Realisatiedag 14 juni Hilversum AVG
•Download as PPTX, PDF•
0 likes•133 views
Realisatiedag 14 juni Hilversum
Recommended
More Related Content
What's hot
Similar to Realisatiedag 14 juni Hilversum AVG
Similar to Realisatiedag 14 juni Hilversum AVG (20)
More from VNG Realisatie
More from VNG Realisatie (20)
Realisatiedag 14 juni Hilversum AVG
- 1. De AVG bij gemeenten: Landelijk en Lokaal Gemeente Scherpenzeel Sascha Beekman Functionaris Gegevensbescherming VNG Realisatie Hans van Wijk Adviseur privacy 14 juni 2018
- 2. Opzet 1. De positie van gemeenten 2. De ondersteuning 3. Kernboodschappen 4. Vragen
- 3. 1. De positie van gemeenten
- 8. Positie gemeenten Veel persoonsgegevens Veel verwerkingen Zichtbare positie
- 9. 2. Ondersteuningsaanpak & implementatie
- 10. Tijdslijn dienstverlening 25 mei 2018 Voor 25 mei 2018 Na 25 mei 2018
- 11. Voor 25 mei 2018
- 12. Geadviseerd stappenplan voor 25 mei
- 13. Stap 1: Stel een FG aan Ondersteuning VNG-R: - Handreiking rol en taken FG - Handreiking positionering FG Gebaseerd op: - WP29 Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO)
- 14. FG & Gemeente Scherpenzeel • Plan van aanpak implementatie AVG • Aanwijzing FG • Positie in de organisatie • Toezichthoudende bevoegdheden • Rol en taakverdeling FG <-> CISO • Bekendheid binnen organisatie College afdeling afdeling afdeling FG/CISO/Controller
- 15. Stap 2: Stel een privacybeleid op en draag het uit Ondersteuning VNG-R: - Handreiking privacyverklaring website - Model privacybeleid en reglement
- 16. Privacybeleid Gemeente Scherpenzeel • Beleidsregels privacy • Protocol internet en emailgebruik • Omgaan met persoonsgegevens • Privacyverklaring • Bijeenkomst voor vrijwilligersorgansiaties
- 17. Stap 3: Stel een register van verwerkingen op (en hou het bij) Ondersteuning VNG-R: - Model register van verwerkingen - Handreiking invullen register
- 18. Register van verwerkingen Gemeente Scherpenzeel
- 19. Stap 4: Pas de werkprocessen aan Ondersteuning VNG-R: - Handreikingen rechten van betrokken - Factsheet meldplicht datalekken (IBD) - BIG Baselinetoets (IBD) - Model PIA (IBD)
- 20. Werkprocessen Gemeente Scherpenzeel • Gemeente verwerkt grote hoeveelheid gegevens • Beschrijving werkprocessen • Input uit register en PIA’s • Benut mogelijkheden vanuit informatieveiligheid
- 21. Stap 5: Maak afspraken met derden Ondersteuning VNG-R: - Model verwerkersovereenkomst (IBD) - Factsheet verwerkersovereenkomst (IBD) - Handreiking samenwerkingsverbanden Extern: - Modelovereenkomst gezamenlijke verantwoordelijkheid (Bouwend Nederland)
- 22. Derden en Gemeente Scherpenzeel • Verwerkersovereenkomsten: • Koppeling met hoofdovereenkomst • Maak goede afspraken! • Overzicht hebben èn (bij)houden
- 23. Na 25 mei 2018
- 24. Focus na 25 mei 2018 VNG Realisatie • Borging privacy in hele organisatie • Blijven werken aan bewustwording • Collectieve afspraken • Helpdesk • Hoe denk je na over privacy/gegevensbescherming? • Nieuwe ontwikkelingen
- 25. Focus na 25 mei 2018 Gemeente Scherpenzeel • Actueel houden: • Register • PIA’s • Verwerkersovereenkomsten • Bewustzijn binnen en buiten organisatie • Jaarverslag FG • AVG-proof zijn èn blijven!
- 27. Kernboodschappen Zorg dat je de “checklist” hebt gedaan… … maar weet dat privacy nooit “af” is Zorg voor een goed verhaal Ga het gesprek aan over privacy
- 28. 4. Vragen?
Editor's Notes
- Hierna volgen wat voorbeelden, die hoef je niet allemaal te gebruiken.
- De media zit er bovenop! We worden als publieke sector goed in de gaten gehouden. Hoe wordt het geframed? Immers: ca. 150.000 werken bij gemeenten, + ketenpartners en leveranciers etc. ca. 300.000 (Dreigingsbeeld gemeenten IBD). Hoe is dan de verhouding tot deze cijfers?
- En er gebeurt ook wel eens wat > overheid en gemeenten zijn continue doelwit van bovenstaande dingen
- https://autoriteitpersoonsgegevens.nl/nl/nieuws/gemeenten-verzamelen-te-veel-persoonsgegevens-bij-uitvoering-wmo-en-jeugdwet https://vng.nl/onderwerpenindex/maatschappelijke-ondersteuning/clientondersteuning-wmo-en-jeugd/nieuws/ap-gemeenten-verzamelen-teveel-gegevens-bij-wmo-en-jeugd Gemeenten zijn sinds 2015 verantwoordelijk voor jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen. Bovenstaande link geeft de kern weer: Juiste balans De kern van het AP-advies is het vinden van de juiste balans tussen het in kaart brengen van de hulpvraag van de cliënt en het registreren van de noodzakelijke gegevens voor het verlenen van de juiste ondersteuning. Bij de toeleiding naar zorg gaat het om gegevens die de hulpvraag verhelderen. Dit betekent dat gemeenten: - wel een goed gesprek mogen voeren met een cliënt om een goed beeld te krijgen van zijn situatie en hulpvraag - daarbij alléén de gegevens mogen vastleggen die relevant zijn voor beoordeling van de hulpvraag. Advies aan gemeenten Gemeenten krijgen het advies om - zonodig- hun beleidsstukken en werkinstructies aan te passen, onder leiding van hun Functionaris Gegevensbescherming. Kunt u aanpassingen niet direct doorvoeren? Dan adviseert de VNG dringend om te inventariseren welke maatregelen u direct en welke u pas later kunt realiseren. Dit voorkomt problemen met de Autoriteit Persoonsgegevens.
- Tja, ze hadden dit zelf aangevraagd, systeemtest Wat in principe bedoeld is als verbetering systemen wordt breed uitgemeten in de media. Werkveld waarin de “bad guys” altijd het voordeel hebben
- Hierna volgen wat voorbeelden, die hoef je niet allemaal te gebruiken.
- 25 mei 2018: voldoen aan de AVG Maar: daarna ben je niet klaar Dus: prioriteren
- Hierna volgen wat voorbeelden, die hoef je niet allemaal te gebruiken.
- Waar lopen gemeenten tegenaan? Vormgeven functie FG > binnen de organisatie Combineren functies FG – CISO Verschillende bestuursorganen binnen de gemeente AP: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf
- Privacy en Informatieveiligheid in takenpakket Opleiding gevolgd Plan van aanpak implementatie AVG Aanwijzing FG (en CISO) door college in september 2017. Discussie: benoemen, aanstellen of aanwijzen! Vb. Toezichthouders BRP worden ook aangewezen. Bevoegdheid college. Staffunctie, maar gemeentelijke organisatie is daarvoor te klein. Dus: extra bevoegdheden toegevoegd aan functie Aanmelding FG bij AP in september 2017 (+ online mei’18) Bekendheid binnen organisatie Rollen, taken en bevoegheden CISO en FG Toezichthoudende bevoegdheden Opgenomen in Beleidsregels privacy (zie stap 2!) Ook rollen en taakverdeling in geval van datalekken. Opgenomen in procedure meldplicht datalekken Rol FG in relatie tot inwoners en organisaties binnen gemeente (o.a. vrijwilligers, adviesraden) Betrekken OR: mededelen/informeren. Ze hebben geen instemmingsrecht.
- Privacyverklaring belangrijk bij het informeren van burgers over hoe je omgaat met privacy
- Beleidsregels privacy vastgesteld door college in februari 2018 Uitleg begrippen en soorten van gegevensverzameling door bijvoorbeeld wifi, tracking, big data etc. Taken, rollen, bevoegdheden CISO en FG in beleid vastgelegd Bestuursorganen allen aan zet + protocol internet en emailgebruik (koppeling met informatieveiligheid) Privacyverklaring op website gemeente geplaatst Niet alleen verklaring…. ook rechten van burgers, register, PIA-rapportage, beleid en gegevens FG op website Bijeenkomst voor vrijwilligersorgansiaties, bijpraten adviesraden en wijkplatforms
- Waar lopen ze tegenaan? Veel verwerkingen (600 +) Bijhouden
- Interviews met medewerkers om verwerkingen/werkprocessen in kaart te brengen. Totaal 116 verwerkingen Op website gemeente geplaatst. Wordt nog door college vastgesteld en daarna door DIV opgeslagen in Verseon (borging!)
- Rechten van betrokkenen: Inzage Vergetelheid vs. archiefwet
- Focus ligt hier bij ons meestal op de rechten van betrokkenen en privacy op de werkvloer Werkprocessen verouderd Door uitvoeren PIA’s en opstellen register belang goede werkprocessen opnieuw onder aandacht gebracht Input PIA’s en Register gebruiken bij actualiseren werkprocessen Nieuwe procestool in combi met interviews medewerkers Rechten van burgers Wbp -> AVG op website gemeente Nieuwe ICT-infrastructuur: rechten en autorisaties beoordelen en beperken (BIG!) Actualisering Procedure meldplicht datalekken Bewustwordingsbijeenkomsten medewerkers over omgaan met persoonsgevens en informatieveiligheid Omgaan met vertrouwelijke gegevens en documenten op werkvloer en bij telewerken. Telewerkbeleid/handleidingen beveiligd e-mailen etc.
- Bepalen van verantwoordelijkheid Wie is verwerker, wie is verwerkingsverantwoordelijke? Leveranciers
- Gaat bij ons meestal vooral om verwerker/verwerkingsverantwoordelijke Veel organisaties bewust van belang verwerking persoonsgegevens en beveiligingsvereisten Afsluiten verwerkersovereenkomsten Meeste conform model Enkele ‘eigenwijs’ Goede afspraken maken! Veel papierwerk Daarna overzicht actueel houden Aanpassen overeenkomsten bij wettelijke ontwikkelingen en als hoofdovereenkomst wijzigt
- Borging privacy in hele organisatie Blijven werken aan bewustwording Collectieve afspraken Helpdesk Hoe denk je na over privacy? Nieuwe ontwikkelingen
- Is hoe
- Actueel houden Register In PIA rapportage zijn conclusie en aanbevelingen opgenomen over te nemen maatregelen (iedere 3 jaar opnieuw) Toezien op uitvoering maatregelen en na halfjaar evalueren Bij nieuwe of wijziging van bestaande verwerkingen nieuwe/aanvullende PIA uitvoeren en Register aanpassen Jaarlijks evalueren op actualiteit en volledigheid Verwerkersovereenkomsten actueel houden en afsluiten met nieuwe leveranciers Medewerkers, adviesraden en burgers blijven bijpraten Jaarverslag FG
- Zorg dat je de “checklist” hebt gedaan… … maar weet dat privacy nooit “af” is. Zorg voor een goed verhaal Keuzes maken Verantwoording vastleggen Ga het gesprek aan over privacy Binnen de organisatie Met andere gemeenten Met “betrokkenen”
- Hierna volgen wat voorbeelden, die hoef je niet allemaal te gebruiken.