Wat heb je nodig op 25 mei? · Functionaris voor de Gegevensbescherming 7. Meldplicht datalekken 8....

FG, Governance en wat nog meer?

1

Wim Arendse Ileen Smits

saMBO-ICT conferentie - vrijdag 9 februari 2018

Wat heb je nodig op 25 mei?

• 10-stappenplan

• Aanpak Autoriteit Persoonsgegevens

• Inventarisatie en toelichting

• Bij Zadkine

2

Wat heb je nodig op 25 mei?


3

10-stappenplan


1. Bewustwording (scholing en awareness)

2. Rechten van de betrokkenen

3. Overzicht verwerkingen (Dataregister)

4. PIA (Privacy impact assessment)

5. Privacy by design & Privacy by default

6. Functionaris voor de Gegevensbescherming

7. Meldplicht datalekken

8. Verwerkersovereenkomsten

9. Leidende toezichthouder

10. Toestemming

4

10-stappenplanin IBP-wikiwijs

saMBO-ICT conferentie - vrijdag 9 februari 2018 IBP-WikiwijsDe 10 stappen van AP

staan ook uitgewerkt op onze site bij Kennisnet (IBP-Wikiwijs).

“AANPAK IBP IN HET MBO”

Link: Aanpak IBP in het MBO

https://maken.wikiwijs.nl/104332/AANPAK_IBP_IN_HET_MBO#!page-3397876

6

Aanpak Autoriteit Persoonsgegevens

saMBO-ICT conferentie - vrijdag 9 februari 2018Eerste aandacht AP

1. Is er een FG?

2. Assurance: aantoonbaar in controle ?• Dataregister (product IBP-wg gebruiken)• Verwerkersovereenkomsten (product IBP-wg gebruiken)• Autoriseren, loggen en controleren

3. Accountability: uitleggen waarom• Zorg dossiers / intake gegevens.• PIA

7

Inventarisatie en toelichting


School is er nog niet mee bezig

School is begonnen, maar nog bezig

School heeft een campagne afgerond

School heeft het in PDCA-cyclus opgenomen

Stand van zaken

Awareness campagne(s)

8




School is met ontwerp en afstemming bezig

School heeft bijna of net een FG

School heeft al een tijdje een FG, ervaringen opgedaan

Stand van zaken

Functionaris Gegevensbescherming

9


saMBO-ICT conferentie - vrijdag 9 februari 2018 Stand van zaken

Dataregister studenten personeelgegevens


School is bezig met voorbereidingen en afstemming

School heeft eerste aanzet (bijna) gereed

School werkt al met dataregisters, ervaringen opgedaan

10




School is bezig met voorbereidingen en afstemming

School heeft eerste aanzet (bijna) gereed

School werkt al met verwerkers-overeenkomsten, ervaringen opgedaan

Stand van zaken

Verwerkersovereenkomsten

11

Bij Zadkine

Stappen

saMBO-ICT conferentie - vrijdag 9 februari 20181. Awareness

• aandacht gegeven (project 2017)

2. Meldingssysteem• ingericht, bekend gemaakt • afhandeling geoptimaliseerd

3. Zorgdossiers / intake:• adviezen / randvoorwaarden opgesteld

4. Governance• Voorstel FG/IVP opgesteld

12

Bij Zadkine

Stappen (vervolg)


5. Inrichten organisatie• FG zoeken/aanstellen Q2 2018• idem IVP manager• Optuigen IVP organisatie

6. Dataregisters• Zadkine-versie DR Studenten en Personeel

(Q1 2018)

7. PIA • Bij invulling DR worden pré-PIA’s uitgevoerd• Planning voor vervolg PIA’s

13

Bij Zadkine

IVP Governance


KERNSPELERS

Toezichthoudend en adviserend

Adviserend, sturend en tactisch meewerkend

Uitvoerend

Verplicht, gericht op privacy. Rapporteert aan CvB.

Aanspreekpunt voor de AP

In onderwijsland de manager-IVP. Op privacy,

Cyber en IB.

Security expert ICT

IVP Expert vanuit IM

IVP Captains op kernafdelingen en scholen

15

Bij Zadkine

IVP Governance (vervolg)


Voorstel

Aanloopperiode 2018 & 2019

De komende 2 jaar samenwerken,

“communicerende vaten”

Over 2 jaar Evalueren

Definitief vaststellen per 1-1-2020

16


Bij Zadkine


Positie van FG en IVP-managerCvB RvB Directie

HRMKwaliteit Finance Juridische zaken / stafI&A/CIO-office Extern

CIOExterne FGstrategisch1e echelon

Teamleider ICT Externe FGtactisch2e echelon

systeembeheerderExterne FGoperationeel3e echelon

Goede positie

Alternatieve positie

Niet passende positie

Risico op belangen-verstrengeling

CISO/IVP Manager:

• voldoende hoog gepositioneerd i.v.m. onafhankelijk handelen.

• voldoende onafhankelijkheid vanuit andere taken; geen “slager die zijn eigen vlees keurt”.

• is niet de FG.

FG: • bij ICT/IM/HRM/Finance levert gedoe op i.v.m.

beoogde onafhankelijkheid.• toetst en adviseert, maar neemt zelf geen besluiten.

CISO /IVP Manager FG

17


IVP Governance 2018-2019

Albeda

5 Extra gegevensverwerkende gebieden 12 Scholen

6 Afdelingen

College van Bestuur

Directie

Functionaris Gegevensbescherming

IVP Manager

IVP

Pla

tfo

rm

.

Vavo Rijnmond College

Techniek College RotterdamIM/ITSecurity Expert IVP Expert

IVP Captains

Bij Zadkine


18


Bij Zadkine


Vavo Rijnmond College

Brood & Banket CollegeExaminering

Beauty & Fashion College

Dienstverlening & Facility College

Optiek College

Business College

Startcollege

Gezondheid Welzijn & Sport College

Travel & Leisure College

Horeca College

Logistiek College

Veiligheidsacademie

Vakschool Schoonhoven

Zorgschil

BPV

Studentenadministratie

Personeelsadministratie

Albeda

Extra gegevensverwerkende gebieden Scholen

Afdelingen

AO

Onderwijsplein

FP&C

F&H

M&C

IVP Manager

Techniek College Rotterdam

IM/ITSecurity Expert IVP Expert

IVP Captains

IVP

Pla

tfo

rm

IVP Governance 2018-2019

19


Bij Zadkine

IVP BORGING

Richt een korte rapportage cyclus in op de verplichte onderdelen AVG.

Minimaal 4x in 2018, daarna halfjaarlijks

Rapporteer (compact) over de implementatie van IVP-normenkader op werking.

Minimaal 2x in 2018, daarna jaarlijks

Verlies je niet in eindeloze documentatie,maar stuur op “evidence-based”

Pas de normenkaders praktisch toe, deze zijn geen doel op zich

20

Wim Arendse Ileen Smits


Wat heb je nodig op 25 mei? · Functionaris voor de Gegevensbescherming 7. Meldplicht datalekken 8....

Documents

Transcript of Wat heb je nodig op 25 mei? · Functionaris voor de Gegevensbescherming 7. Meldplicht datalekken 8....