3. 3|13-06-2019
Wat ik met jullie wil delen
› AVG in notendop
› Hoe project binnen RUG is opgetuigd
› Wat heeft het opgeleverd
› Waar staan we nu en hoe verder
› Uitwisseling ervaringen
4. 4|13-06-2019
AVG algemeen
Vanaf 25 mei 2018 van toepassing
Grootste verandering: verantwoordelijken moeten aantonen compliant te zijn
Risico boetes bij niet nakomen verordening
5. 5|13-06-2019
AVG principes
Basisprincipes:
• Transparantie
• Dataminimalisatie
• Gegevens vastleggen in Register
• Recht op inzage, correctie en verwijderen,
• Recht op vergetelheid
• Doelbinding
• Grondslag
• Verwijderen gegevens na verwerking
6. 6|13-06-2019
Grondslagen
A. Toestemming
B. Overeenkomst
C. Wettelijke verplichting
D. Vitaal belang
E. Algemeen belang; vervullen van taak in kader uitoefening van het
openbaar gezag of taak op grond van algemeen belang
F. Rechtvaardig belang
G. …
H. …
Hoe bewaartermijnen vast te stellen?
9. 9|13-06-2019
Werkzaamheden, centraal en decentraal
› Beleid maken
› Inventarisatie processen
› Register vullen
› Risicoanalyse maken
› (Ondersteunen bij) het uitvoeren van een DPIA
› Verwerkersovereenkomsten
› Inzageverzoeken afhandelen
› Datalekken afhandelen
› Communicatie
› Coördinatorenplatforms
› FG: Adviseren CvB
10. 10|13-06-2019
Faculteiten en diensten; waar verantwoordelijk voor?
● Werkplan opstellen
● Coördinatoren aanwijzen voor de uitvoering van beleid
● Overzicht processen met verhoogd risico ligt; DPIA uitvoeren
● Beschrijven te nemen technische en organisatorische maatregelen
● Periodieke evaluatie en bijstelling belegd binnen de PDCA-cyclus
● Domein onderzoek:
● Inzicht in- en registratie van welke onderzoeken plaatsvinden
● Aandacht voor studenten die binnen opleiding onderzoek doen
● Relatie met Ethische toetsing en zorgplicht GWI
11. 11|13-06-2019
P&S Coördinatoren: taken
De coördinator:
› is eerste aanspreekpunt binnen faculteit of dienst
› informeert over privacy en security
› stelt faculteits- of dienstbeleid op (werkplan)
› stelt gezamenlijk themabeleid/procedures op bij overstijgend beleid
› stelt een privacyverklaring op per domein/categorie
› faciliteert bij het uitvoeren van een DPIA
› voor onderzoek ondersteunt Research Data Office ism Privacyteam
› ondersteunt bij het vullen van het Register en houdt dit bij
› faciliteert bij het afsluiten van verwerkersovereenkomsten
› coördineert en/of adviseert over de uitvoering van de PDCA-cyclus
informatiebeveiliging en privacybeleid
› inventariseert compliance risks; registreert deze en zet acties uit
› ondersteunt bij inzageverzoeken
12. 12|13-06-2019
Wat na een jaar concreet opgeleverd?
› Werkprogramma CvB en werkplannen faculteiten en diensten
› Algemene Beleid Privacy en Privacyverklaring
› P&S coördinatoren aangewezen; structuur platforms opgetuigd
› Aanbevelingen uit Jaarrapportage FG door CvB overgenomen
› Register aangeschaft, nog niet volledig gevuld
In mei hebben we (opnieuw) aandacht besteed aan
bewustwordingscampagne gericht op medewerkers.
16. 16|13-06-2019
Voorbeeld plan van aanpak bewustwording AVG
onder medewerkers van faculteit
› informatie op intranet over Research Data Management en Ethiek bij
Onderzoek
› inrichting van een intranetpagina met informatie over de AVG
› voorlichting over het gebruik van Surf file sender, Google-drive, y-drive en
F-accounts
› de organisatie van een ’voorjaarsschoonmaak AVG’
› introductie van een jaarlijks password-wijzigingsweek (met tips over een
goed wachtwoord)
› informatiepakket voor nieuwe medewerkers over omgaan met
persoonsgegevens, informatiebeveiligingsbeleid en de baseline security
› peiling van de stand van zaken AVG (kennis, toepassing) bij faculteit
17. 17|13-06-2019
En wat staat komende periode op de rol?
› werkplannen (jaarlijks) onderdeel van PDCA cyclus
› De platforms coördinatoren rond de drie domeinen handen en voeten
geven
› Protocollen en richtlijnen vaststellen
› Bewustwordingscampagne studenten
› Aandacht voor onderzoek
› Externe platforms oprichten om kennis te delen
18. 18|13-06-2019
Waar lopen we risico’s?
› Afgesloten verwerkersovereenkomsten nog niet op peil
› DPIA’s uitvoeren is tijdrovend proces(en kost dus geld)
› Onvoldoende inzicht in processen, dus de risico’s
› Er zijn > dan 100 systemen waarin met persoonsgegevens wordt verwerkt
› Geen inzicht in aantal en impact onderzoeken
› Bewaartermijnen niet vastgesteld en gehandhaafd
19. 19|13-06-2019
Waar lopen we tegenaan?
› Draagvlak
› Motivatie
› Veel ’achterstallig onderhoud
› De coördinatoren hebben onvoldoende tijd
› Onvoldoende afstemming
› Hoe bewaartermijnen vast te stellen?
› Praktisch: e-mail wordt als archief gebruikt
› Uniformering is ‘’tegennatuurlijk’’ aan autonomie van faculteiten
Wie ben ik, wat doe ik, waarom sta ik hier?Aansluiten bij ritme van de dag.
Doel: delen ervaringen en delen best practices.
Eerst voor ogen hoe dat zou moeten, maar na het verhaal van Jitske laat ik het open en bepalen we samen het ritme.
Kijkje in de keuken.
Waar lopen we tegenaan (en jullie?); uitwisseling.
In wezen niet veel anders dan Wbp. Voor mij grootste verschil dat je acief moet handelen en laten zien dat je de rechten van betrokkene goed beschermt. En laat zien wat en hoe je dat doet. Verantwoordelijkheid nemen en verantwoording afleggen.
Dit vertaalt zich naar de principes:
Lijktoverzichelijk en eenvoudig:
Wat verzamele en verwerk je aan persoonsgegevens, met welk doel,en op welke grondslag, hoe lang bewaar je de gegevens en waar, hoe communiceeer je de btrokkene en wijs je hen op diens rechten. Blijkt complex.
AP als handhaver op achtergrond, als iets niet geod gaat, dit moeten melden (datalekken).
Er moet een doel en wettelijke grondslag zijn voor de verwerking
Gegevens moeten worden verwijderd als deze niet meer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld
Hierop inzoomen:
Niet veel gewijzigd. Maar moet nu expliciet zijn over doel en grondslag van de verwerking.
Tot nu toe: gemakkelijk en handig om de gegevens te verzamelen. Grondslag lastig te bepaleen, moet heel specifiek.
Daar zit ook de weerstand (naast bureaucratie en te weinig tijd)
Benadrukken door hele organisatie heen; (zie schema). Verantwoordelijkehden moeten duidelijk benoemd en genomen worden op de drie niveaus
Wie doet wat; discussiepunt
Platforms belangrijk hierin
Werkplan sjabloon: aanleveren voor BO; door CvB kader gegeven.
Beschrijven processen; in kaart brengen risico’s; welke maatregelen.
PDCA cyclus
Bleek nog veel niet op orde, en te laat aandacht aan besteed door management
Onderzoek: extra dimensie academische vrijheid . Geen zicht op wie wat waar
Gedragscode Wetenschappelijke Integriteit
Verschillende scenario’s beschrijven ; hiervoor building blocks aan maatregelen ontwikkelen
Bv e-learningmateriaal over uitvoeren DPIA bij onderzoek. Pseudonimiserinsdienst inrichten
Grote verantwoordelijkheid; werkt vooral als tijd voor beschikbar (een fulltime voor drie kleiner faculteiten)
met andere coördinatoren gezamenlijk themabeleid/procedures opstellen bij overstijgend beleid; dat is lastig
Zitten we nog in het juiste ritme??
Aangrijpingspunt was, een jaar AVG van toepassing.
Volwassenheidsnivveau 1.3 op schaal van 0-5. Streven is naar 2 in 2020.
Dit vroeg om een grote voorjaarsschoonmaakactie:
Dit is beknopte versie; heb schema voor geïnteresseerden
Bestendigen beleid, platforms
in werkgroepen thema’s uitwerken
Protocollen per domein (bv HR protocol sollicitaties; beleid life cycle studenten)
Register vullen en gebruiken om risico’s in kaart te krgijen; is ook managemnetinfo
Ondersteunen bij uitvoeren DPIA’s
Verwerkersovereenkomsten opstellen
Delen kennis en met bv Landelijk: CSA; binnen de regio: Hanzehogeschool, DUO, gemeente
Dit is de achterkant; wat hebben we nog niet op orde?
Naast AVG ook beveiligingsrisico’s, mn met systemen
Niet mogelijk gegevens uit systemen te verwijderen
FG: maturityniveau 1.3 op schaal van 0-5. streven komend jaar naar 2.0
Draagvlak is essentieel. Het management moet hierin verantwoordelijkheid nemen. Dat is niet altijd vanzelfsprekend.
, bv model Privacyverklaringen
Richtlijnen (bv voor uitvoeren DPIA)