Aanpak AVG

Rob Hendriks – Hoofd ICT23 januari 2018

agenda

- voorbereiding- aanpak - actiepunten- aandachtspunten

wat, maar niet hoe

https://autoriteitpersoonsgegevens.nl

voorbereiding

1. het AVG-team:• directiesecretaris• hoofd ICT

aangevuld met juristen

2. budget

stappenplan AVG compliance programma

stap 1: in kaart brengenstap 2: beoordeling

-> evaluatieverslag + plan van aanpak

stap 3: implementatiestap 4: monitoren / trainen

stappenplan AVG compliance programma

stap 1 - in kaart brengen

- inventarisatie (wat hebben we al gedaan voorde WBP 2016)- bewerkersovereenkomsten- IT-architectuur en procesbeschrijvingen- register

- interviews met afdelingen (vragenlijst)

stap 2 - beoordeling

scopeverwerking van persoonsgegevens van - werknemers- bezoekers

stap 1: processen en applicaties

stap 1: informatiemodel P&O

stap 1: informatiemodel met persoonsgegevens

bevat persoons-gegevens

bevat geenpersoonsgegevens

stap 2 - beoordeling

interviews met de volgende afdelingen:

ICTMarketing / Sales / team onlineP&OBureau CollectiesFinanciële ZakenInkoopDevelopmentFront officeVeiligheidszakenFacilitaire Zaken

stappenplan AVG compliance programma

stap 2 – beoordeling

“welke onderwerpen uit de AVG zijn van belang voor het Rijksmuseum”

zeer relevant – relevant – geen prioriteit

stap 2 - beoordeling

Wettelijke grondslag

Toestemming

Gerechtvaardigde doeleinden

Persoonsgegevens van kinderen

Gegevensverwerkers

Informatie en transparantie

Speciale categorieën (gevoelige gegevens)

Doorgifte en delen persoonsgegevens

Beveiliging

Melding van inbreuken

Bewaring van gegevens

ToegangsrechtRecht op rectificatie

Direct marketing /profilering

Recht op vergetelheid

Recht op beperking

Recht op dataportabiliteit

Recht op bezwaar

Privacy by design

Functionaris Gegevensbescherming / DPO

Toezichthoudende autoriteit

verwerkingsverantwoordelijke

Gedragscodes en certificering

zeer relevant

relevant

geen prioriteit

niveau van gegevensbescherming

Wettelijke grondslag

Toestemming

Gerechtvaardigde doeleinden

Persoonsgegevens van kinderen

Gegevensverwerkers

Informatie en transparantie

Speciale categorieën (gevoelige gegevens)

Doorgifte en delen persoonsgegevens

Beveiliging

Melding van inbreuken

Bewaring van gegevens

ToegangsrechtRecht op rectificatie

Direct marketing /profilering

Recht op vergetelheid

Recht op beperking

Recht op dataportabiliteit

Recht op bezwaar

Privacy by design

Functionaris Gegevensbescherming / DPO

Toezichthoudende autoriteit

verwerkingsverantwoordelijke

Gedragscodes en certificering

zeer relevant

relevant

geen prioriteit

beoordeling – gedetailleerde evaluatie

10 aanbevelingen

aanbevelingen

1. Informatie en Transparantie:

stel een privacybeleid op• doeleinden van de verwerking• wettelijke grondslag• ontvangers van persoonsgegevens• bewaartermijnen• rechten van werknemers en bezoekers

aanbevelingen

2. Verwerkers

• pas bewerkersovereenkomsten aan• check of met alle verwerkers een overeenkomst is

afgesloten• subverwerkers: toestemming Rijksmuseum?• let op Google Analytics e.d.!

aanbevelingen

3. Melden van inbreukenstel een beleid en procedure op om op de juiste manier met datalekken om te gaan (melding binnen 72 uur!)

aanbevelingen

4. actualiseer het beveiligingsbeleid met specifieke maatregelen m.b.t. persoonsgegevens

5. bewaring van gegevensstel een gegevensbewaringsbeleid opdenk aan papieren dossiersvernietig gegevens die niet meer nodig zijn

aanbevelingen

6. data protection by design & by defaultmet specifieke maatregelen m.b.t. persoonsgegevens!leg niet onnodig persoonsgegevens vastanonimiseer persoonsgegevens

7. actualiseer verwerkingsregisterstel een procedure op om het verwerkingsregister up-to-date te houden

aanbevelingen

8. rechten werknemers en bezoekersinformeer werknemers en bezoekers over hun rechtenstel procedures op om om te kunnen gaan met verzoeken m.b.t.: - accuraatheid en bezwaar- vergetelheid en overdraagbaarheid

9. Privacy Impact Assessment (PIA)stel een procedure t.a.v. het uitvoeren van een PIA op

aanbevelingen

10. richt een governance structuur in

DPO / FG of alternatief?

privacy leadHR

privacy leadmarketing

privacy leadIT

privacy lead…

privacyofficer

stappenplan AVG compliance programma

stap 3 - implementatie

• resultaten Beoordeling Compliance AVG delen met de organisatie

• stakeholders betrekken bij uitvoering actieplan• uitvoeren actieplan• bewustwording medewerkers (voorlichting)

implementatie: actieplan

planning: 25 mei 2018 klaar!

lessons learned: waar te beginnen

- inzicht - waar zitten gegevens (digitaal, papier, grijze IT)- waarvoor heeft iemand toestemming gegeven?- wie zijn mijn verwerkers

- prioriteiten- voorwaarden op orde (profiling!)- gooi zoveel mogelijk weg / anonimiseer- train de medewerkers (AVG is geen IT)