Aanpak en de Vliegende Brigade

Vergelijkbare documenten
Gegevensbeschermingseffectbeoordeling

Model Data Protection Impact Assessment (DPIA)

DPIA. Roza van Cappellen en Elly Dingemanse

Privacy Dashboard 6 KPI s en Aandachtspunten

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

Werkwijze DGSenB voor rechtmatige en gestructureerde gegevensuitwisseling

Wettelijke kaders voor de omgang met gegevens

Cursus privacyrecht Jeroen Naves 7 september 2017

Handvatten bij de implementatie van de AVG

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Privacy in de afvalbranche

Privacybeleid gemeente Wierden

Privacybeleid Today s Groep

Algemene verordening gegevensbescherming

Handreiking DPIA PO / VO. Data Protection Impact Assessment V1.0

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

Privacy Impact Assessment

Privacyverklaring Therapeuten VVET

Vergelijking verwerkingsregister AVG

Privacy wetgeving: Wat verandert er in 2018?

Privacyreglement Gemeente Borsele

AVG. Algemene Verordening Gegevensbescherming

ALGEMENE VERORDENING GEGEVENS BESCHERMING

AVG Routeplanner voor woningcorporaties

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian


Versie Wijzigingen Datum 1.1 VNG Realisatie lay-out

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

Definitieve versie d.d. 24 mei Privacybeleid

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

Privacybeleid.

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Privacyreglement Werkzaak Rivierenland

EXtreem veilig. Stappenplan Algemene Verordening Gegevensbescherming

Speciale AVG-nieuwsbrief

Reglement bescherming persoonsgegevens Nieuwegein

Privacyreglement WSVH

BLAD GEMEENSCHAPPELIJKE REGELING

Privacy & online. 9iC9I

In 15 stappen op weg naar 2018

Privacyreglement Senzer

PRIVACY REGLEMENT ORIONIS WALCHEREN

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

checklist in 10 stappen voorbereid op de AVG. human forward.

Privacy reglement. Pagina 1 van 9

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

GDPR sessie. GDPR-sessie. scwitch

HANDREIKINGDATA PROTECTION IMPACT ASSESSMENT (DPIA)

Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens door het volgende bedrijf (hierna te noemen uw Studiegroep):

4 APRIL 2018 DE WEG NAAR DE AVG - RENS GOUDSMIT ONDERNEMERSVERENIGING VOORSCHOTEN ONDERNEMEND WASSENAAR

Privacyreglement Medewerkers Welzijn Stede Broec

Blockchain Smart Contracts AVG

Rechten van Betrokkenen

Belastingen en gegevens Hoe, wat, waar en waarom? Femke Salverda Hans Versteeg

Privacyreglement Gemeente Krimpen aan den IJssel

Privacyverklaring voor de gemeentelijke website

Privacyverklaring VVET

Wat moet je weten over... privacy en passend onderwijs?

Privacy Statement. Stichting Sectorinstituut Transport en Logistiek, en Sectorinstituut Transport en Logistiek B.V. en STL Werk B.V.

Privacy en de meldplicht datalekken

Algemene Verordening Gegevensbescherming

AVG & NEN 7510:2017. Theo Hooghiemstra. 7 december 2017

Documentnummer: : Eindnotitie implementatie privacy

Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Algemene verordening gegevensbescherming

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Privacy. Beleid en reglement. de Bibliotheek Bibliotheken Mar en Fean

Privacy Maturity Scan (PMS)

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen de gemeente Waterland;

Cursus Privacy & AVG Sport Support. 16 april 2018 Haarlem

PRIVACYBELEID EN -REGLEMENT STICHTING BIBLIOTHEKEN ZUIDOOST FRYSLAN

Privacy en de Algemene Verordening Gegevensbescherming. Femke Salverda Juridisch adviseur

Gegevensbeschermingsbeleid gemeente Beekdaelen

Privacy beleid De Kompanjie

AVG Algemeen PRIVACYREGLEMENT

Wet Bescherming Persoonsgegevens (Wbp)1, vanaf 25 mei 2018 vervangen door de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG)

PRIVACYBELEID CONVENIENT FASTGUIDE BV

De AVG, wat moet ik ermee?

Privacyreglement Waterschap Rijn en IJssel

mhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen

Privacy Scan VISD juni Antwoordcategorie Ja/Nee/ Onbekend

DPIA. Leon van Lare en Roza van Cappellen

Privacyreglement gemeente Sint Anthonis

Disclaimer: de auteur van deze presentatie is niet juridisch geschoold. Met deze presentatie probeert de auteur een indruk - en niet meer dan dat -

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

De Algemene Verordening Gegevensbescherming

Plan

Privacybeleid en reglement Afier Accountants + Adviseurs

Privacyverklaring Stichting Speelotheek Pinoccio

Transcriptie:

AVG@JenV Aanpak en de Vliegende Brigade

Disclaimer Vanuit Brussel wordt nog volop gewerkt aan nadere duiding van de AVG (in onder andere richtsnoeren). Ook nationaal is het interpreteren van de AVG in volle gang (Uitvoeringswet AVG). Teruggrijpen op casuïstiek of jurisprudentie als leidraad hoe de interpretatie moet zijn, kan nog niet. Over AVG@JenV Het Ministerie van Justitie en Veiligheid (JenV) werkt onder de noemer AVG@JenV aan het gestructureerd informeren en desgevraagd ondersteunen van JenV-taakorganisaties bij hun activiteiten gericht op de implementatie van de Algemene Verordening Gegevensbescherming. Voor gemeenschappelijke vraagstukken - uitdagingen die voor vrijwel elk JenV-onderdeel gelden - biedt een centraal AVG-team offline en online goede voorbeelden en producten, en ondersteuning op aanvraag in de vorm van een Vliegende Brigade. AVG@JenV is project #13 van het Informatieplan JenV 2017. 2 AVG@JenV

AVG@JenV en de Vliegende Brigade Het ministerie van Justitie en Veiligheid (JenV) werkt onder de noemer AVG@JenV samen met al haar onderdelen aan de implementatie van de Algemene Verordening Gegevensbescherming. In deze factsheet komen een aantal zaken achtereenvolgens aan bod: AVG(-aanpak) meer in het algemeen 1. Inleiding: over de totstandkoming van de aanpak, de looptijd en de rapportage 2. (Bestuurlijke) aanleiding en inrichting van het AVG-Team 3. Aanpak van het AVG-Team langs 3 sporen Specifiek over de Vliegende Brigade Bijlage 1 Werkwijze van de Vliegende Brigade Een uitgebreidere toelichting over de Vliegende Brigade en de 4-stappenmethode voor het bepalen van de impact van privacy waarmee we aan de slag gaan. Bijlage 2 Samenstelling team JenV-onderdeel Om samen met ons zo effectief en efficiënt mogelijk aan de slag te kunnen met de methodiek vragen wij het onderdeel dat bezocht wordt ook beide dagen/dagdelen een aantal collega s met bepaalde rollen beschikbaar te hebben dan wel maken. Bij kleinere organisaties kan het zijn dat niet alle rollen zijn ingevuld; dan overleggen we vooraf over hoe we toch tot een zo efficiënt mogelijke samenstelling kunnen komen. 3 AVG@JenV

Wat er aan voorafging 1. Wat er aan voorafging: van Wbp naar AVG De Wet bescherming persoonsgegevens (Wbp) wordt vervangen door de Algemene Verordening Gegevensbescherming (AVG). Deze verordening is op 25 mei 2016 in werking getreden en heeft rechtstreekse werking. Hoewel de Verordening veel regelt wat ook al is geregeld in de Wbp, is extra aandacht geboden. De afgelopen jaren zijn door de stuwende krachten veel ICT-systemen ontworpen, zonder dat aandacht is geschonken aan de procesmatige kracht, namelijk het beschrijven van de gegevensstromen, de koppelingen van gegevens, de doelbindingen en de juridische grondslagen voor gegevens verwerkingen. De AVG stelt daar door de verantwoordings- en documentatieplicht strengere eisen aan. Eisen die nopen tot bijvoorbeeld het op orde hebben van interne werkprocessen, registers en contracten. Belangrijk daarbij is dat elk van de JenV-onderdelen zelf verantwoordelijk is voor het per 25 mei 2018 voldoen aan de AVG en het daarmee zelf kunnen beantwoorden van vragen van burgers en bedrijven over waarom welke informatie in hun systemen zit, hoe lang deze wordt bewaard en wie er toegang toe heeft. 2. Besluitvorming: bestuurlijk gedragen Naar aanleiding van de eerste inventarisatie van een stand van zaken implementatie AVG bij JenVonderdelen eind vorig jaar (opdracht uit de CIO-Raad van 23 juni 2016), gaven de betrokken onderdelen - met inachtneming van de eigen verantwoordelijkheid voor het per 25 mei 2018 voldoen aan de AVG - aan de voorkeur te hebben voor een gezamenlijke en JenV-brede aanpak op vraagstukken die hen allemaal raken, met een centrale coördinerende en faciliterende rol vanuit het bestuursdepartement. De CIO-Raad JenV keurde de daarvoor opgestelde aanpak goed op 15 december 2016. Op 1 februari 2017 startte het zogenaamde AVG-Team formeel en op 10 maart 2017 stemde de brede Bestuursraad JenV in met de beoogde einddatum van het AVG@JenV-project van 1 juni 2018 met een nazorgfase tot 1 juli 2018. AVG@JenV is project #13 van het Informatieplan JenV 2017. 3. Inrichting: team, portefeuillehouder en netwerk Het AVG@JenV-team is een coördinerend en faciliterend kernteam dat bestaat uit: Projectleider AVG@JenV Functionaris voor Gegevensbescherming Experts informatiebeveiliging en security Communicatieadviseur Projectmedewerker Het team wordt - afhankelijk van actuele ontwikkelingen - indien nodig (ad hoc) aangevuld met deelprojectleiders/data Protection Officers, juristen en privacy experts. Portefeuillehouder De CIO van de Dienst Justitiële Inrichtingen (DJI) is portefeuillehouder in de CIO-Raad JenV, enthousiast ambassadeur van AVG@JenV en liaison op bestuurlijk niveau. De projectleider overlegt minimaal tweemaandelijks met haar portefeuillehouder: elke twee weken fysiek, en om de andere twee weken telefonisch. 4 AVG@JenV

AVG-Netwerk Het AVG@JenV-team werkt nauw samen met de Privacy Offers van de JenV-onderdelen en samen vormen ze het AVG@JenV Netwerk: een community die zich naarmate de tijd vordert, zich steeds verder uitbreidt met collega s vanuit juridisch en informatiebeveiligings-perspectief. De community deelt actief kennis, leert aan en van elkaar, en werkt op specifieke onderwerpen samen om te komen tot best practices voor heel JenV. 4. Aanpak: langs drie sporen Het AVG@JenV-team werkt samen met de Privacy Officers aan drie parallelle sporen: 1. Toolkit Best practices Specifieke expertise Een set van best practices en handreikingen. Publicatie ervan gebeurt sinds juli 2017 op internet: www.rijksoverheid.nl/avg. 2. Fysieke kennissessies Maandelijkse bijeenkomst voor en door de Privacy Officers van JenV: met een korte update vanuit het AVG@JenV-team, gevolgd door verdieping op onderwerpen die het meest prioriteit hebben. Gericht op kennisdelen en -maken, en ingericht volgens het JenV Verandert-principe van een lerend netwerk. 3. Vliegende Brigade: praktische hulp op locatie Hands-on hulp op locatie volgens de multidisciplinaire en methodische aanpak van de nieuwe PIA, gericht op de informatiestromen in de werkprocessen: helder krijgen waarom welke informatie in welk systeem zit, check op juridische grondslag, autorisaties, verwerkingen en bewaartermijnen. Om vervolgens de kijken naar risico s en maatregelen. Omdat de methode heel gestructureerd is, biedt het de mogelijkheid om het geleerde zelf in de dagelijkse (vervolg)praktijk toe te passen. Leren van elkaar dus, en die kennis doorgeven binnen de (eigen) organisatie. De brigade is er voor alle JenV-onderdelen, wordt op aanvraag ingepland en is daarmee vrijwillig maar niet vrijblijvend. Die niet-vrijblijvendheid vertaalt zich onder andere in voorbereidende werkzaamheden die het AVG-Team vraagt van het onderdeel waar de brigade langs komt. 5. AVG in de P&C-cyclus Net voor de zomer werd het Privacy Dashboard AVG@JenV opgeleverd: 6 KPI s en een handleiding met aandachtspunten. Het dashboard is gemaakt in nauwe afstemming met de Privacy Officers van de JenV-onderdelen en sinds de tweede tertaalrapportage vast onderdeel van de P&C-cyclus JenV. 5 AVG@JenV

Bijlage 1 De Vliegende Brigade Toelichting op de scope, hoe aan te vragen, gewenste voorbereiding en de 4-stappenmethode Scope: tweeledig 1. Hands on op locatie In de aanpak door de Vliegende Brigade ligt de nadruk op het in kaart brengen van de gegevensverwerkingen (en controle op de rechtmatigheid daarvan). Bredere bewustwording rondom AVG en privacy hoort daar ook bij. Indien gewenst keert de Vliegende Brigade na bijvoorbeeld 6 maanden terug voor een peer-bezoek. 2. Peer review Daarnaast kunnen leden van de Vliegende Brigade en/of de Privacy Officers op aanvraag een peer review doen op de implementatie van een AVG-aspect of specifiek werkproces van het JenV-onderdeel. Voorbeelden van onderwerpen voor een review zijn: - Inrichting van een register van verwerkingen; - (AVG) beoordeling bestaande contracten met bewerkers (zijn ze nodig, zijn ze er en zijn ze volledig), met vooruitblik naar het mogelijk in de toekomst nodig hebben van aanvullende of aangepaste verwerkersovereenkomsten; - (plannen voor) Invulling van privacy by design/default en daaruit mogelijk volgende aanpassingen in systemen; - Het toezicht van de verantwoordelijke op de effectiviteit van in- en externe beveiligingsmaatregelen. Op aanvraag De Vliegende Brigade bezoekt JenV-onderdelen op aanvraag en is vrijwillig maar niet vrijblijvend. De aanvraag wordt ingediend door de CIO van het betreffende onderdeel bij de projectleider AVG@JenV, zodat de planning van de inzet vanuit één centraal punt wordt gemaakt. Na eenmaal bezoek gehad te hebben van de Vliegende Brigade gaat minimaal één van de deelnemers van het organisatieonderdeel mee naar 2 volgende bezoeken van Vliegende Brigade. Zo trainen we elkaar, kunnen we op termijn meer dan één Vliegende Brigade tegelijk inzetten en groeit de community. Samenstelling en voorbereiding Vanuit JenV wordt de Vliegende Brigade bij de eerste 3 bezoeken bemenst door het AVG-Kernteam. Voordat de brigade bij een onderdeel op bezoek gaat, vragen wij hen van tevoren minimaal 2 werkprocessen uit te kiezen en een beschrijving of visualisatie ervan vooraf ter beschikking te stellen. Het advies is te starten met een relatief eenvoudig (werk)proces om de methodiek eigen te maken, gevolgd door een complexer proces op bijvoorbeeld de tweede dag(deel). Om tijdens het bezoek zo effectief en efficiënt mogelijk aan de slag te kunnen met de methodiek vragen wij het onderdeel dat bezocht wordt ook beide dagen/dagdelen een aantal collega s met bepaalde rollen beschikbaar te hebben dan wel maken. Een overzicht van deze rollen staat in Bijlage 2. Investering: 1-3 dagen/dagdelen De Vliegende Brigade gaat bij de onderdelen langs op: Maandag: voor eerste dag(deel) Dinsdag: voor tweede dag(deel) Optioneel: een derde dag(deel) al naar gelang de behoefte of complexiteit van het onderzochte proces. De drie dagen/dagdelen hoeven niet perse aansluitend te zijn; er kan bijvoorbeeld een week tussen zitten. Zodat het bezochte JenV-onderdeel de output van de eerste dag intern kan verifiëren en verfijnen en eventuele aanvullende informatie kan verzamelen voor het tweede dagdeel. 6 AVG@JenV

4-Stappenmethodiek Stappenplan voor het bepalen van de impact van privacy Gebaseerd op de nieuwe PIA (Model gegevensbeschermingseffectbeoordeling rijksdienst) als handvat van de Vliegende Brigade Disclaimer MR-versie van 29 september 2017 ter inspiratie - hieraan kunnen geen rechten worden ontleend A. Beschrijving kenmerken gegevensverwerkingen Beschrijf op gestructureerde wijze de voorgenomen gegevensverwerkingen, de verwerkingsdoeleinden en de belangen bij de gegevensverwerkingen. 1. Voorstel Beschrijf het voorstel waar de PIA op ziet en de context waarbinnen deze plaatsvindt op hoofdlijnen. 2. Persoonsgegevens Som alle categorieën van persoonsgegevens op die worden verwerkt. Geef per categorie van betrokkene aan welke persoonsgegevens van hen verwerkt worden. Deel deze persoonsgegevens in onder de typen: gewoon, bijzonder, strafrechtelijk en wettelijk identificatienummer. 3. Gegevensverwerkingen Geef alle voorgenomen gegevensverwerkingen weer. 4. Verwerkingsdoeleinden Beschrijf de doeleinden van de voorgenomen gegevensverwerkingen. 5. Betrokken partijen Benoem welke organisaties betrokken zijn bij welke gegevensverwerkingen. Deel deze organisaties per gegevensverwerking in onder de rollen: verwerkingsverant-woordelijke, verwerker, verstrekker en ontvanger. Benoem tevens welke functionarissen binnen deze organisaties toegang krijgen tot welke persoonsgegevens. 6. Belangen bij de gegevensverwerkingen Beschrijf alle belangen die de verwerkingsverantwoordelijke en anderen hebben bij de voorgenomen gegevensverwerkingen. 7. Verwerkingslocaties Benoem in welke landen de voorgenomen gegevensverwerkingen plaatsvinden. 8. Technieken en methoden van de gegevensverwerkingen Beschrijf op welke wijze en met gebruikmaking van welke (technische) middelen en methoden de persoonsgegevens worden verwerkt. Benoem of sprake is van (semi-) geautomatiseerde besluitvorming, profilering of big dataverwerkingen; en zo ja, beschrijf waaruit een en ander bestaat. 9. Juridisch en beleidsmatig kader Benoem de wet- en regelgeving, met uitzondering van de AVG en de Richtlijn, en het beleid met mogelijke gevolgen voor de voorgenomen gegevensverwerkingen. 10. Bewaartermijnen Bepaal en motiveer de bewaartermijnen van de persoonsgegevens aan de hand van de verwerkingsdoeleinden. 7 AVG@JenV

B. Beoordeling rechtmatigheid gegevensverwerkingen Beoordeel de rechtsgrond, noodzaak en doelbinding van de voorgenomen gegevensverwerkingen en rechten van de betrokkene. 11. Rechtsgrond Bepaal op welke rechtsgronden de gegevensverwerkingen worden gebaseerd. 12. Bijzondere persoonsgegevens Indien bijzondere of strafrechtelijke persoonsgegevens worden verwerkt, beoordeel of één van de wettelijke uitzonderingen op het verwerkingsverbod van toepassing is. Bij verwerking van een wettelijk identificatienummer beoordeel of dit is toegestaan. 13. Doelbinding Indien de persoonsgegevens voor een ander doel worden verwerkt dan oorspronkelijk verzameld, beoordeel of deze verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. 14. Noodzaak en evenredigheid Beoordeel of de voorgenomen gegevensverwerkingen noodzakelijk zijn voor het verwezenlijken van de verwerkingsdoeleinden. Ga hierbij in ieder geval in op proportionaliteit en subsidiariteit: a. Proportionaliteit: staat de inbreuk op de persoonlijke levenssfeer en de bescherming van de persoonsgegevens van de betrokkenen in evenredige verhouding tot de verwerkingsdoeleinden? b. Subsidiariteit: kunnen de verwerkingsdoeleinden in redelijkheid niet op een andere, voor de betrokkenen minder nadelige wijze, worden verwezenlijkt? Benoem hierbij de overwogen alternatieven. 15. Rechten van de betrokkenen Geef aan hoe invulling wordt gegeven aan de rechten van de betrokkenen. Indien de rechten van de betrokkene worden beperkt, bepaal op grond van welke wettelijke uitzondering dat is toegestaan. C. Beschrijving en beoordeling risico s voor de betrokkenen Beschrijf en beoordeel de risico s van de voorgenomen gegevensverwerkingen voor de rechten en vrijheden van de betrokkenen. Houd hierbij rekening met de aard, omvang, context en doelen van de voorgenomen gegevensverwerkingen. 16. Risico s Beschrijf en beoordeel de risico s van de voorgenomen gegevensverwerkingen voor de rechten en vrijheden van de betrokkenen. Ga in ieder geval in op: a. Welke negatieve gevolgen de gegevensverwerkingen kunnen hebben voor de rechten en vrijheden van de betrokkenen. b. De oorsprong van deze gevolgen. c. De waarschijnlijkheid (kans) dat deze gevolgen zullen intreden. d. De ernst (impact) van deze gevolgen voor de betrokkenen wanneer deze intreden. D. Beschrijving voorgenomen maatregelen Beschrijf de voorgenomen maatregelen om de hiervoor beschreven risico s van de voorgenomen gegevensverwerkingen voor de vrijheden en rechten van de betrokkenen aan te pakken. 17. Maatregelen Beoordeel welke technische, organisatorische en juridische maatregelen in redelijkheid kunnen worden getroffen om de hiervoor beschreven risico s te voorkomen of te verminderen. Beschrijf welke maatregel welk risico aanpakt en wat het restrisico is na het uitvoeren van de maatregel. Indien de maatregel het risico niet volledig afdekt, motiveer waarom het restrisico acceptabel is. 8 AVG@JenV

Bijlage 2 Samenstelling team JenV-onderdeel Om tijdens een bezoek van de Vliegende Brigade zo effectief en efficiënt mogelijk aan de slag te kunnen met de methodiek vragen wij het onderdeel dat bezocht wordt ook beide dagen/dagdelen een aantal collega s met bepaalde rollen beschikbaar te hebben dan wel maken. Bij kleinere organisaties kan het zijn dat niet alle rollen zijn ingevuld; dan overleggen we vooraf over hoe we toch tot een zo efficiënt mogelijke samenstelling kunnen komen. De rollen staan hieronder beschreven. (Informatie)architect De collega die inzicht heeft in de gegevensstromen, ze kan uitleggen, en de samenhang met de grotere context van een primair proces blijft zien. Die goed kan beschrijven hoe relevante (persoons)gegevens zijn gekoppeld en dit kan visualiseren in stroomschema s. Stroomschema s worden ook wel swimming lane of instroom-, doorstroom-, en uitstroomproces genoemd. Daarbij hoeft de collega niet alles tot in detail alles zelf te weten, maar weet hij wel precies wie binnen de organisatie de detailinformatie op verzoek kan aanleveren. Operationeel medewerker De collega die dagelijks in het betreffende primair processysteem (persoons)gegevens verwerkt en daarmee onderdeel uitmaakt van het werkproces dat wordt onderzocht. Privacy Officer/Manager Dan wel een collega van de afdeling die belast is met het op orde brengen van de beschrijving van de processen waarin (persoons)gegevens worden verwerkt om ervoor te zorgen dat het onderdeel AVG-compliant is per 25 mei 2018. Jurist De collega van Juridische Zaken die privacy in de portefeuille heeft. Functioneel beheerder Die zit als enige van het gezelschap meer onder de motorkap en heeft zicht op de autorisaties, doorleveringen, beveiliging, etc. van de (IT-)systemen die onder het betreffende werkproces zijn ingericht. En, niet te vergeten: de verantwoordelijk manager(s) Aan hen vragen wij om bij de kick off en afsluiting aan te schuiven. Zodat zij bij aanvang zicht krijgen op het doel en de methode, en na afloop begrijpen wat het heeft opgeleverd en welke zaken de organisatie zelf nog (verder) moet oppakken. 9 AVG@JenV

Deze brochure is een uitgave van: Ministerie van Justitie en Veiligheid (JenV) Postbus 20301 2500 eh Den Haag t 070 370 79 11 December 2017 107393

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback