Wat heb je nodig op 25 mei? · Functionaris voor de Gegevensbescherming 7. Meldplicht datalekken 8....
Transcript of Wat heb je nodig op 25 mei? · Functionaris voor de Gegevensbescherming 7. Meldplicht datalekken 8....
FG, Governance en wat nog meer?
1
Wim Arendse Ileen Smits
saMBO-ICT conferentie - vrijdag 9 februari 2018
Wat heb je nodig op 25 mei?
• 10-stappenplan
• Aanpak Autoriteit Persoonsgegevens
• Inventarisatie en toelichting
• Bij Zadkine
2
Wat heb je nodig op 25 mei?
saMBO-ICT conferentie - vrijdag 9 februari 2018
3
10-stappenplan
saMBO-ICT conferentie - vrijdag 9 februari 2018
1. Bewustwording (scholing en awareness)
2. Rechten van de betrokkenen
3. Overzicht verwerkingen (Dataregister)
4. PIA (Privacy impact assessment)
5. Privacy by design & Privacy by default
6. Functionaris voor de Gegevensbescherming
7. Meldplicht datalekken
8. Verwerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming
4
10-stappenplanin IBP-wikiwijs
saMBO-ICT conferentie - vrijdag 9 februari 2018 IBP-WikiwijsDe 10 stappen van AP
staan ook uitgewerkt op onze site bij Kennisnet (IBP-Wikiwijs).
“AANPAK IBP IN HET MBO”
Link: Aanpak IBP in het MBO
6
Aanpak Autoriteit Persoonsgegevens
saMBO-ICT conferentie - vrijdag 9 februari 2018Eerste aandacht AP
1. Is er een FG?
2. Assurance: aantoonbaar in controle ?• Dataregister (product IBP-wg gebruiken)• Verwerkersovereenkomsten (product IBP-wg gebruiken)• Autoriseren, loggen en controleren
3. Accountability: uitleggen waarom• Zorg dossiers / intake gegevens.• PIA
7
Inventarisatie en toelichting
saMBO-ICT conferentie - vrijdag 9 februari 2018
School is er nog niet mee bezig
School is begonnen, maar nog bezig
School heeft een campagne afgerond
School heeft het in PDCA-cyclus opgenomen
Stand van zaken
Awareness campagne(s)
8
Inventarisatie en toelichting
saMBO-ICT conferentie - vrijdag 9 februari 2018
School is er nog niet mee bezig
School is met ontwerp en afstemming bezig
School heeft bijna of net een FG
School heeft al een tijdje een FG, ervaringen opgedaan
Stand van zaken
Functionaris Gegevensbescherming
9
Inventarisatie en toelichting
saMBO-ICT conferentie - vrijdag 9 februari 2018 Stand van zaken
Dataregister student- en personeelgegevens
School is er nog niet mee bezig
School is bezig met voorbereidingen en afstemming
School heeft eerste aanzet (bijna) gereed
School werkt al met dataregisters, ervaringen opgedaan
10
Inventarisatie en toelichting
saMBO-ICT conferentie - vrijdag 9 februari 2018
School is er nog niet mee bezig
School is bezig met voorbereidingen en afstemming
School heeft eerste aanzet (bijna) gereed
School werkt al met verwerkers-overeenkomsten, ervaringen opgedaan
Stand van zaken
Verwerkersovereenkomsten
11
Bij Zadkine
Stappen
saMBO-ICT conferentie - vrijdag 9 februari 20181. Awareness
• aandacht gegeven (project 2017)
2. Meldingssysteem• ingericht, bekend gemaakt • afhandeling geoptimaliseerd
3. Zorgdossiers / intake:• adviezen / randvoorwaarden opgesteld
4. Governance• Voorstel FG/IVP opgesteld
12
Bij Zadkine
Stappen (vervolg)
saMBO-ICT conferentie - vrijdag 9 februari 2018
5. Inrichten organisatie• FG zoeken/aanstellen Q2 2018• idem IVP manager• Optuigen IVP organisatie
6. Dataregisters• Zadkine-versie DR Studenten en Personeel
(Q1 2018)
7. PIA • Bij invulling DR worden pré-PIA’s uitgevoerd• Planning voor vervolg PIA’s
13
Bij Zadkine
IVP Governance
saMBO-ICT conferentie - vrijdag 9 februari 2018
KERNSPELERS
Toezichthoudend en adviserend
Adviserend, sturend en tactisch meewerkend
Uitvoerend
Verplicht, gericht op privacy. Rapporteert aan CvB.
Aanspreekpunt voor de AP
In onderwijsland de manager-IVP. Op privacy,
Cyber en IB.
Security expert ICT
IVP Expert vanuit IM
IVP Captains op kernafdelingen en scholen
15
Bij Zadkine
IVP Governance (vervolg)
saMBO-ICT conferentie - vrijdag 9 februari 2018
Voorstel
Aanloopperiode 2018 & 2019
De komende 2 jaar samenwerken,
“communicerende vaten”
Over 2 jaar Evalueren
Definitief vaststellen per 1-1-2020
16
saMBO-ICT conferentie - vrijdag 9 februari 2018
Bij Zadkine
IVP Governance (vervolg)
Positie van FG en IVP-managerCvB RvB Directie
HRMKwaliteit Finance Juridische zaken / stafI&A/CIO-office Extern
CIOExterne FGstrategisch1e echelon
Teamleider ICT Externe FGtactisch2e echelon
systeembeheerderExterne FGoperationeel3e echelon
Goede positie
Alternatieve positie
Niet passende positie
Risico op belangen-verstrengeling
CISO/IVP Manager:
• voldoende hoog gepositioneerd i.v.m. onafhankelijk handelen.
• voldoende onafhankelijkheid vanuit andere taken; geen “slager die zijn eigen vlees keurt”.
• is niet de FG.
FG: • bij ICT/IM/HRM/Finance levert gedoe op i.v.m.
beoogde onafhankelijkheid.• toetst en adviseert, maar neemt zelf geen besluiten.
CISO /IVP Manager FG
17
saMBO-ICT conferentie - vrijdag 9 februari 2018
IVP Governance 2018-2019
Albeda
5 Extra gegevensverwerkende gebieden 12 Scholen
6 Afdelingen
College van Bestuur
Directie
Functionaris Gegevensbescherming
IVP Manager
IVP
Pla
tfo
rm
.
Vavo Rijnmond College
Techniek College RotterdamIM/ITSecurity Expert IVP Expert
IVP Captains
Bij Zadkine
IVP Governance (vervolg)
18
saMBO-ICT conferentie - vrijdag 9 februari 2018
Bij Zadkine
IVP Governance (vervolg)
Vavo Rijnmond College
Brood & Banket CollegeExaminering
Beauty & Fashion College
Dienstverlening & Facility College
Optiek College
Business College
Startcollege
Gezondheid Welzijn & Sport College
Travel & Leisure College
Horeca College
Logistiek College
Veiligheidsacademie
Vakschool Schoonhoven
Zorgschil
BPV
Studentenadministratie
Personeelsadministratie
Albeda
Extra gegevensverwerkende gebieden Scholen
Afdelingen
AO
Onderwijsplein
FP&C
F&H
M&C
IVP Manager
Techniek College Rotterdam
IM/ITSecurity Expert IVP Expert
IVP Captains
IVP
Pla
tfo
rm
IVP Governance 2018-2019
19
saMBO-ICT conferentie - vrijdag 9 februari 2018
Bij Zadkine
IVP BORGING
Richt een korte rapportage cyclus in op de verplichte onderdelen AVG.
Minimaal 4x in 2018, daarna halfjaarlijks
Rapporteer (compact) over de implementatie van IVP-normenkader op werking.
Minimaal 2x in 2018, daarna jaarlijks
Verlies je niet in eindeloze documentatie,maar stuur op “evidence-based”
Pas de normenkaders praktisch toe, deze zijn geen doel op zich
20
Wim Arendse Ileen Smits
saMBO-ICT conferentie - vrijdag 9 februari 2018