Aanpak AVG Rob Hendriks Hoofd ICT 23 januari 2018
- voorbereiding - aanpak - actiepunten - aandachtspunten agenda
wat, maar niet hoe https://autoriteitpersoonsgegevens.nl
1. het AVG-team: directiesecretaris hoofd ICT aangevuld met juristen 2. budget voorbereiding
stap 1: stap 2: in kaart brengen beoordeling -> evaluatieverslag + plan van aanpak stap 3: stap 4: implementatie monitoren / trainen stappenplan AVG compliance programma
stap 1 - in kaart brengen - inventarisatie (wat hebben we al gedaan voor de WBP 2016) - bewerkersovereenkomsten - IT-architectuur en procesbeschrijvingen - register - interviews met afdelingen (vragenlijst) stappenplan AVG compliance programma
scope verwerking van persoonsgegevens van - werknemers - bezoekers stap 2 - beoordeling
stap 1: processen en applicaties
stap 1: informatiemodel P&O
bevat persoonsgegevens bevat geen persoonsgegevens stap 1: informatiemodel met persoonsgegevens
interviews met de volgende afdelingen: ICT Marketing / Sales / team online P&O Bureau Collecties Financiële Zaken Inkoop Development Front office Veiligheidszaken Facilitaire Zaken stap 2 - beoordeling
stap 2 beoordeling welke onderwerpen uit de AVG zijn van belang voor het Rijksmuseum zeer relevant relevant geen prioriteit stappenplan AVG compliance programma
Wettelijke grondslag Toezichthoudende autoriteit Gedragscodes en certificering verwerkingsverantwoordelijke Toestemming Gerechtvaardigde doeleinden Persoonsgegevens van kinderen Functionaris Gegevensbescherming / DPO Speciale categorieën (gevoelige gegevens) Privacy by design Informatie en transparantie Recht op dataportabiliteit Gegevensverwerkers Recht op bezwaar Doorgifte en delen persoonsgegevens Recht op beperking Beveiliging Recht op vergetelheid Direct marketing /profilering Recht op rectificatie Toegangsrecht Melding van inbreuken Bewaring van gegevens zeer relevant relevant geen prioriteit stap 2 - beoordeling
Wettelijke grondslag Toezichthoudende autoriteit Gedragscodes en certificering verwerkingsverantwoordelijke Toestemming Gerechtvaardigde doeleinden Persoonsgegevens van kinderen Functionaris Gegevensbescherming / DPO Speciale categorieën (gevoelige gegevens) Privacy by design Informatie en transparantie Recht op dataportabiliteit Gegevensverwerkers Recht op bezwaar Doorgifte en delen persoonsgegevens Recht op beperking Beveiliging Recht op vergetelheid Direct marketing /profilering Recht op rectificatie Toegangsrecht Melding van inbreuken Bewaring van gegevens zeer relevant relevant geen prioriteit niveau van gegevensbescherming
beoordeling gedetailleerde evaluatie
10 aanbevelingen
1. Informatie en Transparantie: stel een privacybeleid op doeleinden van de verwerking wettelijke grondslag ontvangers van persoonsgegevens bewaartermijnen rechten van werknemers en bezoekers aanbevelingen
2. Verwerkers pas bewerkersovereenkomsten aan check of met alle verwerkers een overeenkomst is afgesloten subverwerkers: toestemming Rijksmuseum? let op Google Analytics e.d.! aanbevelingen
3. Melden van inbreuken stel een beleid en procedure op om op de juiste manier met datalekken om te gaan (melding binnen 72 uur!) aanbevelingen
4. actualiseer het beveiligingsbeleid met specifieke maatregelen m.b.t. persoonsgegevens 5. bewaring van gegevens stel een gegevensbewaringsbeleid op denk aan papieren dossiers vernietig gegevens die niet meer nodig zijn aanbevelingen
6. data protection by design & by default met specifieke maatregelen m.b.t. persoonsgegevens! leg niet onnodig persoonsgegevens vast anonimiseer persoonsgegevens 7. actualiseer verwerkingsregister stel een procedure op om het verwerkingsregister up-todate te houden aanbevelingen
8. rechten werknemers en bezoekers informeer werknemers en bezoekers over hun rechten stel procedures op om om te kunnen gaan met verzoeken m.b.t.: - accuraatheid en bezwaar - vergetelheid en overdraagbaarheid 9. Privacy Impact Assessment (PIA) stel een procedure t.a.v. het uitvoeren van een PIA op aanbevelingen
10. richt een governance structuur in DPO / FG of alternatief? privacy officer privacy lead HR privacy lead marketing privacy lead IT privacy lead aanbevelingen
stap 3 - implementatie resultaten Beoordeling Compliance AVG delen met de organisatie stakeholders betrekken bij uitvoering actieplan uitvoeren actieplan bewustwording medewerkers (voorlichting) stappenplan AVG compliance programma
implementatie: actieplan
planning: 25 mei 2018 klaar!
- inzicht - waar zitten gegevens (digitaal, papier, grijze IT) - waarvoor heeft iemand toestemming gegeven? - wie zijn mijn verwerkers - prioriteiten - voorwaarden op orde (profiling!) - gooi zoveel mogelijk weg / anonimiseer - train de medewerkers (AVG is geen IT) lessons learned: waar te beginnen