Aanpak en de Vliegende Brigade

Transcriptie

1 Aanpak en de Vliegende Brigade

2 Disclaimer Vanuit Brussel wordt nog volop gewerkt aan nadere duiding van de AVG (in onder andere richtsnoeren). Ook nationaal is het interpreteren van de AVG in volle gang (Uitvoeringswet AVG). Teruggrijpen op casuïstiek of jurisprudentie als leidraad hoe de interpretatie moet zijn, kan nog niet. Over Het Ministerie van Justitie en Veiligheid (JenV) werkt onder de noemer aan het gestructureerd informeren en desgevraagd ondersteunen van JenV-taakorganisaties bij hun activiteiten gericht op de implementatie van de Algemene Verordening Gegevensbescherming. Voor gemeenschappelijke vraagstukken - uitdagingen die voor vrijwel elk JenV-onderdeel gelden - biedt een centraal AVG-team offline en online goede voorbeelden en producten, en ondersteuning op aanvraag in de vorm van een Vliegende Brigade. AVG@JenV is project #13 van het Informatieplan JenV AVG@JenV

3 en de Vliegende Brigade Het ministerie van Justitie en Veiligheid (JenV) werkt onder de noemer samen met al haar onderdelen aan de implementatie van de Algemene Verordening Gegevensbescherming. In deze factsheet komen een aantal zaken achtereenvolgens aan bod: AVG(-aanpak) meer in het algemeen 1. Inleiding: over de totstandkoming van de aanpak, de looptijd en de rapportage 2. (Bestuurlijke) aanleiding en inrichting van het AVG-Team 3. Aanpak van het AVG-Team langs 3 sporen Specifiek over de Vliegende Brigade Bijlage 1 Werkwijze van de Vliegende Brigade Een uitgebreidere toelichting over de Vliegende Brigade en de 4-stappenmethode voor het bepalen van de impact van privacy waarmee we aan de slag gaan. Bijlage 2 Samenstelling team JenV-onderdeel Om samen met ons zo effectief en efficiënt mogelijk aan de slag te kunnen met de methodiek vragen wij het onderdeel dat bezocht wordt ook beide dagen/dagdelen een aantal collega s met bepaalde rollen beschikbaar te hebben dan wel maken. Bij kleinere organisaties kan het zijn dat niet alle rollen zijn ingevuld; dan overleggen we vooraf over hoe we toch tot een zo efficiënt mogelijke samenstelling kunnen komen. 3 AVG@JenV

4 Wat er aan voorafging 1. Wat er aan voorafging: van Wbp naar AVG De Wet bescherming persoonsgegevens (Wbp) wordt vervangen door de Algemene Verordening Gegevensbescherming (AVG). Deze verordening is op 25 mei 2016 in werking getreden en heeft rechtstreekse werking. Hoewel de Verordening veel regelt wat ook al is geregeld in de Wbp, is extra aandacht geboden. De afgelopen jaren zijn door de stuwende krachten veel ICT-systemen ontworpen, zonder dat aandacht is geschonken aan de procesmatige kracht, namelijk het beschrijven van de gegevensstromen, de koppelingen van gegevens, de doelbindingen en de juridische grondslagen voor gegevens verwerkingen. De AVG stelt daar door de verantwoordings- en documentatieplicht strengere eisen aan. Eisen die nopen tot bijvoorbeeld het op orde hebben van interne werkprocessen, registers en contracten. Belangrijk daarbij is dat elk van de JenV-onderdelen zelf verantwoordelijk is voor het per 25 mei 2018 voldoen aan de AVG en het daarmee zelf kunnen beantwoorden van vragen van burgers en bedrijven over waarom welke informatie in hun systemen zit, hoe lang deze wordt bewaard en wie er toegang toe heeft. 2. Besluitvorming: bestuurlijk gedragen Naar aanleiding van de eerste inventarisatie van een stand van zaken implementatie AVG bij JenVonderdelen eind vorig jaar (opdracht uit de CIO-Raad van 23 juni 2016), gaven de betrokken onderdelen - met inachtneming van de eigen verantwoordelijkheid voor het per 25 mei 2018 voldoen aan de AVG - aan de voorkeur te hebben voor een gezamenlijke en JenV-brede aanpak op vraagstukken die hen allemaal raken, met een centrale coördinerende en faciliterende rol vanuit het bestuursdepartement. De CIO-Raad JenV keurde de daarvoor opgestelde aanpak goed op 15 december Op 1 februari 2017 startte het zogenaamde AVG-Team formeel en op 10 maart 2017 stemde de brede Bestuursraad JenV in met de beoogde einddatum van het AVG@JenV-project van 1 juni 2018 met een nazorgfase tot 1 juli AVG@JenV is project #13 van het Informatieplan JenV Inrichting: team, portefeuillehouder en netwerk Het AVG@JenV-team is een coördinerend en faciliterend kernteam dat bestaat uit: Projectleider AVG@JenV Functionaris voor Gegevensbescherming Experts informatiebeveiliging en security Communicatieadviseur Projectmedewerker Het team wordt - afhankelijk van actuele ontwikkelingen - indien nodig (ad hoc) aangevuld met deelprojectleiders/data Protection Officers, juristen en privacy experts. Portefeuillehouder De CIO van de Dienst Justitiële Inrichtingen (DJI) is portefeuillehouder in de CIO-Raad JenV, enthousiast ambassadeur van AVG@JenV en liaison op bestuurlijk niveau. De projectleider overlegt minimaal tweemaandelijks met haar portefeuillehouder: elke twee weken fysiek, en om de andere twee weken telefonisch. 4 AVG@JenV

5 AVG-Netwerk Het werkt nauw samen met de Privacy Offers van de JenV-onderdelen en samen vormen ze het Netwerk: een community die zich naarmate de tijd vordert, zich steeds verder uitbreidt met collega s vanuit juridisch en informatiebeveiligings-perspectief. De community deelt actief kennis, leert aan en van elkaar, en werkt op specifieke onderwerpen samen om te komen tot best practices voor heel JenV. 4. Aanpak: langs drie sporen Het AVG@JenV-team werkt samen met de Privacy Officers aan drie parallelle sporen: 1. Toolkit Best practices Specifieke expertise Een set van best practices en handreikingen. Publicatie ervan gebeurt sinds juli 2017 op internet: 2. Fysieke kennissessies Maandelijkse bijeenkomst voor en door de Privacy Officers van JenV: met een korte update vanuit het AVG@JenV-team, gevolgd door verdieping op onderwerpen die het meest prioriteit hebben. Gericht op kennisdelen en -maken, en ingericht volgens het JenV Verandert-principe van een lerend netwerk. 3. Vliegende Brigade: praktische hulp op locatie Hands-on hulp op locatie volgens de multidisciplinaire en methodische aanpak van de nieuwe PIA, gericht op de informatiestromen in de werkprocessen: helder krijgen waarom welke informatie in welk systeem zit, check op juridische grondslag, autorisaties, verwerkingen en bewaartermijnen. Om vervolgens de kijken naar risico s en maatregelen. Omdat de methode heel gestructureerd is, biedt het de mogelijkheid om het geleerde zelf in de dagelijkse (vervolg)praktijk toe te passen. Leren van elkaar dus, en die kennis doorgeven binnen de (eigen) organisatie. De brigade is er voor alle JenV-onderdelen, wordt op aanvraag ingepland en is daarmee vrijwillig maar niet vrijblijvend. Die niet-vrijblijvendheid vertaalt zich onder andere in voorbereidende werkzaamheden die het AVG-Team vraagt van het onderdeel waar de brigade langs komt. 5. AVG in de P&C-cyclus Net voor de zomer werd het Privacy Dashboard AVG@JenV opgeleverd: 6 KPI s en een handleiding met aandachtspunten. Het dashboard is gemaakt in nauwe afstemming met de Privacy Officers van de JenV-onderdelen en sinds de tweede tertaalrapportage vast onderdeel van de P&C-cyclus JenV. 5 AVG@JenV

6 Bijlage 1 De Vliegende Brigade Toelichting op de scope, hoe aan te vragen, gewenste voorbereiding en de 4-stappenmethode Scope: tweeledig 1. Hands on op locatie In de aanpak door de Vliegende Brigade ligt de nadruk op het in kaart brengen van de gegevensverwerkingen (en controle op de rechtmatigheid daarvan). Bredere bewustwording rondom AVG en privacy hoort daar ook bij. Indien gewenst keert de Vliegende Brigade na bijvoorbeeld 6 maanden terug voor een peer-bezoek. 2. Peer review Daarnaast kunnen leden van de Vliegende Brigade en/of de Privacy Officers op aanvraag een peer review doen op de implementatie van een AVG-aspect of specifiek werkproces van het JenV-onderdeel. Voorbeelden van onderwerpen voor een review zijn: - Inrichting van een register van verwerkingen; - (AVG) beoordeling bestaande contracten met bewerkers (zijn ze nodig, zijn ze er en zijn ze volledig), met vooruitblik naar het mogelijk in de toekomst nodig hebben van aanvullende of aangepaste verwerkersovereenkomsten; - (plannen voor) Invulling van privacy by design/default en daaruit mogelijk volgende aanpassingen in systemen; - Het toezicht van de verantwoordelijke op de effectiviteit van in- en externe beveiligingsmaatregelen. Op aanvraag De Vliegende Brigade bezoekt JenV-onderdelen op aanvraag en is vrijwillig maar niet vrijblijvend. De aanvraag wordt ingediend door de CIO van het betreffende onderdeel bij de projectleider AVG@JenV, zodat de planning van de inzet vanuit één centraal punt wordt gemaakt. Na eenmaal bezoek gehad te hebben van de Vliegende Brigade gaat minimaal één van de deelnemers van het organisatieonderdeel mee naar 2 volgende bezoeken van Vliegende Brigade. Zo trainen we elkaar, kunnen we op termijn meer dan één Vliegende Brigade tegelijk inzetten en groeit de community. Samenstelling en voorbereiding Vanuit JenV wordt de Vliegende Brigade bij de eerste 3 bezoeken bemenst door het AVG-Kernteam. Voordat de brigade bij een onderdeel op bezoek gaat, vragen wij hen van tevoren minimaal 2 werkprocessen uit te kiezen en een beschrijving of visualisatie ervan vooraf ter beschikking te stellen. Het advies is te starten met een relatief eenvoudig (werk)proces om de methodiek eigen te maken, gevolgd door een complexer proces op bijvoorbeeld de tweede dag(deel). Om tijdens het bezoek zo effectief en efficiënt mogelijk aan de slag te kunnen met de methodiek vragen wij het onderdeel dat bezocht wordt ook beide dagen/dagdelen een aantal collega s met bepaalde rollen beschikbaar te hebben dan wel maken. Een overzicht van deze rollen staat in Bijlage 2. Investering: 1-3 dagen/dagdelen De Vliegende Brigade gaat bij de onderdelen langs op: Maandag: voor eerste dag(deel) Dinsdag: voor tweede dag(deel) Optioneel: een derde dag(deel) al naar gelang de behoefte of complexiteit van het onderzochte proces. De drie dagen/dagdelen hoeven niet perse aansluitend te zijn; er kan bijvoorbeeld een week tussen zitten. Zodat het bezochte JenV-onderdeel de output van de eerste dag intern kan verifiëren en verfijnen en eventuele aanvullende informatie kan verzamelen voor het tweede dagdeel. 6 AVG@JenV

7 4-Stappenmethodiek Stappenplan voor het bepalen van de impact van privacy Gebaseerd op de nieuwe PIA (Model gegevensbeschermingseffectbeoordeling rijksdienst) als handvat van de Vliegende Brigade Disclaimer MR-versie van 29 september 2017 ter inspiratie - hieraan kunnen geen rechten worden ontleend A. Beschrijving kenmerken gegevensverwerkingen Beschrijf op gestructureerde wijze de voorgenomen gegevensverwerkingen, de verwerkingsdoeleinden en de belangen bij de gegevensverwerkingen. 1. Voorstel Beschrijf het voorstel waar de PIA op ziet en de context waarbinnen deze plaatsvindt op hoofdlijnen. 2. Persoonsgegevens Som alle categorieën van persoonsgegevens op die worden verwerkt. Geef per categorie van betrokkene aan welke persoonsgegevens van hen verwerkt worden. Deel deze persoonsgegevens in onder de typen: gewoon, bijzonder, strafrechtelijk en wettelijk identificatienummer. 3. Gegevensverwerkingen Geef alle voorgenomen gegevensverwerkingen weer. 4. Verwerkingsdoeleinden Beschrijf de doeleinden van de voorgenomen gegevensverwerkingen. 5. Betrokken partijen Benoem welke organisaties betrokken zijn bij welke gegevensverwerkingen. Deel deze organisaties per gegevensverwerking in onder de rollen: verwerkingsverant-woordelijke, verwerker, verstrekker en ontvanger. Benoem tevens welke functionarissen binnen deze organisaties toegang krijgen tot welke persoonsgegevens. 6. Belangen bij de gegevensverwerkingen Beschrijf alle belangen die de verwerkingsverantwoordelijke en anderen hebben bij de voorgenomen gegevensverwerkingen. 7. Verwerkingslocaties Benoem in welke landen de voorgenomen gegevensverwerkingen plaatsvinden. 8. Technieken en methoden van de gegevensverwerkingen Beschrijf op welke wijze en met gebruikmaking van welke (technische) middelen en methoden de persoonsgegevens worden verwerkt. Benoem of sprake is van (semi-) geautomatiseerde besluitvorming, profilering of big dataverwerkingen; en zo ja, beschrijf waaruit een en ander bestaat. 9. Juridisch en beleidsmatig kader Benoem de weten regelgeving, met uitzondering van de AVG en de Richtlijn, en het beleid met mogelijke gevolgen voor de voorgenomen gegevensverwerkingen. 10. Bewaartermijnen Bepaal en motiveer de bewaartermijnen van de persoonsgegevens aan de hand van de verwerkingsdoeleinden. 7 AVG@JenV

8 B. Beoordeling rechtmatigheid gegevensverwerkingen Beoordeel de rechtsgrond, noodzaak en doelbinding van de voorgenomen gegevensverwerkingen en rechten van de betrokkene. 11. Rechtsgrond Bepaal op welke rechtsgronden de gegevensverwerkingen worden gebaseerd. 12. Bijzondere persoonsgegevens Indien bijzondere of strafrechtelijke persoonsgegevens worden verwerkt, beoordeel of één van de wettelijke uitzonderingen op het verwerkingsverbod van toepassing is. Bij verwerking van een wettelijk identificatienummer beoordeel of dit is toegestaan. 13. Doelbinding Indien de persoonsgegevens voor een ander doel worden verwerkt dan oorspronkelijk verzameld, beoordeel of deze verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. 14. Noodzaak en evenredigheid Beoordeel of de voorgenomen gegevensverwerkingen noodzakelijk zijn voor het verwezenlijken van de verwerkingsdoeleinden. Ga hierbij in ieder geval in op proportionaliteit en subsidiariteit: a. Proportionaliteit: staat de inbreuk op de persoonlijke levenssfeer en de bescherming van de persoonsgegevens van de betrokkenen in evenredige verhouding tot de verwerkingsdoeleinden? b. Subsidiariteit: kunnen de verwerkingsdoeleinden in redelijkheid niet op een andere, voor de betrokkenen minder nadelige wijze, worden verwezenlijkt? Benoem hierbij de overwogen alternatieven. 15. Rechten van de betrokkenen Geef aan hoe invulling wordt gegeven aan de rechten van de betrokkenen. Indien de rechten van de betrokkene worden beperkt, bepaal op grond van welke wettelijke uitzondering dat is toegestaan. C. Beschrijving en beoordeling risico s voor de betrokkenen Beschrijf en beoordeel de risico s van de voorgenomen gegevensverwerkingen voor de rechten en vrijheden van de betrokkenen. Houd hierbij rekening met de aard, omvang, context en doelen van de voorgenomen gegevensverwerkingen. 16. Risico s Beschrijf en beoordeel de risico s van de voorgenomen gegevensverwerkingen voor de rechten en vrijheden van de betrokkenen. Ga in ieder geval in op: a. Welke negatieve gevolgen de gegevensverwerkingen kunnen hebben voor de rechten en vrijheden van de betrokkenen. b. De oorsprong van deze gevolgen. c. De waarschijnlijkheid (kans) dat deze gevolgen zullen intreden. d. De ernst (impact) van deze gevolgen voor de betrokkenen wanneer deze intreden. D. Beschrijving voorgenomen maatregelen Beschrijf de voorgenomen maatregelen om de hiervoor beschreven risico s van de voorgenomen gegevensverwerkingen voor de vrijheden en rechten van de betrokkenen aan te pakken. 17. Maatregelen Beoordeel welke technische, organisatorische en juridische maatregelen in redelijkheid kunnen worden getroffen om de hiervoor beschreven risico s te voorkomen of te verminderen. Beschrijf welke maatregel welk risico aanpakt en wat het restrisico is na het uitvoeren van de maatregel. Indien de maatregel het risico niet volledig afdekt, motiveer waarom het restrisico acceptabel is. 8 AVG@JenV

9 Bijlage 2 Samenstelling team JenV-onderdeel Om tijdens een bezoek van de Vliegende Brigade zo effectief en efficiënt mogelijk aan de slag te kunnen met de methodiek vragen wij het onderdeel dat bezocht wordt ook beide dagen/dagdelen een aantal collega s met bepaalde rollen beschikbaar te hebben dan wel maken. Bij kleinere organisaties kan het zijn dat niet alle rollen zijn ingevuld; dan overleggen we vooraf over hoe we toch tot een zo efficiënt mogelijke samenstelling kunnen komen. De rollen staan hieronder beschreven. (Informatie)architect De collega die inzicht heeft in de gegevensstromen, ze kan uitleggen, en de samenhang met de grotere context van een primair proces blijft zien. Die goed kan beschrijven hoe relevante (persoons)gegevens zijn gekoppeld en dit kan visualiseren in stroomschema s. Stroomschema s worden ook wel swimming lane of instroom-, doorstroom-, en uitstroomproces genoemd. Daarbij hoeft de collega niet alles tot in detail alles zelf te weten, maar weet hij wel precies wie binnen de organisatie de detailinformatie op verzoek kan aanleveren. Operationeel medewerker De collega die dagelijks in het betreffende primair processysteem (persoons)gegevens verwerkt en daarmee onderdeel uitmaakt van het werkproces dat wordt onderzocht. Privacy Officer/Manager Dan wel een collega van de afdeling die belast is met het op orde brengen van de beschrijving van de processen waarin (persoons)gegevens worden verwerkt om ervoor te zorgen dat het onderdeel AVG-compliant is per 25 mei Jurist De collega van Juridische Zaken die privacy in de portefeuille heeft. Functioneel beheerder Die zit als enige van het gezelschap meer onder de motorkap en heeft zicht op de autorisaties, doorleveringen, beveiliging, etc. van de (IT-)systemen die onder het betreffende werkproces zijn ingericht. En, niet te vergeten: de verantwoordelijk manager(s) Aan hen vragen wij om bij de kick off en afsluiting aan te schuiven. Zodat zij bij aanvang zicht krijgen op het doel en de methode, en na afloop begrijpen wat het heeft opgeleverd en welke zaken de organisatie zelf nog (verder) moet oppakken. 9 AVG@JenV

10 Deze brochure is een uitgave van: Ministerie van Justitie en Veiligheid (JenV) Postbus eh Den Haag t December