Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Transcriptie

1 Aanpak AVG Rob Hendriks Hoofd ICT 23 januari 2018

2 - voorbereiding - aanpak - actiepunten - aandachtspunten agenda

3 wat, maar niet hoe

4 1. het AVG-team: directiesecretaris hoofd ICT aangevuld met juristen 2. budget voorbereiding

5 stap 1: stap 2: in kaart brengen beoordeling -> evaluatieverslag + plan van aanpak stap 3: stap 4: implementatie monitoren / trainen stappenplan AVG compliance programma

6 stap 1 - in kaart brengen - inventarisatie (wat hebben we al gedaan voor de WBP 2016) - bewerkersovereenkomsten - IT-architectuur en procesbeschrijvingen - register - interviews met afdelingen (vragenlijst) stappenplan AVG compliance programma

7 scope verwerking van persoonsgegevens van - werknemers - bezoekers stap 2 - beoordeling

8 stap 1: processen en applicaties

9 stap 1: informatiemodel P&O

10 bevat persoonsgegevens bevat geen persoonsgegevens stap 1: informatiemodel met persoonsgegevens

11 interviews met de volgende afdelingen: ICT Marketing / Sales / team online P&O Bureau Collecties Financiële Zaken Inkoop Development Front office Veiligheidszaken Facilitaire Zaken stap 2 - beoordeling

12 stap 2 beoordeling welke onderwerpen uit de AVG zijn van belang voor het Rijksmuseum zeer relevant relevant geen prioriteit stappenplan AVG compliance programma

13 Wettelijke grondslag Toezichthoudende autoriteit Gedragscodes en certificering verwerkingsverantwoordelijke Toestemming Gerechtvaardigde doeleinden Persoonsgegevens van kinderen Functionaris Gegevensbescherming / DPO Speciale categorieën (gevoelige gegevens) Privacy by design Informatie en transparantie Recht op dataportabiliteit Gegevensverwerkers Recht op bezwaar Doorgifte en delen persoonsgegevens Recht op beperking Beveiliging Recht op vergetelheid Direct marketing /profilering Recht op rectificatie Toegangsrecht Melding van inbreuken Bewaring van gegevens zeer relevant relevant geen prioriteit stap 2 - beoordeling

14 Wettelijke grondslag Toezichthoudende autoriteit Gedragscodes en certificering verwerkingsverantwoordelijke Toestemming Gerechtvaardigde doeleinden Persoonsgegevens van kinderen Functionaris Gegevensbescherming / DPO Speciale categorieën (gevoelige gegevens) Privacy by design Informatie en transparantie Recht op dataportabiliteit Gegevensverwerkers Recht op bezwaar Doorgifte en delen persoonsgegevens Recht op beperking Beveiliging Recht op vergetelheid Direct marketing /profilering Recht op rectificatie Toegangsrecht Melding van inbreuken Bewaring van gegevens zeer relevant relevant geen prioriteit niveau van gegevensbescherming

15 beoordeling gedetailleerde evaluatie

16 10 aanbevelingen

17 1. Informatie en Transparantie: stel een privacybeleid op doeleinden van de verwerking wettelijke grondslag ontvangers van persoonsgegevens bewaartermijnen rechten van werknemers en bezoekers aanbevelingen

18 2. Verwerkers pas bewerkersovereenkomsten aan check of met alle verwerkers een overeenkomst is afgesloten subverwerkers: toestemming Rijksmuseum? let op Google Analytics e.d.! aanbevelingen

19 3. Melden van inbreuken stel een beleid en procedure op om op de juiste manier met datalekken om te gaan (melding binnen 72 uur!) aanbevelingen

20 4. actualiseer het beveiligingsbeleid met specifieke maatregelen m.b.t. persoonsgegevens 5. bewaring van gegevens stel een gegevensbewaringsbeleid op denk aan papieren dossiers vernietig gegevens die niet meer nodig zijn aanbevelingen

21 6. data protection by design & by default met specifieke maatregelen m.b.t. persoonsgegevens! leg niet onnodig persoonsgegevens vast anonimiseer persoonsgegevens 7. actualiseer verwerkingsregister stel een procedure op om het verwerkingsregister up-todate te houden aanbevelingen

22 8. rechten werknemers en bezoekers informeer werknemers en bezoekers over hun rechten stel procedures op om om te kunnen gaan met verzoeken m.b.t.: - accuraatheid en bezwaar - vergetelheid en overdraagbaarheid 9. Privacy Impact Assessment (PIA) stel een procedure t.a.v. het uitvoeren van een PIA op aanbevelingen

23 10. richt een governance structuur in DPO / FG of alternatief? privacy officer privacy lead HR privacy lead marketing privacy lead IT privacy lead aanbevelingen

24 stap 3 - implementatie resultaten Beoordeling Compliance AVG delen met de organisatie stakeholders betrekken bij uitvoering actieplan uitvoeren actieplan bewustwording medewerkers (voorlichting) stappenplan AVG compliance programma

25 implementatie: actieplan

26 planning: 25 mei 2018 klaar!

27 - inzicht - waar zitten gegevens (digitaal, papier, grijze IT) - waarvoor heeft iemand toestemming gegeven? - wie zijn mijn verwerkers - prioriteiten - voorwaarden op orde (profiling!) - gooi zoveel mogelijk weg / anonimiseer - train de medewerkers (AVG is geen IT) lessons learned: waar te beginnen

28