Nr | Uitgangspunten | Sturings- en verantwoordings-informatie | Taken teamleiders en opgavemanagers (1e line of defense) | Taken Privacy Officer, team IJS (2e line of defense) | Taken Functionaris Gegevens-bescherming, eenheid CCO (3e line of defense) |
Algemeen |
P.1 | De provincie streeft voor haar processen m.b.t. privacy naar een proces-volwassenheids-niveau van 3 met een minimum van 2. | - Aan CMT: 1x per 2 jaar wordt in het dashboard privacy de proces-volwassenheid gerapporteerd. - Indicator procesprestatie. | | | - rapporteren en adviseren over proces-volwassenheid privacy als resultaat van de audit (is samenwerking met CCO). |
Privacybeleid & strategie |
P.2 | De provincie onderhoudt strategie en beleid voor privacy dat beschrijft hoe werknemers in de gehele organisatie dienen om te gaan met het verzamelen, gebruiken, bewaren, verstrek-ken en verwijderen van persoonsgegevens, inclusief het verschaffen van informatie aan externe belanghebbenden. | - Vastgesteld document privacystrategie - Vastgesteld document privacybeleid - Vastgesteld document met richtlijnen omgang met persoonsgegevens incl. transport. - Vastgesteld document privacystatement | - kennis hebben van de strategie en het beleid op het gebied van privacy en het privacystatement. - informatie aanleveren over de verwerking t.b.v. het privacy statement | - opstellen en doen vaststellen privacystrategie - opstellen en doen vaststellen privacy-beleid - opstellen en doen vaststellen richtlijnen omgang persoonsgegevens - opstellen en doen vaststellen privacystatement | - gevraagd en ongevraagd adviseren over de strategie en het beleid op het gebied van privacy en het privacystatement. |
Privacy Officer & Overlegstructuur |
P.3 | De provincie heeft een organisatiestructuur, rollen en verantwoordelijk-heden voor het beheersen van de verzameling, het gebruik, het bewaren, het verstrekken en het verwijderen van persoonsgegevens, en voor de operationele afstemming daarover. | - Vastgestelde documenten organisatie-structuur, processen, rollen, verantwoordelijk-heden m.b.t. privacy - Vastgesteld document toewijzing rollen m.b.t. privacy aan personen. | - doen toewijzen van rollen van lijnmanagement naar medewerkers. - vastleggen van rollen en bijhouden veranderingen. | - opstellen en doen vaststellen organisatiestructuur, rollen en verantwoordelijk-heden. | - toezien, rapporteren en adviseren over verdeling van verantwoordelijk-heden |
Training & Awareness |
P.4 | De provincie houdt de privacykennis bij mede-werkers op adequaat niveau met generieke en specifieke training toegepast op de verzameling, het gebruik, het bewaren, het verstrekken en het verwijderen van persoons-gegevens en awareness-activiteiten. | - Aan CMT: 1x per jaar rapporteert de provincie de resultaten van de meting van bewustzijn en bekwaamheid m.b.t. privacy. | - verstrekken van relevante informatie aan medewerkers op de werkvloer over het werken met persoonsgegevens | - monitoren bewustzijn en bekwaamheid van medewerkers mbt privacy - opstellen en doen vaststellen van concernbreed vormings- en opleidings-programma mbt privacy - zorgdragen voor trainingen en opleidingen | - rapporteren en adviseren over bewustzijn en bekwaamheid mbt privacy - geven van trainingen en opleiding toegespitst op doelgroepen |
Privacy Architectuur (Privacy by Design) |
P.5 | De provincie heeft een proces om te borgen dat principes als gegevens-minimalisatie en doel-binding, privacy-by-default en gegevens ontdoen van persoonsinformatie (de-identificatie) vanaf het begin worden toegepast. | - In het dashboard privacy wordt de proces-volwassenheid gerapporteerd. | | - beschrijven van de inrichting en werking van werkprocessen i.r.t. privacy. - invoeren van nieuwe verwerkingen obv PIA-light (door de lijn zelf uit te voeren) in het verwerkingsregister en privacytool - opstellen van procedures en instructies mbt gegevens-minimalisatie en doelbinding, privacy-by-default en de-identificatie van gegevens. - adviseren over toepassen principes gegevens-minimalisatie en doelbinding, privacy-by-default en de-identificatie van gegevens. - accorderen wijzigingen van domein in verwerkingen - adviseren over de (op te leveren) resultaten van projecten en programma’s die van invloed zijn op de inrichting en werking van bestaande werkprocessen., alsmede inbedden in portfolio-management. | - toezien, rapporteren en adviseren over privacy aspecten mbt de (op te leveren) resultaten van projecten en programma’s op concernniveau |
Third Party Management |
P.6 | De provincie heeft processen die de privacy risico’s bij externe partijen beheersen. | - In het dashboard privacy wordt de proces-volwassenheid gerapporteerd - Het sluiten van verwerkers-overeenkomsten wordt geïntegreerd in het proces voor verwerving en contractvernieuwing. - Specificaties voor producten of diensten waarbij persoonsgegevens zullen worden verwerkt zijn voor de uitvraag geconfronteerd met het verwerkingsdoel vanuit het oogpunt van privacy principes waaronder gegevens-minimalisatie (zie ook IR.5). - Aan CMT: 1x per jaar rapportage externe verwerkers met per verwerker contractduur, aanwezigheid AVG-proof verwerkers-overeenkomst, wijze van toetsing, datum laatste toetsing. | - verzamelen en aanleveren actuele informatie verwerkingen | - adviseren over het beschikbaar stellen van persoonsgegevens aan derden (incl. risico-inschatting) - adviseren over privacy principes bij vernieuwing/ verandering van decentrale I-systemen/ verwerkingen met persoonsgegevens - opstellen van en adviseren over standaard verwerkers-overeenkomsten - bijhouden register verwerkers-overeenkomsten - uitvoeren functioneel beheer verwerkingsregister - adviseren over verwerkers-overeenkomsten (door de lijn zelf op te stellen) - toetsen naleving verwerkers-overeenkomsten door derden. | - toezien, rapporteren en adviseren over het gebruik persoonsgegevens door derden - rapporteren over privacy risico’s bij externe verwerkers |
Informatie Levenscyclus Management |
P.7 | De provincie heeft processen en beheersings-maatregelen voor de hele informatielevens-cyclus van persoonsgegevens, gericht op het verzamelen tot en met het verwijderen van persoonsgegevens. | - Per verwerking wordt de aard en reikwijdte van toestemming(en) vastgelegd. Indien van toepassing worden verleningen en intrekkingen door betrokkenen ook vastgelegd. - Aan CMT: 4x per jaar KRI (key risk indicator) aantal verleningen en intrekkingen van toestemmingen, actueel en trend. - Verslagleggingen van vernietiging van persoonsgegevens na verstrijken bewaartermijn of vervallen bewaardoel. - Aan CMT: 4x per jaar KRI aantal verslagleggingen van vernietiging. | - aanleveren informatie tbv verwerkingsregister - (doen) uitvoeren vernietiging persoonsgegevens | - opstellen van procedures en instructies mbt het gebruik van verwerkingsregister - instructies over registratie bewaartermijnen en bewaardoelen - adviseren over aard en reikwijdte van toestemmingen - adviseren over vastlegging verlengingen en intrekking toestemmingen - adviseren over vernietiging van persoonsgegevens - registreren vernietiging persoonsgegevens (op aangeven domeinen) - per kwartaal rapporteren over ontwikkelingen mbt verwerkers-overeenkomsten en vernietiging van persoonsgegevens | - toezien, rapporteren en adviseren over de werking van processen en beheersmaatregelen mbt de informatielevens-cyclus van persoonsgegevens. |
Privacy Risico management |
P.8 | De provincie heeft een proces om de privacyrisico’s in kaart te brengen & houden en de beheersings-maatregelen te selecteren om deze risico’s te managen en mitigeren. | - Organisator-ische, fysieke en technische beheersings-maatregelen voor privacy worden gedocumenteerd en periodiek getest en geëvalueerd - Aan CMT: 1x per jaar risicobeeld en risicobeheersings-beeld privacy voor concern en per domein. | | - opstellen en bijhouden van overzicht van privacyrisico’s en bijbehorende beheersings-maatregelen per werkproces - monitoren voortgang / status risicobeheersings-maatregelen - opstellen kaders risicobeheersings-beleid - opstellen procedures en instructies registratie risico’s en beheersings-maatregelen - uitvoeren DPIA bij nieuwe verwerkingen met een hoog risicoprofiel | - toezien, rapporteren en adviseren over het risicobeeld privacy op domein- en concernniveau - adviseren over en (doen) uitvoeren van DPIA bij nieuwe verwerkingen met een hoog risicoprofiel |
Privacy Processen |
P.9 | De provincie heeft privacyspecifieke processen die borgen dat persoonsgegevens verwerkt conform de verplichtingen, waaronder: - het recht op inzage; - het recht op correctie; - het recht op verzet; - het recht op verwijdering / vergeten te worden; - het recht op dataportabiliteit. | - Rapporten van Privacy Impact Assessments wanneer vereist bij veranderingen in diensten, processen en/of systemen (zie IR.5). - Aan CMT: 4x per jaar KRI het aantal verzoeken plus percentage tijdig afgedaan per recht, actueel en trendmatig. | | - het registreren , beoordelen, verwerken van verzoeken van personen mbt inzage, correctie, verzet en verwijdering van hun persoonsgegevens en het informeren van betrokkenen - opstellen van procedures, richtlijnen en instructies mbt verzoeken van personen omtrent inzage, correctie, verzet en verwijdering persoonsgegevens. - uitvoeren en rapporteren van DPIA’s van decentrale informatiesystemen en -verwerkingen | - toezien, rapporteren en adviseren over het afhandelen van verzoeken van personen omtrent hun persoonsgegevens. |
Datalek Response Proces |
P.10 | De provincie heeft een proces voor het identificeren en beoordelen van incidenten met persoonsgegevens en voor de respons daarop, zoals het melden bij de AP. | - Aan CMT: 4x per jaar KRI datalek meldingen aantal totaal, aantal afgedaan en aantal gemeld AP, actueel en trend | - het signaleren van datalekken in de werkprocessen of bij externe partijen. - melden datalek bij betrokkenen indien van toepassing (obv beoordeling FG hierover) - het verzamelen van informatie in het kader van onderzoek (door de PO) - het (doen) uitvoeren van beheersings-maatregelen m.b.t. datalekken - het informeren van de FG | - het opstellen van procedures en instructies inzake de melding en afhandeling van decentrale datalekken incl. lekken bij derden - het registeren van meldingen van datalekken in eigen register datalekken - het uitvoeren van onderzoek mbt gemelde datalekken - het adviseren over beheersings-maatregelen - melden van datalekken aan de autoriteit persoonsgegevens (op basis van beoordeling FG hierover) | - het coördineren van de afhandeling van datalekken. - het beoordelen van datalekken en zo nodig doen melden bij de Autoriteit Persoonsgegevens en beoordeling of datalek gemeld moet worden bij betrokkenen. - rapporteren en adviseren naar directie en bestuur inzake de melding en afhandeling van datalekken. |
Juridische Processen |
P.11 | De provincie heeft een proces voor het inzichtelijk maken en monitoren de huidige en toekomstige eisen in privacywetgeving en producten om zo de juiste processen en beheersings-maatregelen m.b.t. privacy in te richten. | - Vastgesteld document privacystatement | | - het bijhouden van actuele (beleids) ontwikkelingen op het gebied van privacy en zo nodig bijstellen van kaders, richtlijnen, procedures en instructies en informeren van betrokkenen - opstellen en bijhouden privacystatements | - adviseren over actuele (beleids) ontwikkelingen op het gebied van privacy en de gevolgen voor de organisatie |
Security Management |
P.12 | De provincie vertaalt privacy-eisen naar noodzakelijke beveiligingseisen op het gebied van o.a. logische en fysieke toegangsbeveiliging, versleuteling en logging. | - In het informatie beveiligingsbeleid zijn richtlijnen opgenomen voor het vertalen van privacy-eisen naar beveiligingseisen, op basis van classificatie van persoonsgegevens en daaraan gerelateerde beveiligingsniveaus. - De logische en fysieke toegangsbeveiliging voor verwerkingen van persoonsgegevens worden ingericht conform beveiligingseisen. De werking ervan wordt gemonitord en gerapporteerd in het risicobeheersings-beeld IB of privacy. - Toegangsautorisaties voor verwerkingen van persoonsgegevens worden uitsluitend voor noodzakelijke toegang in verband met het verwerkingsdoel vrijgegeven en herzien bij in-, door- en uitstroom. - Toegang tot persoonsgegevens wordt gelogd en gemonitord op ongeautoriseerd (pogingen tot) toegang en zo nodig opgevolgd met een interne datalek melding. - Bij transport of op mobiele apparatuur worden persoonsgegevens versleuteld. | - monitoren van (on)geautoriseerde toegang tot persoonsgegevens en zo nodig melden datalek. - inrichten van aanvullende maatregelen - monitoren van aanvullende maatregelen | - opstellen richtlijnen mbt vertalen privacy-eisen naar beveiligingseisen - adviseren over de inrichting van logische en fysieke toegangsbeveiliging van persoonsgegevens (incl versleuteling en logging). - inrichten en monitoren van de werking van centrale beveiligings-maatregelen | - toezien, rapporteren en adviseren over de inrichting en naleving van beveiligingseisen tav logische en fysieke toegang tot persoonsgegevens |
Data Infrastructuur |
P.13 | De provincie onderhoudt een overzicht van de datastromen en persoonsgegevens die binnen de organisatie worden verwerkt inclusief de verschillende doeleinden en de classificatie van persoonsgegevens. | - Actueel overzicht van datastromen en verwerkingen van persoonsgegevens met doeleinden, classificatie en PIA-status (verwerkingen-register). - Aan CMT: 4x per jaar KRI aantal verwerkingen en aantal met status AVG-compliant. | - informatie over nieuwe verwerkingen aanleveren aan PO | - opstellen standaard overzicht en bijbehorende instructie mbt datastromen en persoonsgegevens -Nieuwe aangemelde verwerkingen uit domein accorderen en PIA light checken en zelf nieuwe geconstateerde verwerkingen vastleggen in het verwerkingsregister in de privacy tool - bijhouden overzicht datastromen - bijhouden van een overzicht van datastromen binnen de onderscheiden werkprocessen | - toezien, rapporteren en adviseren over actualiteit overzicht datastromen en persoonsgegevens |
Verantwoording & Auditing (Accountability) |
P.14 | De provincie heeft een continu proces waarin de interne en externe beheersings-maatregelen worden getoetst op effectiviteit, via rapportages, zelfevaluaties en audits. | - Aan het 2-jaarlijkse dashboard privacy ligt een onafhankelijke audit/review van privacyprocessen en –beheersings-maatregelen ten grondslag. | | - uitvoeren van zelfevaluaties | - toezien, rapporteren en adviseren over het bestaan en de werking van een systeem van continue (zelf)evaluatie en bijsturing mbt interne en externe beheersings-maatregelen door de organisatie. - opstellen van een overzicht van geplande en uitgevoerde Data Protection Impact Analyses (DPIA), zelfevaluaties en audits door de organisatie. |