compliance @ sociaal domein privacy impact assessment Matias Kruyen De urgentie Toezichtsarrangement AP significant uitgebreid Bestuursrechtelijke sancties van materieel belang Accountant materialiseert risico s beheer- en beveiligingsmaatregelen in jaarverslag Weerbare ketencontracten Schadeclaims betrokkenen Reputatieschade 1
De aanpak Wet-en regelgeving Beleidskader Normenkader Interne organisatie Gegevensbeschermingszegel De wet- en regelgeving Privacy en gegevensbescherming Organisaties actief in het sociaal domein Wbp, Avg, Wmo, Wgbo, NIB, e-identity, ISO 27001, ISEA 3402, NEN 7510, ISO 25010, Gedragscodes, richtlijnen, AMvB, Jurisprudentie, etc. Omvangrijk (> 100) en sterk veranderlijk 2
Het beleidskader Alle relevante wet- en regelgeving voor het Sociaal Domein in één kader Uitbreidingen, veranderingen en aanpassingen in wet-en regelgeving worden bijgewerkt in het beleidskader Het normenkader Compliant zijn aan alle wettelijke kaders is NIET haalbaar Keuzes maken op basis van risicoanalyses Normenkader opgebouwd uit 7 lagen van volwassenheidsniveau Beleidskeuzes in 7 smaken van veel risico tot weinig/geen risico Gekozen volwassenheidsniveau is basis voor audits 3
De interne organisatie (AO/IC : PDCA : BOS) Plan DO CHECK ACT Bedrijfsproces Volwassenheidsniveau Proces Procedure Instructie Prestatie Evaluatie Normenkader Succesfactor Prestatie indicator Verbetervoorstel Organisatie Bestuur Functionaris voor de Gegevensbescherming Data Security officer Systemen (Bijzonder) persoonsgegevens verwerkend systeem Privacy boekhouding Samenwerking DO Documentatieplicht: Melden van verwerkingen aan AP of FG Informatieplicht: Informatieverstrekking aan betrokkenen Faciliteren rechten betrokkenen: Inwilligen verzoeken van betrokkenen Beveiligingsplicht: Technische en organisatorische maatregelen Meldingsplicht: AP onverwijld in kennis stellen van inbreuk op de beveiliging Ketenverantwoordelijkheid: Toezien op naleving van wet-en regelgeving bij ketenpartners en bewerkers CHECK Omgekeerde bewijslast, laten zien dat er geen datalekken zijn geweest Van tell me naar proof me Awareness: Opbouwen privacy bewustzijn medewerkers Bewerkersovereenkomsten: De organisaties waarmee persoonsgegevens worden gedeeld zijn bekend De uitwisseling van persoonsgegevens is vastgelegd in weerbare contracten Implementatie en gebruik privacy boekhoudingspakket Een of meerdere gezamenlijke functionarissen voor gegevensbescherming aanstellen!... 4
Het gegevensbeschermingszegel Voor elk volwassenheidsniveau een zegel van 0 t/m 7 Level 0: Aanvraag ingediend Level 1: Basic Level 2: Overzicht en inzicht Level 3: Ketenmanagement Level 4: Faciliteren van rechten van betrokkene Level 5: Eerlijk zaken doen Level 6: Georganiseerd zijn Level 7: Behoorlijk bestuur Zie http://www.myobi.eu/legenda-maturity-levels cross-reference met privacy sociaal domein De intake 2 daagse workshop voor sleutelfunctionarissen: Namens bestuur, ICT, kwaliteit en primair proces Intern privacy team Documentenonderzoek interne organisatie m.b.t. gegevensbescherming en privacy Interviews workshop deelnemers Opstellen GAP-analyse en verbeterplan Bestuurlijk gesprek Waarde propositie intake: Waar de organisatie staat Wat moet de organisatie minimaal doen om uit de gevarenzone te komen Input voor doelmatige en doeltreffende maatregelen Basis voor een RIBW Alliantie breed verbeterplan! 5
Samenwerking Opstellen en uitvoeren verbeterplannen Ondersteuning: FG ers, Juristen, Auditors, Procesdeskundigen, BI specialisten Kennis: Leergang FG, workshops, awareness trainingen Software: Auditor tools, Authenticatie en autorisatie, privacy boekhouding... Delen alles in een virtuele gemeenschap: www.privacysociaaldomein.nl Vragen? 6