaimer Vanuit Brussel wordt nog volop gewerkt aan nadere duiding van de AVG (in onder andere richtsnoeren). Ook nationaal is het interpreteren van de AVG in volle gang (Uitvoeringswet AVG). Teruggrijpen op casuïstiek of jurisprudentie als leidraad hoe de interpretatie moet zijn, kan nog niet. AVG@VenJ-producten zijn voor en door VenJ-professionals gemaakt voor collega s die zich bezig houden met privacy en de implementatie van de AGV. Concepten, handvatten en voortschrijdende inzichten die wij graag delen. Voel je vrij om te (her)gebruiken en laat ons jouw ideeën voor verbetering graag weten via AVG@minvenj.nl.

2 Privacy Dashboard: KPI s (en Aandachtspunten) Disclaimer Vanuit Brussel wordt nog volop gewerkt aan nadere duiding van de AVG (in onder andere richtsnoeren). Ook nationaal is het interpreteren van de AVG in volle gang (Uitvoeringswet AVG). Teruggrijpen op casuïstiek of jurisprudentie als leidraad hoe de interpretatie moet zijn, kan nog niet. De AVG@VenJ-Aandachtspunten vormen een referentiebron als leidraad. Het ook zelf actief volgen van de ontwikkelingen rondom de AVG is altijd verstandig. De meest recente versie van AVG@VenJ-producten worden vanaf juli 2017 telkens gepubliceerd op de Rijksportaalpagina AVG@VenJ. Inleiding Het Ministerie van Veiligheid en Justitie (VenJ) werkt onder de noemer AVG@VenJ aan het gestructureerd informeren en desgevraagd ondersteunen van VenJ-taakorganisaties bij hun activiteiten gericht op de implementatie van de Algemene Verordening Gegevensbescherming. Voor gemeenschappelijke vraagstukken - uitdagingen die voor vrijwel elk VenJ-onderdeel gelden - biedt een centraal AVG-team online en offline goede voorbeelden en producten, en ondersteuning op aanvraag. De eerste producten die in deze sfeer beschikbaar worden gemaakt zijn: 1. de AVG@VenJ Privacy Dashboard: 6 KPI s 2. de AVG@VenJ Aandachtspunten: Handreikingen bij de KPI s Doel: Privacy Officers toerusten Vanaf 25 mei 2018 moeten overheden en bedrijfsleven voldoen aan de AVG 1. Of het voor jouw onderdeel een flinke klus is, of dat er maar een paar aanpassingen in de beschrijving van datastromen nodig zijn: het is verstandig niet te wachten met het zetten van betekenisvolle stappen. Bij het zetten van die stappen helpt het om je als eerste te richten op die aspecten waar het grootste belang voor jouw betrokkenen zit. De Aandachtspunten zijn ook bedoeld als hulpmiddel 2 voor onze Privacy Officers om het gesprek met hun bestuurder aan te gaan: wat loopt goed, waar is bestuurlijke of managementhulp nodig bijvoorbeeld in de zin van een prioriteitsstelling, geld, specifieke expertise of handjes, danwel de punten te gebruiken om samen met de eigen (concern)controller de aanpak, financiën en voortgang te bespreken. Drie AVG- plichten De KPI s en bijbehorende handreikingen zijn opgebouwd aan de hand van drie (hoofd)verplichtingen en een restcategorie: 1. AVG-documentatieplichten a. Grondslag en rechtmatige verwerking b. Technische en organisatorische maatregelen 2. AVG-Verantwoordingsplichten 3. AVG-Informatieplichten 4. Overige zaken 1 2 De scope van (deze Checklist) AVG@VenJ is de Algemene Verordening Gegevensbescherming. Dat neemt niet weg dat er vanuit andere wetgeving dwingende verplichtingen kunnen zijn tot het nemen van aparte (aanvullende) maatregelen. Zo hebben bijvoorbeeld het Openbaar Ministerie, de Rechtspraak, de Justitiële Informatiedienst en de Politie ook te maken met de Richtlijn Opsporing, Vervolging en Tenuitvoerlegging - de Wet justitiële en strafvorderlijke gegevens (Wjsg) en de Wet politiegegevens (Wpg) worden ter implementatie van deze Richtlijn gewijzigd. Een ander voorbeeld is de Wet op de geneeskundige behandelingsovereenkomst (de WBGO) waar bijvoorbeeld de Dienst Justitiële Inrichtingen ook mee te maken heeft) en waarbij er sprake is van de verwerking van een categorie bijzondere persoonsgegevens. De checklist is geen werkinstructie. Achter een enkele check kan een hele wereld schuilen. Schakel bij de implementatie daarom ter zake deskundige capaciteit in; bijvoorbeeld een privacy jurist of een informatiebeveiligingsspecialist. AVG@VenJ Privacy Dashboard: KPI s en Aandachtspunten (Juli v0.99) 2 van 16

3 producten Privacy Dashboard: 6 KPI s Tertaal rapportageformat Op 21 juni jl. keken wij in samenspraak met een van de externe leden van het Audit Committee VenJ hoe we tot een praktische set met KPI s kunnen komen. KPI s die langs de lijn van de verantwoordings-, documentatie-, en informatieplicht die de AVG ons brengt, inzicht kunnen geven in de voortgang bij de implementatie van de AVG. Voor intern gebruik door de taakorganisatie zelf, en tegelijkertijd hanteerbaar om de taakorganisaties op verantwoorde wijze met elkaar te kunnen vergelijken. Kortom: een set van KPI s waar VenJ-onderdelen voldoende mee uit de voeten kunnen en die bestuurders handvatten geeft om te sturen. We streven met de AVG@VenJ-KPI s naar een rapportageformat met een handreiking die helder maakt wanneer wij als VenJ goed ook goed genoeg vinden, zonder daarbij in de eigen verantwoordelijkheid van de taakorganisaties te treden. Een set met KPI s die samen de zogenaamde bulletlijst vormen en vanaf september het kader is voor de tertaalrapportage AVG 3 waarbij elk VenJ-onderdeel zich verantwoordt over de stand van zaken van hun implementatie van de AVG. Deze werkset werd begin juli meegestuurd met de uitvraag voor het tweede tertaal (rapportage T2 in september 2017) en kreeg tussentijdse voor reflectie vanuit de Auditdienst Rijk. De AVG@VenJ Aandachtspunten: Handreikingen bij de KPI s Artikelsgewijze verdieping Dit is een groeidocument die taakorganisaties niet alleen wegwijs maakt in algemeen relevant geachte onderdelen uit de AVG, maar daarbij tevens handreikingen of extra informatie over de toepassing ervan geeft. Daarnaast biedt het een gestructureerde basis en ultieme werkvorm om binnen VenJ ervaringen en praktijkervaringen met elkaar te delen. Disclaimer Zijn de producten zoals ze vanuit AVG@VenJ worden aangereikt helemaal perfect? Nee en dat gaan ze ook nooit worden. Zo worden ze ook niet opgezet, simpelweg omdat elke organisatie haar eigen vakspecifieke kenmerken heeft en de implementatie van de AVG voor een deel altijd maatwerk blijft. Uiteraard worden de AVG@VenJ-producten opgezet om de afnemers ervan zo goed mogelijk te informeren omtrent AVG-aandachtsgebieden. Ze zijn bedoeld om daarbij handreikingen te bieden voor het kunnen (her)inrichten van een zorgvuldige omgang met persoonsgegevens waar nodig en daarbij stap voor stap in control te raken. Vanuit het voortschrijdend inzicht en het besef welke risico s voor de bescherming van de persoonlijke levenssfeer van betrokkenen echt van belang zijn binnen de werkprocessen. En dat betekent dat taakorganisaties zelf leren onderkennen wanneer goed ook echt goed genoeg is en welke prioriteiten binnen hun organisatie van belang zijn. Privacy is het komen tot een verantwoorde en situationele belangenafweging tussen de taakstelling van de organisatie, de bescherming van de persoonlijke levenssfeer van betrokkenen en wet- en regelgeving. Wij zien het samen vanuit de AVG@VenJ werken aan producten en zo delen van kennis en ervaringen als geslaagd als dat besef en voortschrijdend inzicht zich vertaalt in een positieve lijn in de vanaf september gerapporteerde KPI s en het gezamenlijk en spontaan gaan delen van kennis en ervaringen door de taakorganisaties via het daartoe door AVG@VenJ geboden AVGkennis- en expertise platform. 3 De Auditdienst Rijk gaf op 15 maart 2017 vier aandachtspunten mee in haar samenvattend auditrapport VenJ met het oog op aankomende AVG: (1) helderheid over decentrale verantwoordelijkheden, (2) een register van verwerkingsactiviteiten, (3) het op orde hebben van verwerkersovereenkomsten en (4) het inzichtelijk en aantoonbaar maken van het stelsel van maatregelen ter waarborging van de naleving. Mede om die reden wordt de voortgang van de AVG-implementatie centraal gevolgd. AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 3 van 16

4 Privacy Dashboard: 6 KPI s Tertaal rapportageformat Privacymanagement Organisaties zijn verantwoordingsplichtig ( accountable ) voor het naleven ( complying with ) van privacywetgeving. Al in 1980 formuleerde de OESO acht toonaangevende privacyprincipes: dataminimalisatie, datakwaliteit, doelbinding, gebruiksminimalisatie, beveiliging, transparantie, rechten van betrokkenen en accountability. Principes die we niet alleen in de Richtlijn 95/46/EG uit 1995 aantreffen - en dus ook in de Wbp als de nationale implementatie daarvan uit 2001 zijn overgenomen - maar die ook gewoon weer in de AVG van 2016/2018 terugkomen. Deze principes vormen een leidraad voor organisaties om maatregelen op te baseren en dus de naleving van deze principes in opzet te regelen. Als organisatie accountable zijn betekent echter meer. Je moet met ingang van het in werking treden van de AVG (dus al sinds 25 mei 2016!) ook te allen tijde inzicht kunnen geven in het aantoonbaar (documentatieplicht) bestaan en de efficiëntie van werken van de maatregelen ingericht om de risico s voor de persoonlijke levenssfeer van betrokkenen te vermijden of - als dat niet mogelijk is - te beperken. Passend en aantoonbaar: voor, tijdens en na de verwerking Accountable betekent verantwoorden achteraf. De kern van de AVG is de plicht voor de verwerkingsverantwoordelijke om voorafgaand aan, tijdens én na het verwerken van persoonsgegevens een passende set van maatregelen (de maatregelenmix van zowel organisatorische, procedureel als technisch) aantoonbaar (dus gedocumenteerd) in place te hebben. Passend impliceert dat de ververwerkingsverantwoordelijke steeds situationeel een risicoafweging maakt waarin de soort verwerking (aard, omvang, context en doel) en de risico s voor en het effect op betrokkenen worden afgewogen. Organisatiebrede verplichting De AVG vereist veel maatregelen die bij concrete verwerkingen horen en maatregelen die de organisatie als geheel betreffen. Denk aan het ingeregeld hebben van een proces om een datalek adequaat te kunnen afhandelen. Om dat te kunnen, heb je inzicht nodig. Inzicht in bijvoorbeeld de processen, de categorieën betrokkenen en persoonsgegevens en hoe de beveiliging is ingeregeld. En vooral ook wie verwerkingsverantwoordelijke is. Ook het zorgen voor invulling van de registers van verwerkingsactiviteiten is zo n organisatiebrede verplichting. Voldoen aan wetgeving sec (compliance) is met de AVG niet meer voldoende. Compliant aan de AVG zijn, vereist het organiseren ervan en dit desgevraagd, maar proactief, kunnen aantonen. Dat betekent niet alleen het documenteren van verwerkingen. Compliant willen werken betekent de borging van privacy al in gedachten hebben voordat tot verwerken wordt overgegaan. Maar dat zou een greenfield veronderstellen, die er uiteraard niet is. Ook dit betekent keuzes maken. Daar gaat het als business in control raken over. In control zijn, is de betekenisvolle stap richting aantoonbaar compliant zijn! Businessvraagstuk zonder recept De AVG geeft kaders en richting aan regels voor privacymanagement, maar het is géén recept. De verordening is een compromis tussen de zienswijzen van de 28 lidstaten en heeft nog veel nader uit te kristalliseren of nationaal in te vullen aandachtsgebieden. De AVG geeft dan ook geen handreiking om te bepalen wanneer goed, goed genoeg is of hoe organisaties hun omgang met persoonsgegevens efficiënt kunnen inrichten. Het bepalen van de positie van de organisatie in de belangenafweging tussen de eigen taakstelling, wet- en regelgeving én de bescherming van de persoonlijke levenssfeer van betrokkenen bij de verwerking van persoonsgegevens is een taak waar een verwerkingsverantwoordelijke op wordt aangesproken als dit voor betrokkenen verkeerd blijkt uit te pakken. Privacy is met recht weer een businessvraagstuk. De verwerkingsverantwoordelijke is tenslotte de entiteit die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Deze entiteit is dan ook verplicht aantoonbaar de waarborgen te nemen die bij die verwerking nodig zijn. AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 4 van 16

5 Onderschatting is een groot risico De AVG wijkt op zich niet wezenlijk af van de Wbp, maar daarbij moet je wel in ogenschouw nemen in hoeverre de naleving van de Wbp al onderdeel uitmaakte van de door organisaties geïmplementeerde maatregelenmix. Daarin ligt de reden waarom het voldoen aan de wettelijke kaders van de AVG nu voor veel organisaties een uitdaging is. Onderschatten daarvan is door de veranderingen in de privacykaders ook een groot bedrijfsrisico. Denk alleen al aan media-aandacht. Het is belangrijk om als organisatie de risico s die gepaard gaan met de verwerking van persoonsgegevens voor betrokkenen te kennen en die kennis te gebruiken om de afscherming daarvan te onderbouwen. Daarbij zijn registers van verwerkingsactiviteiten en de informatie die je verkrijgt door een PIA (of GEB) uit te voeren, belangrijke input voor de organisatie om te bepalen of en in hoeverre zij in control raken. En bij het verschaffen van inzicht in de status van dat laatste helpen de KPI s. Zes KPI s: zinvolle en vergelijkbare inzichten in status en voortgang Alle VenJ-onderdelen werken aan de implementatie van de Algemene Verordening Gegevensbescherming. Het hebben van inzicht in de status en voortgang helpt om de focus op die plek(ken) te leggen, waar operationeel de grootste behoefte ligt. Inzicht in de vorm van KPI s kan VenJ-bre(e)de knelpunten zichtbaar maken. Dit kunnen centraal op te pakken uitdagingen zijn, maar ook aandachtspunten waar specifieke VenJ-onderdelen mee te maken hebben en een gecoördineerde ondersteuning wellicht een werkbare oplossingsrichting brengt. Op deze manier maken we aanwezige kennis en expertises binnen VenJ zo efficiënt mogelijk herbruikbaar en voorkomen we waar mogelijk dat wielen telkens opnieuw worden uitgevonden en kostbare doorlooptijd verloren gaat. Het AVG@VenJ-Privacy Dashboard richt zich daarom primair op de nieuwe verplichtingen die de AVG organisaties brengt. Aantoonbaar in control zijn betekent namelijk concreet invulling geven aan: 1. AVG-Documentatieplichten Denk bijvoorbeeld aan het aantoonbaar AVG-compliant verwerken, het hebben van een meldingenregister, een register van verwerkingsactiviteiten, PIA s en borging van de aandacht voor privacy (door het toepassen van Privacy by Design / Default). Handreikingen bij de documentatieplicht zijn verder uitgewerkt in Hoofdstuk 1 van de Aandachtspunten. 2. AVG-Verantwoordingsplichten Voorbeelden hiervan zijn het inrichten van de privacyfunctie, de zelfmeldplicht van elke beveiligingsinbreuk, (up to date) verwerkersovereenkomsten, privacy(bewustzijn) als vast onderwerp binnen planning- en controlcyclus, monitoring van het effect van maatregelen. Handreikingen bij de verantwoordingsplicht zijn verder uitgewerkt in Hoofdstuk 2 van de Aandachtspunten. 3. AVG-Informatieplichten Zoals het invullen van het transparantieprincipe, het hebben van gegevensbeschermingsbeleid, privacystatement(s) en procedures voor de uitoefening van de rechten van betrokkene (inzake, correctie, wissing, etc.). Handreikingen bij de informatieplicht zijn verder uitgewerkt in Hoofdstuk 3 van de Aandachtspunten. AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 5 van 16

6 De zes KPI s van het AVG@VenJ-Privacy Dashboard vormen een leidraad voor VenJ-onderdelen bij het onderkennen van de belangrijkste onderwerpen die je in ieder geval geregeld moet hebben. Daarmee helpt het dashboard VenJ-onderdelen om prioriteiten te stellen zonder daarbij het belang van de er niet in opgenomen aspecten van de AVG te bagatelliseren. De KPI s fungeren vanaf september tegelijkertijd als het kader voor de tertaalrapportage AVG 4 waarbij elk VenJ-onderdeel zich verantwoordt over de stand van zaken van hun implementatie van de AVG. De nadruk bij de implementatie van de AVG ligt op het werken aan in control raken zonder daarbij de realiteit en het principe goed is goed genoeg uit het oog te verliezen. De uitvoering ervan en keuzen daarbinnen is en blijft telkens de belangenafweging die elk VenJ-onderdeel zelf maakt. Zo zorgen we voor een rapportage- en monitoringstructuur die laat zien waar we in de tijd gezien staan en duidelijk maakt wat er nog nodig is om aan de AVG te voldoen. Daarnaast bieden we met de AVG@VenJ-Aandachtspunten een praktisch kader hoe een correcte omgang met persoonsgegevens als continu proces zou kunnen worden ingevuld. Ook na 25 mei Status Dit is het werkconcept met versie 0.99 (Juni 2017). Vaststelling van de definitieve (werk)versie gebeurt via de CIO- Raad VenJ (juni 2017) in de brede Bestuursraad (na de zomer). 4 Zie voetnoot 3. AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 6 van 16

7 KPI#1 AVG-compliance: Huidige status Geef jouw inschatting van de mate waarin jouw organisatie de AVG-compliance op dit rapportagemoment al op orde heeft: Waar sta je nu qua realisatie? 10% 20% 30% 40% 50% 60% 70% 80% 90% 99% Schets/typeer/omschrijf kort de AVG-compliance status: Geef bij rood of oranje aan waar dat volgens jou aan ligt: Wat zie je als jouw risico s? Budget Kennis/Expertise Capaciteit Awareness/Borging Draagvlak Prioriteiten Anders, namelijk Geef een korte toelichting bij elk van jouw risico s: Wat heb je er al aan gedaan? Kleurstelling risico s: Heb je jouw risico s onder controle? Maatregelen naar verwachting effectief Nadere actie nodig; kan intern Issue; externe actie gewenst Wil je ondersteuning vanuit de Vliegende Brigade AVG@VenJ? Ja Nee Weet nog niet Mijn ondersteuningsbehoefte is: KPI#2 AVG-compliance: Ambitie voor de komende 4 maanden Geef je inschatting van de mate waarin jouw organisatie de AVG-compliance op het volgende rapportagemoment op orde heeft: Waar ben je over 4 maanden? 10% 20% 30% 40% 50% 60% 70% 80% 90% 99% Wat betekent dat voor de compliance van jouw organisatie op 25 mei 2018? Geef bij rood of oranje aan waar dat volgens jou aan ligt: Wat zie je als jouw risico s? Budget Kennis/Expertise Capaciteit Awareness/Borging Draagvlak Prioriteiten Anders, namelijk Geef een korte toelichting bij elk van jouw risico s: Wat heb je er al aan gedaan? Kleurstelling risico s: Heb je jouw risico s onder controle? Maatregelen naar verwachting effectief Nadere actie nodig; kan intern Issue; externe actie gewenst Wil je ondersteuning vanuit de Vliegende Brigade AVG@VenJ? Ja Nee Weet nog niet Mijn ondersteuningsbehoefte is: AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 7 van 16

8 KPI#3 AVG-Inzicht Geef aan in hoeverre je voldoende inzicht hebt in de omvang én complexiteit van jouw compliance-uitdaging: Ben je in staat om de voor compliance noodzakelijke maatregelen vóór 25 mei 2018 te treffen? 10% 20% 30% 40% 50% 60% 70% 80% 90% 99% Omschrijf kort waarom je dit zo inschat in termen van: a. het aantal verwerkingen/bedrijfsprocessen b. de verwerkte categorieën persoonsgegevens c. de rechtmatigheid van verwerken d. de kwaliteit van verwerken e. het invulling kunnen geven aan de rechten van betrokkenen Geef bij rood of oranje aan waar dat volgens jou aan ligt: Wat zie je als jouw risico s? Budget Kennis/Expertise Capaciteit Awareness/Borging Draagvlak Prioriteiten Anders, namelijk Geef een korte toelichting bij elk van jouw risico s: Wat heb je er al aan gedaan? Kleurstelling risico s: Heb je jouw risico s onder controle? Maatregelen naar verwachting effectief Nadere actie nodig; kan intern Issue; externe actie gewenst Wil je ondersteuning vanuit de Vliegende Brigade AVG@VenJ? Ja Nee Weet nog niet Mijn ondersteuningsbehoefte is: KPI#4 AVG-Documentatieplicht Geef aan in hoeverre je de aandacht voor én invulling van de documentatieplicht binnen jouw (taak)organisatie nu op orde hebt om straks op 25 mei 2018 te kunnen zeggen: De documentatieplicht van mijn organisatie is in control 10% 20% 30% 40% 50% 60% 70% 80% 90% 99% Geef kort aan welke activiteiten worden uitgevoerd die er aan bijdragen om qua documentatieplicht straks in control te zijn: Geef bij rood of oranje aan waar dat volgens jou aan ligt: Wat zie je als jouw risico s? Budget Kennis/Expertise Capaciteit Awareness/Borging Draagvlak Prioriteiten Anders, namelijk Geef een korte toelichting bij elk van jouw risico s: Wat heb je er al aan gedaan? Kleurstelling risico s: Heb je jouw risico s onder controle? Maatregelen naar verwachting effectief Nadere actie nodig; kan intern Issue; externe actie gewenst Wil je ondersteuning vanuit de Vliegende Brigade AVG@VenJ? Ja Nee Weet nog niet Mijn ondersteuningsbehoefte is: AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 8 van 16

9 KPI#5 AVG-Verantwoordingsplicht Geef aan in hoeverre je de aandacht voor én invulling van de verantwoordingsplicht binnen jouw (taak)organisatie nu op orde hebt om straks op 25 mei 2018 te kunnen zeggen: De verantwoordingsplicht van mijn organisatie is in control 10% 20% 30% 40% 50% 60% 70% 80% 90% 99% Geef kort aan welke activiteiten worden uitgevoerd die bijdragen om qua verantwoordingsplicht straks in control te zijn: Geef bij rood of oranje aan waar dat volgens jou aan ligt: Wat zie je als jouw risico s? Budget Kennis/Expertise Capaciteit Awareness/Borging Draagvlak Prioriteiten Anders, namelijk Geef een korte toelichting bij elk van jouw risico s: Wat heb je er al aan gedaan? Kleurstelling risico s: Heb je jouw risico s onder controle? Maatregelen naar verwachting effectief Nadere actie nodig; kan intern Issue; externe actie gewenst Wil je ondersteuning vanuit de Vliegende Brigade AVG@VenJ? Ja Nee Weet nog niet Mijn ondersteuningsbehoefte is: KPI#6 AVG-Informatieplicht Geef aan in hoeverre je de aandacht voor én invulling van de informatieplicht binnen jouw (taak)organisatie nu op orde hebt om straks op 25 mei 2018 te kunnen zeggen: De informatieplicht van mijn organisatie is in control 10% 20% 30% 40% 50% 60% 70% 80% 90% 99% Geef kort aan welke activiteiten worden uitgevoerd die bijdragen om qua informatieplicht straks in control te zijn: Geef bij rood of oranje aan waar dat volgens jou aan ligt: Wat zie je als jouw risico s? Budget Kennis/Expertise Capaciteit Awareness/Borging Draagvlak Prioriteiten Anders, namelijk Geef een korte toelichting bij elk van jouw risico s: Wat heb je er al aan gedaan? Kleurstelling risico s: Heb je jouw risico s onder controle? Maatregelen naar verwachting effectief Nadere actie nodig; kan intern Issue; externe actie gewenst Wil je ondersteuning vanuit de Vliegende Brigade AVG@VenJ? Ja Nee Weet nog niet Mijn ondersteuningsbehoefte is: AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 9 van 16

10 Aandachtspunten: Handreikingen bij de KPI s In het overzicht van aandachtspunten bij de AVG is per categorie het AVG-artikel opgenomen, gevolgd door toelichting en waar voorhanden aangevuld met handreikingen, praktische informatie of goede voorbeelden die kunnen helpen in de dagelijkse praktijk. 1. AVG-Documentatieplichten A Grondslag en rechtmatige verwerking 1.1 Beginselen en verantwoording (art. 5) a. Toets de verwerking van persoonsgegevens op rechtmatigheid (art. 5-6, 9). b. Documenteer beleid, processen, procedures en maatregelen om aan te tonen dat wordt voldaan aan de AVG. - Elke verwerking dient behoorlijk, transparant en rechtmatig te geschieden. Verwerk persoonsgegevens in lijn met de beginselen van de AVG (zie art. 5). - Toets de rechtmatigheid van de verwerking (art. 6), bepaal of de verwerking is toegestaan. - Let op de eisen die worden gesteld aan bijzondere categorieën persoonsgegevens (art. 9). Vermelding verwerkingsgrond per stap in procesbeschrijving - Verwerkingen hoeven niet meer te worden gemeld bij de Autoriteit Persoonsgegevens (AP). Wel moet je gedocumenteerd kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de AVG te voldoen. - Naast een register van verwerkingen (zie: 1.4) dient de hele organisatie rondom privacy in kaart te zijn gebracht: taken, verantwoordelijkheden, processen, procedures, maatregelen, etc. Register van verwerkingen (zie 1.4, art. 30) Procesbeschrijvingen inclusief inzicht in datastromen Privacy statement op de website Privacy governance structuur 1.2 Toestemming (art. 7 en 8) a. Toestemming (art. 7 en 8). NB: Verkrijgen van toestemming, in veel gevallen niet van toepassing voor VenJ, aangezien veel verwerkingen volgen uit een wettelijke taak. - Indien gegevens worden verwerkt op basis van toestemming gelden voorwaarden (art. 7), waarbij kinderen een bijzondere bescherming genieten (art. 8). - Een aantal eisen zoals wissing (art. 17) en dataportabiliteit 5 (art. 20) zijn expliciet van toepassing. NB: Weeg bij verwerking op basis van toestemming nog een keer af of het noodzakelijk is de gegevens te verzamelen en verwerken, want er komen nogal wat extra eisen om de hoek kijken. Bijvoorbeeld: als een betrokkene toestemming geeft, moet hij die ook eenvoudig in kunnen trekken - daar zijn voorzieningen en procedures voor nodig die de nodige administratieve lasten met zich mee brengen. 5 Alleen bij verwerkingen op basis van toestemming. AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 10 van 16

11 1.3 Verantwoordelijken en verwerkers (art. 26 en 28) a. Bepaal wie verwerkingsverantwoordelijke is en wie verwerker. b. Review en actualiseer (indien nodig) huidige overeenkomsten. - Per verwerking van persoonsgegevens moet eerst duidelijk zijn wie de verwerkingsverantwoordelijke(n) is/zijn. Als sprake is van gezamenlijke verwerkingsverantwoordelijken moeten je hierover gezamenlijke afspraken maken waarbij verantwoordelijkheden worden vastgelegd (art. 26). - Waarborg in contractuele afspraken dat de verwerkingsverantwoordelijke zijn verplichtingen kan nakomen. Let vooral op: - afdoende garanties voor toepassen van maatregelen (lid 1) - schriftelijke toestemming voor inzet van subcontractors (lid 2 en 4) - notificatie van de verantwoordelijke bij datalekken (art. 33, lid 2) Model Bewerkersovereenkomst op Rijksportaal [huidige versie is nog Wbp, in augustus wordt AVG-geüpdate versie verwacht] 1.4 Register van verwerkingen (art. 30) a. Breng alle verwerkingen van persoonsgegevens in kaart in een register: contactgegevens, verwerkingsdoeleinden, categorieën van betrokkenen en persoonsgegevens, categorieën van ontvangers, doorgifte, bewaartermijnen, beveiligingsmaatregelen. - Maak conform art. 30 een overzicht van alle verwerkingsactiviteiten. Leg de gegevens vast, bijvoorbeeld als onderdeel van al bestaande procesbeschrijvingen. - Wees pragmatisch: het register moet inzicht geven in de verwerkingen, maar overzichtelijk en onderhoudbaar zijn. Werk daarom waar mogelijk met algemene beschrijvingen. - Het register is geen doel op zich: het gaat om het inzichtelijk hebben welke gegevens je verwerkt en waarom (grondslag/doelbinding). Informatiekaarten ziekhuiszorg en tweedelijns GGZ [opvraagbaar via AVG@VenJ] (Voorbeeld) beschrijving processen en datastromen [ToDo] Gebruik informatie uit het Meldingenregister Wbp Vanaf oktober verwacht: AVG-versie van het huidige EZ- b. Waarborg dat ook verwerkers een register bijhouden met daarin: contactgegevens, categorieën van verwerkingen, doorgifte, maatregelen. c. Implementeer een procedure om het register up-to-date te houden. Meldingenregister Wbp - Verwerkers houden hun eigen register bij. In principe hoeft de verantwoordelijke hiervoor niets te regelen. Let op: VenJ kan zelf verwerker zijn. Ook dan is een register vereist. Vastgelegde werkafspraken met verwerkers, bijvoorbeeld in de vorm van een template [ToDo] - Bij elke wijziging in het werkproces (met gevolgen voor gegevensverwerking) dient het register te worden bijgewerkt. - Beleg deze taak expliciet - bijvoorbeeld bij de privacyfunctionaris of een procesdeskundige die (ook) de procesbeschrijvingen onderhoudt. (Voorbeeld) changeprocedure met per change aandacht voor IB en privacy(register) [ToDo] AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 11 van 16

12 B Technische en organisatorische maatregelen 1.5 Privacy Impact Assessment (PIA of GEB) (art. 35) a. Richt een proces in om (1) te bepalen of een PIA nodig is en (2) om PIA s uit te voeren. b. Richt een procedure in voorafgaande raadpleging bij de Autoriteit Persoonsgegevens (art. 36). - Een PIA is nodig bij verwerkingen met een hoog risico. Gebruik hiervoor het Rijksbrede toetsingskader. - Hanteer voor de uitvoering van PIA s de (nieuwe) Rijksstandaard. - Leg vast (bijvoorbeeld in je privacybeleid) wie PIA s uitvoert, wie betrokken is en hoe het proces administratief wordt afgehandeld. Link naar (nieuwe) PIA [ToDo] Leg in beleid of werkafspraken vast hoe jouw onderdeel dit administratief heeft geregeld. Regel dat de verwerkingsverantwoordelijke formeel de toezichthouder raadpleegt. Beleg de uitvoering bij bijvoorbeeld de privacyfunctionaris. Functieprofiel Privacy Officer / Privacyfunctionaris [ToDo] Handreiking volgt via RegieRaad Gegevens 1.6 Privacy by Design / by Default (art. 25) a. Tref passende technische én organisatorische maatregelen om te waarborgen dat aan de AVG wordt voldaan. Dit betreft zowel, beleid, procedurele aspecten als technische maatregelen. Bijvoorbeeld minimaliseren verwerkingen, pseudonimisering, transparantie, controle mogelijkheden voor betrokkenen, informatiebeveiliging (zie ook art. 32). - Verwerk niet meer gegevens dan noodzakelijk. Spreek bijvoorbeeld met bronhouders af welke datasets worden geleverd, vraag niet meer dan noodzakelijk. - Beveilig gegevens, bijvoorbeeld door implementeren van BIR-maatregelen, NEN 7510/7513 en vigerende best practices. - Gebruik waar mogelijk pseudonimisering en versleuteling. - Zorg er voor dat gegevensbescherming (informatiebeveiliging) vast onderdeel is van projecten en al in de ontwerpfase wordt geadresseerd (zoals een project start architectuur). - Neem gegevensbescherming op in aanbestedingen. - Bouw gegevensbescherming in, in systemen en processen, zorg dat de standaardinstellingen privacy waarborgen. Test dit regelmatig (bijvoorbeeld met pentesten en audits). - Maak getroffen maatregelen inzichtelijk en controleerbaar voor betrokkenen; bijvoorbeeld door een auditverklaring (ISAE3402) op de website te publiceren. De Baseline Informatiebeveiliging Rijk Beleidsregels AP Model Project Start Architectuur (PSA) Modelclausule Gegevensbescherming voor aanbestedingen in ARBIT en ARVODI. Auditverklaring Grip op beveiliging in inkoopcontracten AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 12 van 16

13 2. AVG-Verantwoordingsplichten 2.1 Data governance (art. 24) a. Wijs rollen en verantwoordelijkheden expliciet aan. Beleg rollen en taken en implementeer heldere rapportagelijnen. b. Train verantwoordelijken (directie, management) en staf (privacy functionarissen) over de verplichtingen uit de AVG en de mogelijke impact van noncompliance. c. Maak voldoende budget vrij voor het privacy programma (denk aan: training, communicatie, procesinrichting/aanpassing, administratieve lasten (bv. register), informatiebeveiliging). d. Zorg voor periodieke evaluatie van maatregelen en actualiseer indien nodig. e. Sluit indien mogelijk aan bij gedragscodes of certificering - Organiseer de privacyfunctie door rollen/functies helder te beleggen bijvoorbeeld als/bij een privacyfunctionaris (Privacy Officer, Privacy Manager). - Beschrijf taken, verantwoordelijkheden en bevoegdheden in een beleidsdocument en stel deze formeel vast. Functieprofiel Privacy Officer / Privacyfunctionaris [ToDo] RACI-tabel [ToDo] - De impact van de AVG is groot; zorg dat iedereen bekend is met de eisen: - geef voorlichting aan personeel (zoals workshops en lunchmeetings). - maak privacy onderdeel van de gesprekscyclus, bila s en de werkoverleggen. - Zorg voor gerichte training van privacyfunctionarissen. Opleidingen zoals CIPM en CIPP/E Beleidsdocumenten die inzichtelijk zijn voor medewerkers en bestuurders - Waarborg continuïteit en structurele aandacht voor privacy door activiteiten ook op te nemen in de begroting. - Houd rekening met inhuur van externe expertise. - Hou rekening met reparatiekosten in de huidige informatievoorziening (bijvoorbeeld voor beveiliging van systemen en software). Budget opnemen in het Jaarplan [nb AVG wordt opgenomen in VenJ-Jaarplanaanschrijving 2018] - Een periodieke evaluatie is onderdeel van solide (privacy)management: weet wat je doet en stel zo nodig bij. Neem dit op in de jaarplanning. - Gedragscodes/certificering helpen om naleving aan te tonen (art. 24, lid 3) 2.2 Functionaris voor Gegevensbescherming (art ) a. Functionaris gegevensbescherming, FG (art ). Review rol en taken: voorlichting, advisering, monitoring, samenwerking met de Autoriteit Persoonsgegevens, loketfunctie, benodigde resources. Neem kennis van de rol en taken van de FG en maak indien nodig werkafspraken over de manier van communiceren en samenwerken. Producten die hierbij kunnen helpen Eisen en wetenswaardigheden FG volgens de AP AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 13 van 16

14 3. AVG-Informatieplichten 3.1 Transparantie van informatie en communicatie (art. 12) a. Tref passende maatregelen om in beknopte, transparante, begrijpelijke en toegankelijke vorm en in duidelijke en eenvoudige taal te communiceren met betrokkene (art. 12, lid 1). b. Communiceer bij het verzamelen van gegevens de aard van de verwerking aan betrokkene (art ). Bijvoorbeeld door privacy statements. - Betrek gespecialiseerde communicatieadviseurs (zoals juridisch journalisten) om formele communicatie (bijvoorbeeld via de website en formulieren) met betrokkenen vorm te geven. - Borg de juistheid van de communicatie door inzet juridische expertise (bijvoorbeeld de Functionaris voor Gegevensbescherming). Lichtend voorbeeld: de Missie en Privacy Statement van KPN.com Informatiekaarten ziekhuiszorg en tweedelijns GGZ [opvraagbaar via AVG@VenJ] - Maak inzichtelijk wat met de gegevens wordt gedaan. Vermeld beknopt en helder de zaken die in art. 13 zijn opgesomd (onder meer contactgegevens, verwerkingsdoelen en aan wie gegevens worden doorgeleverd). - Communiceer de informatie op een duidelijke en goed vindbare manier, bijvoorbeeld op de website of het klantportaal. Privacy statement van de IND (deels grondslag vermeld) 3.2 Rechten van betrokkenen (art ) a. Inzage (art. 15): Richt een proces en voorziening (loket) in om betrokkene inzage te kunnen geven in gegevensverwerking. b. Rectificatie (art. 16): Richt een proces in voor afhandeling van rectificatieverzoeken. c. Wissing (art. 17): Idem, echter in de meeste verwerkingen: niet van toepassing (lid 3). - Inzage kan op verschillende manieren worden verleend: op afstand met bijvoorbeeld - op afstand met een (beveiligd!) portaal - op een kantoorlocatie met fysieke balie bij de receptie), controleer identiteit - of schriftelijk met de mogelijkheid om brieven naar een postbus te sturen NB: In potentie is dit een arbeidsintensieve taak. Bij grootschalige verwerkingen is toegang op afstand daarom sterk aan te bevelen. De politie heeft gekozen voor een schriftelijke aanvraagmogelijkheid en legt helder uit hoe het werkt Bij de Gemeente Gemert-Bakel kan het zowel schriftelijk als persoonlijk aan een balie (na online of telefonisch inplannen afspraak). - Rectificatie is vaak een (extra) administratieve handeling in een bestaand proces. Neem dit indien nodig op als processtap in de verwerking. - Richt een procedure voor wissen en afschermen van gegevens in. - Deze eis geldt niet voor bijvoorbeeld verwerkingen op basis van een wettelijke verplichting 6 (zoals de Wet op de rechtsbijstand). 6 Als de eis voor het inrichten van een voorziening voor wissing niet geldt, betekent dat niet dat een betrokkene geen verzoek om wissing in kan dienen. Hij kan van mening zijn dat de gegevens onrechtmatig verwerkt worden (art. 17, lid1 onder d AVG). Om te beoordelen of dit klopt, moet zo n verzoek wel in behandeling worden genomen en van een reactie worden voorzien. AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 14 van 16

15 d. Beperking van verwerking (art. 18): Implementeer een procedure om verwerking te beperken in geval de verwerking wordt betwist. e. Kennisgeving (art. 19): Implementeer een procedure voor notificatie van afnemers in geval van rectificatie, wissing of beperking. f. Dataportabiliteit (art. 20): Procedure voor (door) leveren van gegevens Let op Alleen van toepassing bij registraties op basis van toestemming, anders niet (lid 1a). g. Bezwaar (art. 21): Richt een proces in voor toetsing en afhandeling van bezwaarverzoeken (loketfunctie). h. Beperking geautomatiseerde besluitvorming (waaronder profilering, art. 22): Evalueer geautomatiseerde verwerkingen en pas deze indien nodig aan conform de AVG. - Bij verwerkingen waarbij deze eis wel van toepassing is (zoals bij verwerking op basis van toestemming) dient een processtap te worden opgenomen in de verwerking (zie ook opmerking bij 1.2). - Beperking is mogelijk door het inbouwen van een mechanisme in de verwerking die verder gebruik van de betwiste gegevens voorkomt. Dit kan door dossier te markeren of tijdelijk naar een ander systeem te verplaatsen. - Bij rectificatie, wissing of beperking (art. 16, 17 en 18) moet je ook de ontvangers van de gegevens op de hoogte stellen. Neem dit op als processtap in je verwerking en ontwerp een mechanisme om ontvangers en betrokkenen te informeren. - Deze eis geldt niet als dit onmogelijk is of onevenredige inspanning vergt. Maar: leg dat wel helder vast dat dit het geval is en geef de overwegingen erbij. - Deze eis is niet van toepassing bij verwerking op basis van een wettelijke verplichting. - Bij verwerkingen op basis van toestemming geldt de eis wel en dient een technische voorziening te worden ontwikkeld om de gegevens in een gestructureerd, gangbaar, machine leesbaar en interoperabel formaat door te leveren. - Voor afhandeling van bezwaren bestaat bij de meeste organisatieonderdelen al een procedure. Breid deze indien nodig uit, bijvoorbeeld door aanpassing van bestaande voorzieningen (webformulier, klantportaal, klachtenlijn). - Instrueer indien nodig servicemedewerkers. - Onderzoek verwerkingen waar geen mensenhand meer aan te pas komt en breng eventuele risico s daarvan in kaart. - Beoordeel in afstemming met een juridisch expert en/of de FG of aanpassing van het proces nodig is. 7 Overwegingen bij 2 VenJ-onderdelen waarom er geen sprake was van art. 22 (Dienst Justis en Raad voor Rechtsbijstand) 3.3 Meldplicht datalekken (art. 33 en 34) a. Meldplicht datalekken (art. 33, 34). Review de actualiteit van het protocol, pas deze indien nodig aan. De Meldplicht Datalekken geldt in Nederland sinds 1 januari 2016 en is, als het goed is, binnen jouw organisatie geïmplementeerd. Er zijn kleine verschillen in de criteria voor melden aan de toezichthouder en betrokkene. Belangrijk is echter de plicht om voortaan alle datalekken (ook die niet hoeven te worden gemeld aan de AP) te registreren. Het VenJ-protocol wordt aangepast op de nieuwe situatie. Producten die hierbij kunnen helpen Diverse handreikingen Meldplicht Datalekken Factsheet Datalekken [in de maak] (Centraal) Register Datalekken [ToDo: check voorbeeld BZK] 7 Dit is een onderwerp in de AVG dat nog veel vragen oproept en waar in dit stadium nog geen definitief antwoord op kan worden gegeven. AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 15 van 16

16 4. Overige zaken Overige AVG-bepalingen a. Toepassingsgebied (art. 3). Check op verwerkingen buiten de Europese Unie. b. Training (art. 39, lid 1b). Implementeer een trainingsprogramma voor het bij de verwerking betrokken personeel c. Certificering (art ). Overweeg certificering ter ondersteuning van het aantonen van compliance. d. Levering aan derde landen (art ). Stel procedures op voor het juridisch toetsen van leveringen aan derdenlanden. De AVG is ook van toepassing op verwerkingen buiten de EU. Tref bij eventuele verwerkingen buiten de EU passende maatregelen (aan de hand van deze checklist). De FG houdt onder meer toezicht op scholing van personeel. Gezien de impact van de AVG is het belangrijk om betrokken personeel goed voor te lichten, bijvoorbeeld met workshops of gespecialiseerde trainingen. Producten die hierbij kunnen helpen Overzicht Opleiding en Training - Certificering is een middel om aan te tonen dat aan de eisen van de AVG wordt voldaan (voor informatiebeveiliging bijvoorbeeld ISO 27001). - Voor bedrijven is er het keurmerk Privacy Waarborg, voor overheden is er nog geen certificering voorhanden. - Het aantoonbaar in huis hebben van gecertificeerde medewerkers (opleiding CIPP/E en/of CIPM) is een goed alternatief. Opleidingen CIPM en CIPP/E Voor doorlevering van gegevens aan derde landen gelden strenge voorwaarden, met name als geen adequaatheidsbesluit is genomen (art. 46). Doorgifte is alleen mogelijk op basis van passende waarborgen. Dit vergt zorgvuldige juridische toetsing. Voorzie in een procedure hiervoor. AVG@VenJ Privacy Dashboard: 6 KPI s en Aandachtspunten (Juli v0.99) 16 van 16