sig - gdpr & avg...o de ap en avg zegt dat het in een elektronisch formaat aangeleverd dient te...
TRANSCRIPT
Terugblik Sessie 1 – SIG GDPR
BEHANDELDE ONDERWERPEN
• Scope bepaling SIG GDPR
• Security
• Security guideline cegeka-dsa
• PENTEST
• Kwetsbaarheden onderzoek
• TPM (third party mededeling) voor klanten
• Data annonimisering
• Vraagstukken en verzoeken WoonDynamics
Dynamics Empire AVG ProofHoe kan Cegeka garanderen dat DE en alle aanverwante producten AVG/GDPR proof
zijn?
Classificatie:
ToelichtingOns inziens is Dynamics Empire compliant aan de AVG te gebruiken, deze SIG is bedoeld om dit te valideren en de wensen t.a.v. gebruikersgemak te inventariseren.
VervolgafsprakenDe volgende vragen/verzoeken hebben hebben zowel direct als indirect raakvlak met deze vraag.
Referentie: 01
Wens Noodzaak Vraag Buiten scope
Optionele velden die conflicteren met
‘doelbinding’.Wat gebeurt er met velden zoals BSN nummer in DE?
Classificatie:
ToelichtingOndanks de AVG zijn er klanten die het veld ‘BSN nummer’ nog gebruiken, dit is betreft een optioneel veld.
Vervolgafsprakeno cegeka-dsa zorgt er voor dat het veld
BSN-nummer vanaf Dynamics Empire R18 niet meer zichtbaar is (by default).
o WoonDynamics toetst of er nog meer velden 'uitgeschakeld' dienen te worden.
Referentie: 02
Wens Noodzaak Vraag Buiten scope
Anoniem TestenWat gaat cegeka-dsa doen aan
anoniem testen?
Classificatie:
Toelichting• cegeka-dsa test enkel met dummy data in haar
development straat.
• In projecten wordt data input geleverd door de klant.
• cegeka-dsa werkt aan nieuwe module, die afgenomen kan worden t.b.v. data anonimisering.
Vervolgafspraken Beantwoord.
Referentie: 03
Wens Noodzaak Vraag Buiten scope
AutorisatiesRechten binnen het DMS
Classificatie:
ToelichtingHet huidige DMS zal door corporaties opgeschoond moeten worden. Tevens dienen rechten aan documenten gekoppeld te worden, zodat middels het rechtenschema bepaald kan worden welke documenten wel en welke niet zichtbaar zijn voor “iedereen”.
VervolgafsprakenMogelijkheden in het huidige DMS worden gedemonstreerd in sessie 2 van de SIG.
Referentie: 04
Wens Noodzaak Vraag Buiten scope
INSTRUCTIE: DMS OPSCHONING
HET HUIDIGE DMS ZAL DOOR CORPORATIES OPGESCHOOND MOETEN WORDEN
• Opschonen:
Dit kan het beste gedaan worden op basis van zoekschermen. In deze zoekschermen kunnen diverse criteria meegeven worden. Het totale resultaat
kan verwijderd worden. (De documenten mogen niet in werkstroom actief zijn of in behandeling zijn). Daarna kan het document definitief verwijderd
uit de DMS Prullenbak.
Op de zoekschermen zijn rechten te zetten zodat bijvoorbeeld alleen de …. Functionaris deze schermen mag gebruiken en het zoekresultaat (de
documenten) kan verwijderen.
Je maakt bijvoorbeeld het zoekscherm AVG_Identiteitsbewijs. Deze levert alle documenten die gearchiveerd zijn met het subonderwerp
identiteitsbewijs. Of het zoekscherm AVG_Inkomensverklaring. Deze levert alle documenten die gearchiveerd zijn met het subonderwerp
inkomensverklaring. etc.
INSTRUCTIE: DMS RECHTEN
DOCUMENTEN KUNNEN EEN BEPAALD RECHT KRIJGEN ZODAT JE DAT MET JE RECHTENSCHEMA BETER KUNT INSTELLEN WELKE DOCUMENTEN WEL EN
WELKE NIET ZICHTBAAR ZIJN VOOR “IEDEREEN”
Rechten instellen:
Op documentniveau kun je rechten uitdelen op het document. Het schema bepaald vervolgens wie die documenten mogen inzien.
Rechtenschema’s zijn dus gekoppeld aan archief, documenten. Tevens kun je ook met condities geautomatiseerd rechten laten zettenop een
document. Bijvoorbeeld als conditie is: Hoofdonderwerp is Inkomensgegevens, dan automatisch het rechtenschema: Inkomensgegevens.
Een gebruiker zit in een rechtengroep met 1 of meerdere rechtenschema. Dat bepaalt dus ook wat de gebruiker wel of niet mag zien.
Bewaartermijnen & Dataclassificatie
Dataclassificatie en hanteren van bewaartermijnen in DMS?
Classificatie:
ToelichtingDMS voorziet momenteel op het vlak van registratie van bewaartermijnen, echter ontbreekt handhaving/rapportage.
Vervolgafsprakencegeka-dsa geeft een presentatie t.a.v. de beoogde oplossingsrichting in sessie 2 van de SIG.
Referentie: 05
Wens Noodzaak Vraag Buiten scope
Bewaartermijnen & Dataclassificatie
Notulen bijeenkomst 16-01-2018
o Eigen haard geeft aan dat er sprake is van relatieve bewaartermijnen. Als
voorbeeld, voor de inkomens verklaring, gaat de bewaartermijn lopen op het
moment dat het contract wordt getekend.
o Gezamenlijk zal worden gekeken naar de wensen omtrent handhaving en
rapportage met betrekking tot bewaartermijnen. Dit alles op basis van de door
de Verantwoordelijke vastgestelde bewaartermijnen voor de betreffende
persoonsgegevens.
o Er is een RFC dat inkomensgegevens in 1 druk op de knop volledig worden
verwijderd uit de gegevens van de betreffende huurder.
Security DEHoe wordt de
internetbeveiliging en/of algehele beveiliging verbeterd
(portalen/webclient), MFA (Multi Factor Authentication)?
Classificatie:
ToelichtingMulti factor authenticatie vanuit Azure beidt mogelijkheden om Multi-factor authenticatie in te richten. Deze inrichting stelt echter eisen aan de IT infrastructuur (o.a. ADFS) en randapplicaties. Tevens zal de werking met de Apps en Portalen verder getoetst moeten worden.
VervolgafsprakenBeknopte presentatie t.a.v. de mogelijkheden op het vlak van security zal gegeven worden in sessie 3 van de SIG.
Referentie: 06
Wens Noodzaak Vraag Buiten scope
AutorisatiesRechten in DE, gekoppeld aan rollen, waarbij bijvoorbeeld
leefbaarheid, WRB of de klant registraties niet voor anderen dan de direct betrokkenen te
benaderen (lezen) zijn.
Classificatie:
Toelichting
Vervolgafsprakencegeka-dsa geeft een presentatie t.a.v. de beoogde oplossingsrichting in sessie 2 van de SIG.
Referentie: 07
Wens Noodzaak Vraag Buiten scope
Autorisaties
Notulen bijeenkomst 16-01-2018
o In ERP is aan een persoon een machtigingsset toegewezen. Je kan hier tabellen mee
afschermen, tevens zaken op het scherm afschermen.
o Zichtbaarheid, dit is om technische redenen op dit moment nog niet in de applicatie
ingebouwd. Dit wordt op dit moment onderzocht. Lezen kan dus al afgegrendeld worden
met 2-control, het wel of niet zichtbaar moet nog ingebouwd worden.
o Je kan met rechten en met indirecte rechten diverse zaken regelen. Volgende SIG zal Ted
Ober tonen/aangeven wat met lezen en zichtbaarheid bedoeld wordt
Data uitwisselingUitwisseling met derden
ondersteunen met daarop toegespitste standaard
rapporten (PO aannemers, deurwaarder, drukker van bewonersblad, gemeente inzake woonfraude, vroeg
signalering huurschuld, etc.)
Classificatie:
Toelichtingt.a.v. Datauitwisseling; er is een verschil tussen wat de gebruiker mag inzien en wat de gebruiker mag exporteren. Hier is dus een beperkte export gewenst. Het onderwerp is niet zozeer AVG gerelateerd maar meer een gebruikersgemak. Hiermee zorg je wel dat de kwetsbaarheid van de corporatie minder is.
VervolgafsprakenExport mogelijkheden zijn niet per rol te limiteren.
Referentie: 08
Wens Noodzaak Vraag Buiten scope
Registratie bijzonderepersoonsgegevens
Bijzondere persoonsgegevens kunnen voor leefbaarheid en
woonruimteverdeling wezenlijke beslispunten inhouden. Om de
registratie van bijzondere persoonsgegevens te voorkomen,
maar toch de voor een beslissing/keuze belangrijke informatie
te behouden, zou via vaste tabellen een functionele vertaling van bepaalde bijzondere persoonsgegevens kunnen
worden ingebouwd.
Classificatie:
Toelichting
VervolgafsprakenWouter Ding levert voorbeelden aan.
Referentie: 09
Wens Noodzaak Vraag Buiten scope
Data portabiliteitVoorzien in Dataportabiliteit
Classificatie:
ToelichtingWelke informatie is gewenst in het kader van dataportabiliteit?
Vervolgafsprakeno Data kan geëxporteerd worden. Wat wordt exact bedoeld en welke data
valt hier allemaal onder. Actie SIG leden om dit in kaart te brengen / concreet te maken.
o Corporaties willen een basis set. Die door elke corporatie gebruikt kan worden.
o De AP en AVG zegt dat het in een elektronisch formaat aangeleverd dient te worden, waarbij het vrij in te vullen is welk elektronisch formaat hiervoor gebruikt wordt. Het mag dus zelfs een Wordlink template die een PDF oplevert met daarin de data die gevraagd/gewenst is.
o Vanuit de SIG moet bepaald worden wat er in de standaard geëxporteerd moet worden.
Referentie: 10
Wens Noodzaak Vraag Buiten scope
Register gegevensverwerkingOndersteuning/voorzien in
een register van gegevensverwerking (van
velden en verwerkers). Door toevoeging van velden in DE
die dit mogelijk maken?
Classificatie:
Toelichting
VervolgafsprakenIn de eerste bijeenkomst van de SIG is besloten dat het register niet in de ERP behoort maar eerder in CRM.
Referentie: 11
Wens Noodzaak Vraag Buiten scope
Inzagen & verwijderenpersoonsgegevens
Voorzien in middelen om efficiënt en binnen de
gestelde termijn te voorzien in inzage (en evt. wissing) in
persoonsgegevens.
Classificatie:
Toelichting
VervolgafsprakenInzien:
o Welke gegevens dienen gedeeld te worden? (antwoord vanuit SIG)
o Cegeka-dsa ziet het klantportaal als de juiste plek voor deze informatie
Verwijderen:
o Dit is onderdeel van Bewaartermijnen & Dataclassificatie ref. 05
Referentie: 12
Wens Noodzaak Vraag Buiten scope
VerhuurdersverklaringStandaardiseren
verhuurdersverklaring
Classificatie:
Toelichting
VervolgafsprakenDit wordt door de corporatie(s) verder opgepakt, maakt geen onderdeel uit van de SIG GDPR.
Referentie: 13
Wens Noodzaak Vraag Buiten scope
Zwarte lijst AVG-proofZwarte lijst formeel AVG-proof
inbouwen in DE (op gelijke wijze als leefbaarheid?)
Classificatie:
Toelichting
VervolgafsprakenDit wordt door de corporatie(s) verder opgepakt, maakt geen onderdeel uit van de SIG GDPR.
Referentie: 14
Wens Noodzaak Vraag Buiten scope
Bewaartermijnen DEBewaartermijnen gelden ook in DE. (de notities zijn daarbij
een aandachtspunt)
Classificatie:
Toelichting
VervolgafsprakenDit is onderdeel van Bewaartermijnen & Dataclassificatie ref. 05
Referentie: 15
Wens Noodzaak Vraag Buiten scope
Informatie t.b.v. verschillendedoeleinden.
Je hebt het mailadres van de huurder, maar deze huurder wil wel mail voor …., maar niet voor wijk informatie. Dus het ene doel wel en het andere doel niet.
Classificatie:
Toelichting
VervolgafsprakenInzien:
o SIG: Is het gewenst om dit in NAV te registreren of moet dit in CRM of in een extern pakket geregistreerd worden?
o Ted zal de volgende SIG sessie toelichten welke mogelijkheden NAV hierin biedt.
o Referentie: 16
Wens Noodzaak Vraag Buiten scope
VRAGEN
Gesteld door: Vraag: Antwoord:
Roland Sweigl
Vanuit security perspectief gaat cegeka-dsa n.a.v. een externe audit een TPM (thirt party medeling) beschikbaar stellen. Vraag: worden hier door cegeka-dsa kosten berekend richting de klanten?
cegeka-dsa komt hier op terug.
Alle deelnemersIs de anonimiseringstool die gemaakt wordt door cegeka-dsa (in samenwerking met DATPROF) ook toepasbaar op andere domeinen?
"Enkel Dynamics Empire suite zit in de scope van cegeka-dsa.
De software van DATPROF biedtmogelijkheden voor andere applicaties. Hiervoor zijn additionele licenties benodigd, cegeka-dsa levert (momenteel) geendienstverlening voor additionele software pakketten."
VRAGEN
Gesteld door: Vraag: Antwoord:
Alle deelnemersWanneer wordt de eerste versie van de anonimiseringstool beschikgesteld?
Target datum voor de eerste versie van de anonimiseringstool is medio April 2018. Eerste test resultaten vanuit cegeka-dsa, zien er positief uit qua doorlooptijd en performance.
Alle deelnemersIs het mogelijk om binnen Dynamics Empire door middel van 1 druk op de knop een persoon in totaliteit met alle gekoppelde informatie te verwijderen?
In de huidige versie is dit niet mogeljk, de Dynamics Empire database is niet in totaliteit een relationele database. Er zijn meerdere (handmatige) acties benodigd om persoonsgegevens te verwijderen.
Gezien dit feit gaat data niet verwijderd worden maar geanonimiseerd worden. Tevens heeft dit als voordeel dat er een geen data (t.b.v. rapportages) verloren gaat.
VRAGEN
Gesteld door: Vraag: Antwoord:
Els BarnasW1612 002, wat is daarmee gebeurt, wat valt hier te verwachten.
Open, terugkoppelling volgt binnen de SIG.
Els Barnas Wat is er bepaald in de Contracten SIG (ten behoeve van verwijderen)
Open, terugkoppelling volgt binnen de SIG.
AGENDA SIG GDPR
Datum: Agenda:
SIG sessie 1 16-1-2018- Introductie- Scope bepaling
SIG sessie 2 14-2-2018- Terugkoppeling verzoeken
vanuit cegeka-dsa- Verdiepingsslag
SIG sessie 3 Voorstel volgt middelsdatumprikker.
SIG sessie 4
W W W . C E G E K A - D S A . C O M
linkedin.com/company/cegeka-dsa
@cegekadsa [email protected]
Bastion 4
3905 NJ Veenendaal