Conferentie ‘Cyber? Mij een zorg’ - SVDC Cyber april...Bij ieder invulveld kijken we kritisch...
Transcript of Conferentie ‘Cyber? Mij een zorg’ - SVDC Cyber april...Bij ieder invulveld kijken we kritisch...
Samen werken aan één ambitie
Gegevensbescherming in de ketenConferentie ‘Cyber? Mij een zorg’
Datum: 18 april 2018Auteur: mr. Leonie Gerding
2
De AVG heeft iedereen in zijn greep:
3
Op 25 mei wil iedereen hetzelfde hebben bereikt:
AVG - Beginselen staan centraal
juistheid
doelbinding
minimale gegevensverwerking
opslagbeperking
rechtmatigheid, behoorlijkheid en transparantie
verantwoordingsplicht
integriteit en vertrouwelijkheid
Als iedereen hetzelfde wil
5
Als iedereen hetzelfde doel voor ogen heeft…
Uitdagingen bij ketenaanpak
Kenmerken keten:
▪ veel onafhankelijke partijen
▪ tegengestelde belangen van de ketenpartijen
▪ bestuurlijke en administratieve complexiteit
Ketenpartijen kijken vanuit de eigen organisatie naar ketens:
▪ overschatten van kansen
▪ onderschatten problemen en risico’s
▪ meestal liggen de lasten en baten maatregelen niet bij dezelfde schakel.
6
Uitdaging:Hoe te komen tot een gezamenlijke benadering voor
gegevensbescherming in de keten?
Samen werken aan betere gegevensverwerking
7
De betrokken partijen
VerwerkerVerantwoordelijke
Bij het verwerken van persoonsgegevens staan verschillende actoren centraal:
Subverwerker
betrokkene ontvangers
Uitvoering namens verantwoordelijke
Levering van data
Bepaal als organisatie je ambitie
1) Waar sta ik als organisatie nu qua
AVG?
2) Waar wil ik als organisatie staan
over een jaar qua AVG?
3) Wat betekent dit voor mijn
ketenpartners?
9
Risk-based compliant
Vervulling alle formele voorwaarden
Next-level compliant
Samen werken aan goede gegevensverwerking
10
?
Privacygovernance Inzicht verwerkingen Afspraken verwerkers Risicoanalyse
Beveiliging Rechten betrokkenen Privacy by design/default
Transparantie
Privacycultuur Dataminimalisatie Datalekken Beroepsethiek
Samen werken aan goede gegevensverwerking
11
Binnen [X] is er voldoende kennis beschikbaar over privacy in de zorg
Verwerkers hebben hun register op orde voor de verwerking die ze voor {X} uitvoeren
Verwerkers hebben aantoonbaar onze afspraken doorgelegd aan subverwerkers
Voor alle nieuwe verwerkingen, projecten of dataleveringen wordt een risicoanalyse ten aanzien van privacy gemaakt
Aanbevolen beveiligingsmaatregelen (vanuit de PIA) worden jaarlijks hereikt
Cliënten kunnen eenvoudig hun persoonsgegevens inzien zowel bij [X} als bij partners van [X[
Omarming van nieuwe technieken gaat samen met een goede borging van privacy
Voordat een behandeling start is de cliënt actief geïnformeerd over de wijze van verwerkingen van gegevens
Iedere nieuwe werknemer krijgt een privacy-training
Bij ieder invulveld kijken we kritisch naar de noodzakelijkheid voor het uitvragen ervan
Onze procedures rondom datalekken zijn concreet beschreven en met partners is afgesproken wie wat wanneer doet
Medische persoonsgegevens zijn alleen inzichtelijk voor behandelaars
?
Privacygovernance Inzicht verwerkingen Afspraken verwerkers Risicoanalyse
Beveiliging Rechten betrokkenen Privacy by design/default
Transparantie
Privacycultuur Dataminimalisatie Datalekken Beroepsethiek
Zorgpunten
Privacy & security komen niet, of te laat, aan bod
12
Iedereen trekt zijn eigen plan (of niet…)2
1
Zorgpunten
13
PRIVACY
Drie tips voor een betere samenwerking bij gegevensverwerking vanaf morgen:
14
Bij een nieuwe samenwerking: zet privacy & security direct op de agenda
1
Begrijp elkaar: breng de juiste gesprekspartners bijeen, ieder met een eigen expertise
2
Bepaal wie je meest cruciale partners zijn en hou die afspraken samen nog eens tegen het licht
3