SIG AVGJaap van Lindonk

Juli 2018

SIG - AVGBIJEENKOMST 4

cegeka-dsa

AGENDATERUGBLIK

WELKOM

AFSLUITING

STATUS UPDATE

TERUGBLIKVorige bijeenkomst

SIG – AVG

Terugblik – SIG AVG

BEHANDELDE ONDERWERPEN

• Introductie nieuwe leden SIG AVG

• Status AVG Deliverables

• Data Anonimisering

• Verzoeken Woondynamics

AVG - DELIVERABLES

AVG - Deliverables

Verwijderen documenten

o.b.v. retentiebeleid (DMS).

Verwijderen van

documenten binnen DMS,

op basis van retentie beleid.

Registratie van retentie-

periode binnen Dynamics

Empire t.a.v. records en

documenten.

Besproken in de SIG om als

uitgangspunt de lijst vanuit

Aedes te gebruiken. Deze is

nog niet met cegeka-dsa

gedeeld.

Anonimiseren van

persoonsgegevens van

inactieve klanten.

Middels deze functionaliteit

kunnen persoonsgegevens

van inactieve huurders

worden geanonimiseerd.

Gepland: R17 SP1810R16 SP1811

Gepland: R17 SP1810R16 SP1811

AVG - Deliverables

Separate vastlegging van

(gevoelige-) persoonsgegevens.

Persoonsgegevens en gevoelige

persoonsgegevens worden op een

aparte plek vastgelegd. Middels

autorisaties kan expliciet bepaald

worden wie deze kan raadplegen.

Mogelijkheid om vanuit Dynamics

Empire (NAV) opdracht te geven

om documenten in DMS te

verwijderen.

Deze deliverable is

randvoorwaardelijk om het

retentiebeleid gedefinieerd in

Dynamics Empire te effecturen

binnen DMS

Functionaliteit om de

gedefinieerde retentieperiode voor

meerdere documenten in één keer

te wijzigen/toe te kennen.

Deze functionaliteit kan ingezet

worden om met terugwerkende

kracht batchgewijs

bewaartermijnen te koppelen aan

documenten.

Gepland: R17 SP1810R16 SP1811

Geleverd: R17 SP1806R16 SP1806

Gepland: R17 SP1810R16 SP1811

SERVICE PACK VIDEO

SERVICE PACK VIDEO

• Service pack 1805

• Service pack 1806

AVG

Data Anonimisering• In samenwerking met Datprof• Levering uitgesteld

DEMO AVG

Verzoeken Woondynamics

Dynamics Empire AVG ProofHoe kan Cegeka garanderen dat Dynamics Empire en alle aanverwante producten AVG

proof zijn?

Classificatie:

ToelichtingOns inziens is Dynamics Empire compliant aan de AVG te gebruiken, deze SIG is bedoeld om dit te valideren en de wensen t.a.v. gebruikersgemak te inventariseren.

VervolgafsprakenDe volgende vragen/verzoeken hebben hebben zowel direct als indirect raakvlak met deze vraag.

Referentie: 01

Status: open

Wens Noodzaak Vraag Buiten scope

Optionele velden die conflicteren met ‘doelbinding’.

Wat gebeurt er met velden zoals BSN nummer in DE?

Classificatie:

ToelichtingOndanks de AVG zijn er klanten die het veld ‘BSN nummer’ nog gebruiken, dit betreft een optioneelveld.

Vervolgafspraken cegeka-dsa zorgt er voor dat het veld

BSN-nummer vanaf Dynamics Empire R18 niet meer zichtbaar is (by default).

WoonDynamics toetst of er nog meer velden 'uitgeschakeld' dienen te worden.o Bijeenkomst 3: Geen aanvullende velden gewenst

besluit Woondynamics.

Referentie: 02

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

Bewaartermijnen & Dataclassificatie

Dataclassificatie en hanteren van bewaartermijnen in DMS?

Classificatie:

ToelichtingDMS voorziet momenteel in registratie van bewaartermijnen, echter ontbreekt handhaving/rapportage.

Vervolgafspraken cegeka-dsa heeft een demo gegeven

t.a.v. de beoogde oplossingsrichting in sessie 2 van de SIG.

o Oplevering van de functionaliteit in het SP1810 op de R17, 1811 op de R16.

Referentie: 05

Status: In oplevering

Wens Noodzaak Vraag Buiten scope

Security DEHoe wordt de

internetbeveiliging en/of algehele beveiliging verbeterd

(portalen/webclient), MFA (Multi-Factor Authentication)?

Classificatie:

ToelichtingMulti-factor authenticatie middels Azure biedt mogelijkheden om Multi-factor authenticatie toe te passen. Dit stelt echter eisen aan de IT infrastructuur (o.a. ADFS) en randapplicaties. Tevens zal de werking met de Apps en Portalen verder getoetst moeten worden.

Vervolgafspraken Beknopte presentatie t.a.v. de

mogelijkheden op het vlak van security is gegeven in sessie 3 van de SIG.

Referentie: 06

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

Registratie bijzonderepersoonsgegevens

Bijzondere persoonsgegevens kunnen voor leefbaarheid en

woonruimteverdeling wezenlijke beslispunten inhouden. Om de

registratie van bijzondere persoonsgegevens te voorkomen,

maar toch de voor een beslissing/keuze belangrijke informatie

te behouden, zou via vaste tabellen een functionele vertaling van bepaalde bijzondere persoonsgegevens kunnen

worden ingebouwd.

Classificatie:

Toelichting

VervolgafsprakenIn sessie 3 besloten dit punt te sluiten.

Referentie: 09

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

Data portabiliteitVoorzien in Dataportabiliteit

Classificatie:

ToelichtingWelke informatie is gewenst in het kader van dataportabiliteit?

Vervolgafsprakeno Data kan geëxporteerd worden. Wat wordt exact bedoeld en welke data

valt hier allemaal onder? Actie SIG leden om dit in kaart te brengen / concreet te maken.

o Corporaties willen een basisset, die door elke corporatie gebruikt kan worden.

o De AP en AVG zegt dat het in een elektronisch formaat aangeleverd dient te worden, waarbij het vrij in te vullen is welk elektronisch formaat hiervoor gebruikt wordt. Het mag dus zelfs een Wordlink template worden teogepast, die een PDF oplevert met daarin de data die gevraagd/gewenst is.

o Vanuit de SIG moet bepaald worden wat er in de standaard geëxporteerd moet worden.

In sessie 3 besloten dit punt te sluiten (zie notulen)

Referentie: 10

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

Inzagen & verwijderenpersoonsgegevens

Voorzien in middelen om efficiënt en binnen de

gestelde termijn te voorzien in inzage (en evt. wissing) in

persoonsgegevens.

Classificatie:

Toelichting

VervolgafsprakenInzien:

o Welke gegevens dienen gedeeld te worden? (antwoord vanuit SIG)

o Cegeka-dsa ziet het klantportaal als de juiste plek voor deze informatie.

Verwijderen:

o Dit is onderdeel van Bewaartermijnen & Dataclassificatie ref. 05

Referentie: 12

Status: In oplevering

Wens Noodzaak Vraag Buiten scope

AutorisatiesRechten in DE, gekoppeld aan rollen, waarbij bijvoorbeeld

leefbaarheid, WRB of de klant registraties niet voor anderen dan de direct betrokkenen te

benaderen (lezen) zijn.

Classificatie:

Toelichting

Vervolgafsprakencegeka-dsa geeft een presentatie t.a.v. de beoogde oplossingsrichting in sessie 2 van de SIG.

ConclusieOp kaart niveau kunnen autorisaties ingericht worden, vanaf SP1803.

Referentie: 07

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

Anoniem TestenWat gaat cegeka-dsa doen aan

anoniem testen?

Classificatie:

Toelichting• cegeka-dsa test enkel met dummy data in haar

development straat.

• In projecten wordt data input geleverd door de klant.

• cegeka-dsa werkt aan nieuwe module, die afgenomen kan worden t.b.v. data anonimisering.

Conclusie: Beantwoord.

Referentie: 03

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

AutorisatiesRechten binnen het DMS

Classificatie:

ToelichtingHet huidige DMS zal door corporaties opgeschoond moeten worden. Tevens dienen rechten aan documenten gekoppeld te worden, zodat middels het rechtenschema bepaald kan worden welke documenten wel en welke niet zichtbaar zijn voor “iedereen”.

Conclusie Mogelijkheden in het huidige DMS zijn

gedemonstreerd in sessie 2 van de SIG AVG.

Referentie: 04

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

Informatie t.b.v. verschillendedoeleinden.

Je hebt het mailadres van de huurder, maar deze huurder wil wel mail voor …., maar niet voor wijk informatie. Dus het ene doel wel en het andere doel niet.

Classificatie:

Toelichting

VervolgafsprakenInzien:

o SIG: Is het gewenst om dit in NAV te registreren of moet dit in CRM of in een extern pakket geregistreerd worden?

Conclusie Ted Ober heeft in sessie 2 van de SIG AVG

toegelicht:mogelijkheden NAV

Referentie: 16

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

Register gegevensverwerkingOndersteuning/voorzien in

een register van gegevensverwerking (van

velden en verwerkers). Door toevoeging van velden in DE

die dit mogelijk maken?

Classificatie:

Toelichting

VervolgafsprakenIn de eerste bijeenkomst van de SIG is besloten dat het register niet in de ERP behoort maar eerder in CRM.

Referentie: 11

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

Data-uitwisselingUitwisseling met derden

ondersteunen met daarop toegespitste standaard

rapporten (PO aannemers, deurwaarder, drukker van bewonersblad, gemeente inzake woonfraude, vroeg

signalering huurschuld, etc.)

Classificatie:

Toelichtingt.a.v. Data-uitwisseling; er is een verschil tussen wat de gebruiker mag inzien en wat de gebruiker mag exporteren. Hier is dus een beperkte export gewenst. Het onderwerp is niet zozeer AVG gerelateerd maar meer een gebruikersgemak. Hiermee zorg je wel dat de kwetsbaarheid van de corporatie minder is.

VervolgafsprakenExport mogelijkheden zijn niet per rol te limiteren.

Referentie: 08

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

VerhuurdersverklaringStandaardiseren

verhuurdersverklaring

Classificatie:

Toelichting

VervolgafsprakenDit wordt door de corporatie(s) verder opgepakt, maakt geen onderdeel uit van de SIG AVG.

Referentie: 13

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

Zwarte lijst AVG-proofZwarte lijst formeel AVG-proofinbouwen in Dynamics Empire

(op gelijke wijze als leefbaarheid?)

Classificatie:

Toelichting

VervolgafsprakenDit wordt door de corporatie(s) verder opgepakt, maakt geen onderdeel uit van de SIG AVG.

Referentie: 14

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

Bewaartermijnen Dynamics Empire

Bewaartermijnen gelden ook in Dynamics Empire. (de notities zijn daarbij een

aandachtspunt)

Classificatie:

Toelichting

VervolgafsprakenDit is onderdeel van Bewaartermijnen & Dataclassificatie ref. 05

Referentie: 15

Status: Gesloten

Wens Noodzaak Vraag Buiten scope

VRAGEN

Gesteld door: Vraag: Antwoord:

Roland Sweigl

Vanuit security perspectief gaat cegeka-dsa n.a.v. een externe audit een TPM (thirt party medeling) beschikbaar stellen. Vraag: worden hier door cegeka-dsa kosten berekend richting de klanten?

Cegeka-dsa komt hier op terug.Pentest is uitgevoerd. Enkelebevindingen/adviezen. Deze wordendoorgevoerd. Daarna opnieuw Pentest endan de levering van de TPM.Er zitten geen kosten verbonden aan de TPM.

Alle deelnemersIs de anonimiseringstool die gemaakt wordt door cegeka-dsa (in samenwerking met DATPROF) ook toepasbaar op andere domeinen?

"Enkel Dynamics Empire suite zit in de scope van cegeka-dsa. De software van DATPROF biedt mogelijkheden voor andereapplicaties. Hiervoor zijn additionelelicenties benodigd, cegeka-dsa levert(momenteel) geen dienstverlening vooradditionele software pakketten."

VRAGEN

Gesteld door: Vraag: Antwoord:

Alle deelnemersWanneer wordt de eerste versie van de anonimiseringstool beschikbaar gesteld?

Uitgesteld, afstemming vindt plaatst in bijeenkomst 4 SIG AVG.Huidige status is dat deze dienst op eenandere manier ingevuld gaat worden.

Alle deelnemersIs het mogelijk om binnen Dynamics Empire door middel van 1 druk op de knop een persoon in totaliteit met alle gekoppelde informatie te verwijderen?

In de huidige versie is dit niet mogeljk, de Dynamics Empire database is niet in totaliteit een relationele database. Er zijn meerdere (handmatige) acties benodigd om persoonsgegevens te verwijderen.

Gezien dit feit gaat data niet verwijderd,maar geanonimiseerd worden. Tevens heeft dit als voordeel dat er een geen data (t.b.v. rapportages) verloren gaat.

VRAGEN

Gesteld door: Vraag: Antwoord:

Els BarnasW1612 002, wat is daarmee gebeurt, wat valt hier te verwachten.

Open, deze RFC is beoordeeld als een must have voor de R18. Tevens wordt dit als optimalisatie in een SP op de R17 uitgeleverd. Definitieve SP is nog niet bekend.

Els Barnas Wat is er bepaald in de Contracten SIG (ten behoeve van verwijderen)

Open, terugkoppelling volgt binnen de SIG.

In de contracten SIG en bij de verdereuitwerking is gesproken over optimalisatiesdie in 3 stappen worden doorgevoerd. 1. Optmalisatie huuropzegging2. Optimalisatie verhuurmutatie3. Optimalisatie verantwoordingenverhuringen

AGENDA SIG AVG

Datum: Agenda:

SIG sessie 1 16-1-2018- Introductie- Scope bepaling

SIG sessie 2 14-2-2018- Terugkoppeling verzoeken vanuit

cegeka-dsa- Verdiepingsslag

SIG sessie 3 25-4-2018- Voortgang AVG deliverables- WoondDynamics vraagstukken- Demo POC’s & mogelijkheden

SIG sessie 4 12-7-2018- Voortgang AVG deliverables- WoondDynamics vraagstukken- Demo POC’s & mogelijkheden

SIG sessie 5 NTB (na SP 1810) - Afronding

W W W . C E G E K A - D S A . C O M

linkedin.com/company/cegeka-dsa

@cegekadsa info@cegeka-dsa.nl

Bastion 4

3905 NJ Veenendaal