Privacy Dashboard 6 KPI s en Aandachtspunten

Transcriptie

1 Bijlage 4. Implementatie AVG Privacy dashboard Privacy Dashboard 6 KPI s en Aandachtspunten Rapportage KPI Opsteller: DJI AVG@VenJ Privacy Dashboard: KPI s en Aandachtspunten (Juli v0.99) 1 van 5

2 KPI#1 AVG-compliance: Huidige status Geef jouw inschatting van de mate waarin jouw organisatie de AVG-compliance op dit rapportagemoment al op orde heeft: Waar sta je nu qua realisatie? Schets/typeer/omschrijf kort de AVG-compliance status: DJI is nu voor circa 50% compliant met de AVG verplichtingen. Dit is gebaseerd op de privacyanalyses die DJI uitvoert voor het hele applicatielandschap. Toelichting: Er worden risicogericht privacyanalyses per systeem, proces of thema uitgevoerd. Hiermee wordt het register van verwerkingsactiviteiten gevuld en worden er PIA s gemaakt inclusief een GAPanalyse en privacy-adviezen. Inmiddels zijn er 15 PIA s en adviesrapporten opgesteld met gedetailleerde analyses voor circa 30 systemen (meerdere systemen per rapport) en in totaal voor circa 45 systemen het register gevuld. Voor nieuwe projecten wordt ingeregeld dat het opstellen van PIA s en en het vullen van het register binnen de projectscope valt (privacy by design). Budget Expertise Capaciteit Awareness/Borging Draagvlak Prioriteiten Anders, namelijk Capaciteit, expertise en budget: Risico: Voldoende capaciteit (met voldoende expertise) en budget is een randvoorwaarde Maatregelen: Financiële impact voor verbeteractiviteiten (in totaal 30,5 miljoen) is bepaald maar in dekking is nog niet voorzien. Dit is op 12 september met de eigenaar van DJI besproken. 2 DJI Algemeen x De ondersteuningsbehoefte van DJI is: Inzet van de vliegende brigade is zeker welkom op elk van de KPI s. Dit vergt voorbereiding om dat effectief te laten zijn: daar wordt over nagedacht. KPI#2 AVG-compliance: Ambitie voor de komende 4 maanden Geef je inschatting van de mate waarin jouw organisatie de AVG-compliance op het volgende rapportagemoment op orde heeft: Waar ben je over 4 maanden? Wat betekent dat voor de compliance van jouw organisatie op 25 mei 2018? DJI werkt projectmatig aan het in control zijn op 25 mei 2018 voor de informatiesystemen waar persoonsgegevens mee worden verwerkt. Dit betekent dat de documentatieplicht voor deze systemen initieel is ingevuld, de GAP bekend is en er actieplannen zijn. Parallel hieraan wordt voor nieuwe systemen, privacy by design, direct geborgd dat deze voldoen aan de privacyeisen. Ook is hierbij al enige aandacht voor lokale verwerkingen en is DJI bezig om dit met beleid in te bedden in de governance en de verantwoordingscyclus.

3 Budget Expertise Capaciteit Awareness/Borging Draagvlak Prioriteiten Anders, Expertise en prioriteit: Risico: Voldoende prioriteit voor de inzet van organisatie-specifieke expertise vanuit de business. Maatregelen: Er worden workshops met de business uitgevoerd en door facilitering vanuit het project wordt deze expertise optimaal uitgenut. De ondersteuningsbehoefte van DJI is: Ja Nee Weet nog KPI#3 AVG-Inzicht Geef aan in hoeverre je voldoende inzicht hebt in de omvang én complexiteit van jouw complianceuitdaging: Omschrijf kort waarom je dit zo inschat in termen van: x DJI heeft inmiddels voor circa 80% zicht op complexiteit en omvang van de compliance uitdaging. Om te sturen op kritieke informatiesystemen heeft DJI namelijk in 2015 en 2017 het hele applicatielandschap geanalyseerd. Deze analyse ligt aan de basis voor de risicogerichte aanpak. a. het aantal verwerkingen/bedrijfsprocessen Goed beeld: de meest gevoelige verwerkingen zijn onderzocht, er is zicht op totaal. b. de verwerkte categorieën DJI verwerkt vrijwel alle categorieën van persoonsgegevens bijzondere persoonsgegevens c. de rechtmatigheid van verwerken De doelbinding, de basis grondslag, is doorgaans op orde. Aandachtspunten voor subsidiariteit en proportionaliteit, dwz voor de details van de gegevensverwerkingen. d. de kwaliteit van verwerken DJI doet onderzoek naar kwaliteit van gegevens en neemt verbetermaatregelen. e. het invulling kunnen geven aan de rechten van betrokkenen Zie KPI 6 3 Geen aanvullende risico s KPI#4 AVG-Documentatieplicht Geef aan in hoeverre je de aandacht voor én invulling van de documentatieplicht binnen jouw documentatieplicht van mijn organisatie is in control

4 Geef kort aan welke activiteiten worden uitgevoerd die eraan bijdragen om qua documentatie plicht straks in control te zijn: Per mei 2018 is DJI voor circa 90% in control voor wat betreft de documentatieplicht. Nvt KPI#5 AVG-Verantwoordingsplicht Geef aan in hoeverre je de aandacht voor én invulling van de verantwoordingsplicht binnen jouw verantwoordingsplicht van mijn organisatie is in control Geef kort aan welke activiteiten worden uitgevoerd die bijdragen om qua verantwoordingsplicht straks in control te zijn: 4 Per mei 2018 is DJI voor circa 70% in control voor wat betreft de verantwoordingsplicht. Draagvlak en communicatie Risico: centraal ontwikkelde oplossingen sluiten niet aan op werkwijzen in de organisatie of zijn daar niet bekend Maatregelen: Extra aandacht voor communicatie, privacybijeenkomsten en voorzieningen om documenten te delen. KPI#6 AVG-Informatieplicht Geef aan in hoeverre je de aandacht voor én invulling van de informatieplicht binnen jouw informatieplicht van mijn organisatie is in control

5 Geef kort aan welke activiteiten worden uitgevoerd die bijdragen om qua informatieplicht straks in control te zijn: Per mei 2018 is DJI voor circa 60%, in control voor wat betreft de informatieplicht. Vanuit het project Privacy worden alternatieven aangereikt om aan de informatieplicht te voldoen, waaronder brochures, privacy statements en processen om aan de rechten van betrokkenen te voldoen. Het effectief en efficiënt informeren van de betrokkenen vereist aanpassing aan systemen en dat kost meer doorlooptijd. Tot die tijd zijn handmatige procedures nodig om in voldoende mate aan deze verplichting kunnen voldoen. Deze moeten nog ontwikkeld worden. Besluitvorming Anders, nl. Risico s: Niet tijdig (vier weken doorlooptijd) verstrekken van informatie aan betrokkenen. Maatregel: uitwerken handmatige oplossingen 5