View
216
Download
0
Category
Preview:
Citation preview
stappenplan AVG compliance programma
stap 1: in kaart brengenstap 2: beoordeling
-> evaluatieverslag + plan van aanpak
stap 3: implementatiestap 4: monitoren / trainen
stappenplan AVG compliance programma
stap 1 - in kaart brengen
- inventarisatie (wat hebben we al gedaan voorde WBP 2016)- bewerkersovereenkomsten- IT-architectuur en procesbeschrijvingen- register
- interviews met afdelingen (vragenlijst)
stap 2 - beoordeling
interviews met de volgende afdelingen:
ICTMarketing / Sales / team onlineP&OBureau CollectiesFinanciële ZakenInkoopDevelopmentFront officeVeiligheidszakenFacilitaire Zaken
stappenplan AVG compliance programma
stap 2 – beoordeling
“welke onderwerpen uit de AVG zijn van belang voor het Rijksmuseum”
zeer relevant – relevant – geen prioriteit
stap 2 - beoordeling
Wettelijke grondslag
Toestemming
Gerechtvaardigde doeleinden
Persoonsgegevens van kinderen
Gegevensverwerkers
Informatie en transparantie
Speciale categorieën (gevoelige gegevens)
Doorgifte en delen persoonsgegevens
Beveiliging
Melding van inbreuken
Bewaring van gegevens
ToegangsrechtRecht op rectificatie
Direct marketing /profilering
Recht op vergetelheid
Recht op beperking
Recht op dataportabiliteit
Recht op bezwaar
Privacy by design
Functionaris Gegevensbescherming / DPO
Toezichthoudende autoriteit
verwerkingsverantwoordelijke
Gedragscodes en certificering
zeer relevant
relevant
geen prioriteit
niveau van gegevensbescherming
Wettelijke grondslag
Toestemming
Gerechtvaardigde doeleinden
Persoonsgegevens van kinderen
Gegevensverwerkers
Informatie en transparantie
Speciale categorieën (gevoelige gegevens)
Doorgifte en delen persoonsgegevens
Beveiliging
Melding van inbreuken
Bewaring van gegevens
ToegangsrechtRecht op rectificatie
Direct marketing /profilering
Recht op vergetelheid
Recht op beperking
Recht op dataportabiliteit
Recht op bezwaar
Privacy by design
Functionaris Gegevensbescherming / DPO
Toezichthoudende autoriteit
verwerkingsverantwoordelijke
Gedragscodes en certificering
zeer relevant
relevant
geen prioriteit
aanbevelingen
1. Informatie en Transparantie:
stel een privacybeleid op• doeleinden van de verwerking• wettelijke grondslag• ontvangers van persoonsgegevens• bewaartermijnen• rechten van werknemers en bezoekers
aanbevelingen
2. Verwerkers
• pas bewerkersovereenkomsten aan• check of met alle verwerkers een overeenkomst is
afgesloten• subverwerkers: toestemming Rijksmuseum?• let op Google Analytics e.d.!
aanbevelingen
3. Melden van inbreukenstel een beleid en procedure op om op de juiste manier met datalekken om te gaan (melding binnen 72 uur!)
aanbevelingen
4. actualiseer het beveiligingsbeleid met specifieke maatregelen m.b.t. persoonsgegevens
5. bewaring van gegevensstel een gegevensbewaringsbeleid opdenk aan papieren dossiersvernietig gegevens die niet meer nodig zijn
aanbevelingen
6. data protection by design & by defaultmet specifieke maatregelen m.b.t. persoonsgegevens!leg niet onnodig persoonsgegevens vastanonimiseer persoonsgegevens
7. actualiseer verwerkingsregisterstel een procedure op om het verwerkingsregister up-to-date te houden
aanbevelingen
8. rechten werknemers en bezoekersinformeer werknemers en bezoekers over hun rechtenstel procedures op om om te kunnen gaan met verzoeken m.b.t.: - accuraatheid en bezwaar- vergetelheid en overdraagbaarheid
9. Privacy Impact Assessment (PIA)stel een procedure t.a.v. het uitvoeren van een PIA op
aanbevelingen
10. richt een governance structuur in
DPO / FG of alternatief?
privacy leadHR
privacy leadmarketing
privacy leadIT
privacy lead…
privacyofficer
stappenplan AVG compliance programma
stap 3 - implementatie
• resultaten Beoordeling Compliance AVG delen met de organisatie
• stakeholders betrekken bij uitvoering actieplan• uitvoeren actieplan• bewustwording medewerkers (voorlichting)
lessons learned: waar te beginnen
- inzicht - waar zitten gegevens (digitaal, papier, grijze IT)- waarvoor heeft iemand toestemming gegeven?- wie zijn mijn verwerkers
- prioriteiten- voorwaarden op orde (profiling!)- gooi zoveel mogelijk weg / anonimiseer- train de medewerkers (AVG is geen IT)
Recommended