Nr
|
Uitgangspunten
|
Sturings- en verantwoordings-informatie
|
Taken teamleiders en opgavemanagers
(1e line of defense)
|
Taken Privacy
Officer
, team IJS
(2e line of defense)
|
Taken Functionaris Gegevens-bescherming, eenheid CCO
(3e line of defense)
|
Algemeen
|
P.1
|
De provincie streeft voor haar processen m.b.t. privacy naar een proces-volwassenheids-niveau van 3 met een minimum van 2.
|
- Aan CMT: 1x per 2 jaar wordt in het dashboard privacy de proces-volwassenheid gerapporteerd.
- Indicator procesprestatie.
|
|
|
- rapporteren en adviseren over proces-volwassenheid privacy als resultaat van de audit (is samenwerking met CCO).
|
Privacybeleid
& strategie
|
P.2
|
De provincie onderhoudt strategie en beleid voor privacy dat beschrijft hoe werknemers in de gehele organisatie dienen om te gaan met het verzamelen, gebruiken, bewaren, verstrek-ken en verwijderen van persoonsgegevens, inclusief het verschaffen van informatie aan externe belanghebbenden.
|
- Vastgesteld document privacystrategie
- Vastgesteld document privacybeleid
- Vastgesteld document met richtlijnen omgang met persoonsgegevens incl. transport.
- Vastgesteld document privacystatement
|
- kennis hebben van de strategie en het beleid op het gebied van privacy en het privacystatement.
- informatie aanleveren over de verwerking t.b.v. het privacy statement
|
- opstellen en doen vaststellen privacystrategie
- opstellen en doen vaststellen privacy-beleid
- opstellen en doen vaststellen richtlijnen omgang persoonsgegevens
- opstellen en doen vaststellen privacystatement
|
- gevraagd en ongevraagd adviseren over de strategie en het beleid op het gebied van privacy en het privacystatement.
|
Privacy
Officer
& Overlegstructuur
|
P.3
|
De provincie heeft een organisatiestructuur, rollen en verantwoordelijk-heden voor het beheersen van de verzameling, het gebruik, het bewaren, het verstrekken en het verwijderen van persoonsgegevens, en voor de operationele afstemming daarover.
|
- Vastgestelde documenten organisatie-structuur, processen, rollen, verantwoordelijk-heden m.b.t. privacy
- Vastgesteld document toewijzing rollen m.b.t. privacy aan personen.
|
- doen toewijzen van rollen van lijnmanagement naar medewerkers.
- vastleggen van rollen en bijhouden veranderingen.
|
- opstellen en doen vaststellen organisatiestructuur, rollen en verantwoordelijk-heden.
|
- toezien, rapporteren en adviseren over verdeling van verantwoordelijk-heden
|
Training & Awareness
|
P.4
|
De provincie houdt de privacykennis bij mede-werkers op adequaat niveau met generieke en specifieke training toegepast op de verzameling, het gebruik, het bewaren, het verstrekken en het verwijderen van persoons-gegevens en awareness-activiteiten.
|
- Aan CMT: 1x per jaar rapporteert de provincie de resultaten van de meting van bewustzijn en bekwaamheid m.b.t. privacy.
|
- verstrekken van relevante informatie aan medewerkers op de werkvloer over het werken met persoonsgegevens
|
- monitoren bewustzijn en bekwaamheid van medewerkers mbt privacy
- opstellen en doen vaststellen van concernbreed vormings- en opleidings-programma mbt privacy
- zorgdragen voor trainingen en opleidingen
|
- rapporteren en adviseren over bewustzijn en bekwaamheid mbt privacy
- geven van trainingen en opleiding toegespitst op doelgroepen
|
Privacy Architectuur (Privacy
by
Design)
|
P.5
|
De provincie heeft een proces om te borgen dat principes als gegevens-minimalisatie en doel-binding, privacy-by-default en gegevens ontdoen van persoonsinformatie (de-identificatie) vanaf het begin worden toegepast.
|
- In het dashboard privacy wordt de
proces-volwassenheid gerapporteerd.
|
|
- beschrijven van de inrichting en werking van werkprocessen i.r.t. privacy.
- invoeren van nieuwe verwerkingen obv PIA-light (door de lijn zelf uit te voeren) in het verwerkingsregister en privacytool
- opstellen van procedures en instructies mbt gegevens-minimalisatie en doelbinding, privacy-by-default en de-identificatie van gegevens.
- adviseren over toepassen principes gegevens-minimalisatie en doelbinding, privacy-by-default en de-identificatie van gegevens.
- accorderen wijzigingen van domein in verwerkingen
- adviseren over de (op te leveren) resultaten van projecten en programma’s die van invloed zijn op de inrichting en werking van bestaande werkprocessen., alsmede inbedden in portfolio-management.
|
- toezien, rapporteren en adviseren over privacy aspecten mbt de (op te leveren) resultaten van projecten en programma’s op concernniveau
|
Third
Party Management
|
P.6
|
De provincie heeft processen die de privacy risico’s bij externe partijen beheersen.
|
- In het dashboard privacy wordt de
proces-volwassenheid gerapporteerd
- Het sluiten van verwerkers-overeenkomsten wordt geïntegreerd in het proces voor verwerving en contractvernieuwing.
- Specificaties voor producten of diensten waarbij persoonsgegevens zullen worden verwerkt zijn voor de uitvraag geconfronteerd met het verwerkingsdoel vanuit het oogpunt van privacy principes waaronder gegevens-minimalisatie (zie ook IR.5).
- Aan CMT: 1x per jaar rapportage externe verwerkers met per verwerker contractduur, aanwezigheid AVG-proof verwerkers-overeenkomst, wijze van toetsing, datum laatste toetsing.
|
- verzamelen en aanleveren actuele informatie verwerkingen
|
- adviseren over het beschikbaar stellen van persoonsgegevens aan derden (incl. risico-inschatting)
- adviseren over privacy principes bij vernieuwing/ verandering van decentrale I-systemen/ verwerkingen met persoonsgegevens
- opstellen van en adviseren over standaard verwerkers-overeenkomsten
- bijhouden register verwerkers-overeenkomsten
- uitvoeren functioneel beheer verwerkingsregister
- adviseren over verwerkers-overeenkomsten (door de lijn zelf op te stellen)
- toetsen naleving verwerkers-overeenkomsten door derden.
|
- toezien, rapporteren en adviseren over het gebruik persoonsgegevens door derden
- rapporteren over privacy risico’s bij externe verwerkers
|
Informatie Levenscyclus Management
|
P.7
|
De provincie heeft processen en beheersings-maatregelen voor de hele informatielevens-cyclus van persoonsgegevens, gericht op het verzamelen tot en met het verwijderen van persoonsgegevens.
|
- Per verwerking wordt de aard en reikwijdte van toestemming(en) vastgelegd. Indien van toepassing worden verleningen en intrekkingen door betrokkenen ook vastgelegd.
- Aan CMT: 4x per jaar KRI (key risk indicator) aantal verleningen en intrekkingen van toestemmingen, actueel en trend.
- Verslagleggingen van vernietiging van persoonsgegevens na verstrijken bewaartermijn of vervallen bewaardoel.
- Aan CMT: 4x per jaar KRI aantal verslagleggingen van vernietiging.
|
- aanleveren informatie tbv verwerkingsregister
- (doen) uitvoeren vernietiging persoonsgegevens
|
- opstellen van procedures en instructies mbt het gebruik van verwerkingsregister
- instructies over registratie bewaartermijnen en bewaardoelen
- adviseren over aard en reikwijdte van toestemmingen
- adviseren over vastlegging verlengingen en intrekking toestemmingen
- adviseren over vernietiging van persoonsgegevens
- registreren vernietiging persoonsgegevens (op aangeven domeinen)
- per kwartaal rapporteren
over ontwikkelingen mbt verwerkers-overeenkomsten en vernietiging van persoonsgegevens
|
- toezien, rapporteren en adviseren over de werking van processen en beheersmaatregelen mbt de informatielevens-cyclus van persoonsgegevens.
|
Privacy Risico management
|
P.8
|
De provincie heeft een proces om de privacyrisico’s in kaart te brengen & houden en de beheersings-maatregelen te selecteren om deze risico’s te managen en mitigeren.
|
- Organisator-ische, fysieke en technische beheersings-maatregelen voor privacy worden gedocumenteerd en periodiek getest en geëvalueerd
- Aan CMT: 1x per jaar risicobeeld en risicobeheersings-beeld privacy voor concern en per domein.
|
|
- opstellen en bijhouden van overzicht van privacyrisico’s en bijbehorende beheersings-maatregelen per werkproces
- monitoren voortgang / status risicobeheersings-maatregelen
- opstellen kaders risicobeheersings-beleid
- opstellen procedures en instructies registratie risico’s en beheersings-maatregelen
- uitvoeren DPIA bij nieuwe verwerkingen met een hoog risicoprofiel
|
- toezien, rapporteren en adviseren over het risicobeeld privacy op domein- en concernniveau
- adviseren over en (doen) uitvoeren van DPIA bij nieuwe verwerkingen met een hoog risicoprofiel
|
Privacy Processen
|
P.9
|
De provincie heeft privacyspecifieke processen die borgen dat persoonsgegevens verwerkt conform de verplichtingen, waaronder:
- het recht op inzage;
- het recht op correctie;
- het recht op verzet;
- het recht op verwijdering / vergeten te worden;
- het recht op dataportabiliteit.
|
- Rapporten van Privacy Impact Assessments wanneer vereist bij veranderingen in diensten, processen en/of systemen (zie IR.5).
- Aan CMT: 4x per jaar KRI het aantal verzoeken plus percentage tijdig afgedaan per recht, actueel en trendmatig.
|
|
- het registreren , beoordelen, verwerken van verzoeken van personen mbt inzage, correctie, verzet en verwijdering van hun persoonsgegevens en het informeren van betrokkenen
- opstellen van procedures, richtlijnen en instructies mbt verzoeken van personen omtrent inzage, correctie, verzet en verwijdering persoonsgegevens.
- uitvoeren en rapporteren van DPIA’s van decentrale informatiesystemen en -verwerkingen
|
- toezien, rapporteren en adviseren over het afhandelen van verzoeken van personen omtrent hun persoonsgegevens.
|
Datalek
Response Proces
|
P.10
|
De provincie heeft een proces voor het identificeren en beoordelen van incidenten met persoonsgegevens en voor de respons daarop, zoals het melden bij de AP.
|
- Aan CMT: 4x per jaar KRI datalek meldingen aantal totaal, aantal afgedaan en aantal gemeld AP, actueel en trend
|
- het signaleren van datalekken in de werkprocessen of bij externe partijen.
- melden datalek bij betrokkenen indien van toepassing (obv beoordeling FG hierover)
- het verzamelen van informatie in het kader van onderzoek (door de PO)
- het (doen) uitvoeren van beheersings-maatregelen m.b.t. datalekken
- het informeren van de FG
|
- het opstellen van procedures en instructies inzake de melding en afhandeling van decentrale datalekken incl. lekken bij derden
- het registeren van meldingen van datalekken in eigen register datalekken
- het uitvoeren van onderzoek mbt gemelde datalekken
- het adviseren over beheersings-maatregelen
- melden van datalekken aan de autoriteit persoonsgegevens (op basis van beoordeling FG hierover)
|
- het coördineren van de afhandeling van datalekken.
- het beoordelen van datalekken en zo nodig doen melden bij de Autoriteit Persoonsgegevens en beoordeling of datalek gemeld moet worden bij betrokkenen.
- rapporteren en adviseren naar directie en bestuur inzake de melding en afhandeling van datalekken.
|
Juridische Processen
|
P.11
|
De provincie heeft een proces voor het inzichtelijk maken en monitoren de huidige en toekomstige eisen in privacywetgeving en producten om zo de juiste processen en beheersings-maatregelen m.b.t. privacy in te richten.
|
- Vastgesteld document privacystatement
|
|
- het bijhouden van actuele (beleids) ontwikkelingen op het gebied van privacy en zo nodig bijstellen van kaders, richtlijnen, procedures en instructies en informeren van betrokkenen
- opstellen en bijhouden privacystatements
|
- adviseren over actuele (beleids) ontwikkelingen op het gebied van privacy en de gevolgen voor de organisatie
|
Security Management
|
P.12
|
De provincie vertaalt privacy-eisen naar noodzakelijke beveiligingseisen op het gebied van o.a. logische en fysieke toegangsbeveiliging, versleuteling en logging.
|
- In het informatie beveiligingsbeleid zijn richtlijnen opgenomen voor het vertalen van privacy-eisen naar beveiligingseisen, op basis van classificatie van persoonsgegevens en daaraan gerelateerde beveiligingsniveaus.
- De logische en fysieke toegangsbeveiliging voor verwerkingen van persoonsgegevens worden ingericht conform beveiligingseisen. De werking ervan wordt gemonitord en gerapporteerd in het risicobeheersings-beeld IB of privacy.
- Toegangsautorisaties voor verwerkingen van persoonsgegevens worden uitsluitend voor noodzakelijke toegang in verband met het verwerkingsdoel vrijgegeven en herzien bij in-, door- en uitstroom.
- Toegang tot persoonsgegevens wordt gelogd en gemonitord op ongeautoriseerd (pogingen tot) toegang en zo nodig opgevolgd met een interne datalek melding.
- Bij transport of op mobiele apparatuur worden persoonsgegevens versleuteld.
|
- monitoren van (on)geautoriseerde toegang tot persoonsgegevens en zo nodig melden datalek.
- inrichten van aanvullende maatregelen
- monitoren van aanvullende maatregelen
|
- opstellen richtlijnen mbt vertalen privacy-eisen naar beveiligingseisen
- adviseren over de inrichting van logische en fysieke toegangsbeveiliging van persoonsgegevens (incl versleuteling en logging).
- inrichten en monitoren van de werking van centrale beveiligings-maatregelen
|
- toezien, rapporteren en adviseren over de inrichting en naleving van beveiligingseisen tav logische en fysieke toegang tot persoonsgegevens
|
Data Infrastructuur
|
P.13
|
De provincie onderhoudt een overzicht van de datastromen en persoonsgegevens die binnen de organisatie worden verwerkt inclusief de verschillende doeleinden en de classificatie van persoonsgegevens.
|
- Actueel overzicht van datastromen en verwerkingen van persoonsgegevens met doeleinden, classificatie en PIA-status (verwerkingen-register).
- Aan CMT: 4x per jaar KRI aantal verwerkingen en aantal met status AVG-compliant.
|
- informatie over nieuwe verwerkingen aanleveren aan PO
|
- opstellen standaard overzicht en bijbehorende instructie mbt datastromen en persoonsgegevens
-Nieuwe aangemelde verwerkingen uit domein accorderen en PIA light checken en zelf nieuwe geconstateerde verwerkingen vastleggen in het verwerkingsregister in de privacy tool
- bijhouden overzicht datastromen
- bijhouden van een overzicht van datastromen binnen de onderscheiden werkprocessen
|
- toezien, rapporteren en adviseren over actualiteit overzicht datastromen en persoonsgegevens
|
Verantwoording & Auditing (Accountability)
|
P.14
|
De provincie heeft een continu proces waarin de interne en externe beheersings-maatregelen worden getoetst op effectiviteit, via rapportages, zelfevaluaties en audits.
|
- Aan het 2-jaarlijkse dashboard privacy ligt een onafhankelijke audit/review van privacyprocessen en –beheersings-maatregelen ten grondslag.
|
|
- uitvoeren van zelfevaluaties
|
- toezien, rapporteren en adviseren over het bestaan en de werking van een systeem van continue (zelf)evaluatie en bijsturing mbt interne en externe beheersings-maatregelen door de organisatie.
- opstellen van een overzicht van geplande en uitgevoerde Data Protection Impact Analyses (DPIA), zelfevaluaties en audits door de organisatie.
|