sig - gdpr & avg...o de ap en avg zegt dat het in een elektronisch formaat aangeleverd dient te...

SIG - GDPR & AVG

cegeka-dsa

FEBRUARI, 2018

GDPR & AVGSPECIAL INTEREST GROUP

cegeka-dsa

AGENDATERUGBLIK

WELKOM

PLANNING SIG

STATUS UPDATE

TerugblikBijeenkomst 16-01-2018

SIG –GDPR

Terugblik Sessie 1 – SIG GDPR

BEHANDELDE ONDERWERPEN

• Scope bepaling SIG GDPR

• Security

• Security guideline cegeka-dsa

• PENTEST

• Kwetsbaarheden onderzoek

• TPM (third party mededeling) voor klanten

• Data annonimisering

• Vraagstukken en verzoeken WoonDynamics

Status verzoeken:WoonDynamics Interest Group

Dynamics Empire AVG ProofHoe kan Cegeka garanderen dat DE en alle aanverwante producten AVG/GDPR proof

zijn?

Classificatie:

ToelichtingOns inziens is Dynamics Empire compliant aan de AVG te gebruiken, deze SIG is bedoeld om dit te valideren en de wensen t.a.v. gebruikersgemak te inventariseren.

VervolgafsprakenDe volgende vragen/verzoeken hebben hebben zowel direct als indirect raakvlak met deze vraag.

Referentie: 01

Wens Noodzaak Vraag Buiten scope

Optionele velden die conflicteren met

‘doelbinding’.Wat gebeurt er met velden zoals BSN nummer in DE?

Classificatie:

ToelichtingOndanks de AVG zijn er klanten die het veld ‘BSN nummer’ nog gebruiken, dit is betreft een optioneel veld.

Vervolgafsprakeno cegeka-dsa zorgt er voor dat het veld

BSN-nummer vanaf Dynamics Empire R18 niet meer zichtbaar is (by default).

o WoonDynamics toetst of er nog meer velden 'uitgeschakeld' dienen te worden.

Referentie: 02


Anoniem TestenWat gaat cegeka-dsa doen aan

anoniem testen?

Classificatie:

Toelichting• cegeka-dsa test enkel met dummy data in haar

development straat.

• In projecten wordt data input geleverd door de klant.

• cegeka-dsa werkt aan nieuwe module, die afgenomen kan worden t.b.v. data anonimisering.

Vervolgafspraken Beantwoord.

Referentie: 03


AutorisatiesRechten binnen het DMS

Classificatie:

ToelichtingHet huidige DMS zal door corporaties opgeschoond moeten worden. Tevens dienen rechten aan documenten gekoppeld te worden, zodat middels het rechtenschema bepaald kan worden welke documenten wel en welke niet zichtbaar zijn voor “iedereen”.

VervolgafsprakenMogelijkheden in het huidige DMS worden gedemonstreerd in sessie 2 van de SIG.

Referentie: 04


INSTRUCTIE: DMS OPSCHONING

HET HUIDIGE DMS ZAL DOOR CORPORATIES OPGESCHOOND MOETEN WORDEN

• Opschonen:

Dit kan het beste gedaan worden op basis van zoekschermen. In deze zoekschermen kunnen diverse criteria meegeven worden. Het totale resultaat

kan verwijderd worden. (De documenten mogen niet in werkstroom actief zijn of in behandeling zijn). Daarna kan het document definitief verwijderd

uit de DMS Prullenbak.

Op de zoekschermen zijn rechten te zetten zodat bijvoorbeeld alleen de …. Functionaris deze schermen mag gebruiken en het zoekresultaat (de

documenten) kan verwijderen.

Je maakt bijvoorbeeld het zoekscherm AVG_Identiteitsbewijs. Deze levert alle documenten die gearchiveerd zijn met het subonderwerp

identiteitsbewijs. Of het zoekscherm AVG_Inkomensverklaring. Deze levert alle documenten die gearchiveerd zijn met het subonderwerp

inkomensverklaring. etc.

INSTRUCTIE: DMS RECHTEN

DOCUMENTEN KUNNEN EEN BEPAALD RECHT KRIJGEN ZODAT JE DAT MET JE RECHTENSCHEMA BETER KUNT INSTELLEN WELKE DOCUMENTEN WEL EN

WELKE NIET ZICHTBAAR ZIJN VOOR “IEDEREEN”

Rechten instellen:

Op documentniveau kun je rechten uitdelen op het document. Het schema bepaald vervolgens wie die documenten mogen inzien.

Rechtenschema’s zijn dus gekoppeld aan archief, documenten. Tevens kun je ook met condities geautomatiseerd rechten laten zettenop een

document. Bijvoorbeeld als conditie is: Hoofdonderwerp is Inkomensgegevens, dan automatisch het rechtenschema: Inkomensgegevens.

Een gebruiker zit in een rechtengroep met 1 of meerdere rechtenschema. Dat bepaalt dus ook wat de gebruiker wel of niet mag zien.

INSTRUCTIE: DMS RECHTEN

Bewaartermijnen & Dataclassificatie

Dataclassificatie en hanteren van bewaartermijnen in DMS?

Classificatie:

ToelichtingDMS voorziet momenteel op het vlak van registratie van bewaartermijnen, echter ontbreekt handhaving/rapportage.

Vervolgafsprakencegeka-dsa geeft een presentatie t.a.v. de beoogde oplossingsrichting in sessie 2 van de SIG.

Referentie: 05


Bewaartermijnen & Dataclassificatie

Notulen bijeenkomst 16-01-2018

o Eigen haard geeft aan dat er sprake is van relatieve bewaartermijnen. Als

voorbeeld, voor de inkomens verklaring, gaat de bewaartermijn lopen op het

moment dat het contract wordt getekend.

o Gezamenlijk zal worden gekeken naar de wensen omtrent handhaving en

rapportage met betrekking tot bewaartermijnen. Dit alles op basis van de door

de Verantwoordelijke vastgestelde bewaartermijnen voor de betreffende

persoonsgegevens.

o Er is een RFC dat inkomensgegevens in 1 druk op de knop volledig worden

verwijderd uit de gegevens van de betreffende huurder.

DEMOTed Ober

cegeka-dsa

Security DEHoe wordt de

internetbeveiliging en/of algehele beveiliging verbeterd

(portalen/webclient), MFA (Multi Factor Authentication)?

Classificatie:

ToelichtingMulti factor authenticatie vanuit Azure beidt mogelijkheden om Multi-factor authenticatie in te richten. Deze inrichting stelt echter eisen aan de IT infrastructuur (o.a. ADFS) en randapplicaties. Tevens zal de werking met de Apps en Portalen verder getoetst moeten worden.

VervolgafsprakenBeknopte presentatie t.a.v. de mogelijkheden op het vlak van security zal gegeven worden in sessie 3 van de SIG.

Referentie: 06


AutorisatiesRechten in DE, gekoppeld aan rollen, waarbij bijvoorbeeld

leefbaarheid, WRB of de klant registraties niet voor anderen dan de direct betrokkenen te

benaderen (lezen) zijn.

Classificatie:

Toelichting

Vervolgafsprakencegeka-dsa geeft een presentatie t.a.v. de beoogde oplossingsrichting in sessie 2 van de SIG.

Referentie: 07


Autorisaties

Notulen bijeenkomst 16-01-2018

o In ERP is aan een persoon een machtigingsset toegewezen. Je kan hier tabellen mee

afschermen, tevens zaken op het scherm afschermen.

o Zichtbaarheid, dit is om technische redenen op dit moment nog niet in de applicatie

ingebouwd. Dit wordt op dit moment onderzocht. Lezen kan dus al afgegrendeld worden

met 2-control, het wel of niet zichtbaar moet nog ingebouwd worden.

o Je kan met rechten en met indirecte rechten diverse zaken regelen. Volgende SIG zal Ted

Ober tonen/aangeven wat met lezen en zichtbaarheid bedoeld wordt

DEMOTed Ober

cegeka-dsa

Data uitwisselingUitwisseling met derden

ondersteunen met daarop toegespitste standaard

rapporten (PO aannemers, deurwaarder, drukker van bewonersblad, gemeente inzake woonfraude, vroeg

signalering huurschuld, etc.)

Classificatie:

Toelichtingt.a.v. Datauitwisseling; er is een verschil tussen wat de gebruiker mag inzien en wat de gebruiker mag exporteren. Hier is dus een beperkte export gewenst. Het onderwerp is niet zozeer AVG gerelateerd maar meer een gebruikersgemak. Hiermee zorg je wel dat de kwetsbaarheid van de corporatie minder is.

VervolgafsprakenExport mogelijkheden zijn niet per rol te limiteren.

Referentie: 08


Registratie bijzonderepersoonsgegevens

Bijzondere persoonsgegevens kunnen voor leefbaarheid en

woonruimteverdeling wezenlijke beslispunten inhouden. Om de

registratie van bijzondere persoonsgegevens te voorkomen,

maar toch de voor een beslissing/keuze belangrijke informatie

te behouden, zou via vaste tabellen een functionele vertaling van bepaalde bijzondere persoonsgegevens kunnen

worden ingebouwd.

Classificatie:

Toelichting

VervolgafsprakenWouter Ding levert voorbeelden aan.

Referentie: 09


Data portabiliteitVoorzien in Dataportabiliteit

Classificatie:

ToelichtingWelke informatie is gewenst in het kader van dataportabiliteit?

Vervolgafsprakeno Data kan geëxporteerd worden. Wat wordt exact bedoeld en welke data

valt hier allemaal onder. Actie SIG leden om dit in kaart te brengen / concreet te maken.

o Corporaties willen een basis set. Die door elke corporatie gebruikt kan worden.

o De AP en AVG zegt dat het in een elektronisch formaat aangeleverd dient te worden, waarbij het vrij in te vullen is welk elektronisch formaat hiervoor gebruikt wordt. Het mag dus zelfs een Wordlink template die een PDF oplevert met daarin de data die gevraagd/gewenst is.

o Vanuit de SIG moet bepaald worden wat er in de standaard geëxporteerd moet worden.

Referentie: 10


Register gegevensverwerkingOndersteuning/voorzien in

een register van gegevensverwerking (van

velden en verwerkers). Door toevoeging van velden in DE

die dit mogelijk maken?

Classificatie:

Toelichting

VervolgafsprakenIn de eerste bijeenkomst van de SIG is besloten dat het register niet in de ERP behoort maar eerder in CRM.

Referentie: 11


Inzagen & verwijderenpersoonsgegevens

Voorzien in middelen om efficiënt en binnen de

gestelde termijn te voorzien in inzage (en evt. wissing) in

persoonsgegevens.

Classificatie:

Toelichting

VervolgafsprakenInzien:

o Welke gegevens dienen gedeeld te worden? (antwoord vanuit SIG)

o Cegeka-dsa ziet het klantportaal als de juiste plek voor deze informatie

Verwijderen:

o Dit is onderdeel van Bewaartermijnen & Dataclassificatie ref. 05

Referentie: 12


VerhuurdersverklaringStandaardiseren

verhuurdersverklaring

Classificatie:

Toelichting

VervolgafsprakenDit wordt door de corporatie(s) verder opgepakt, maakt geen onderdeel uit van de SIG GDPR.

Referentie: 13


Zwarte lijst AVG-proofZwarte lijst formeel AVG-proof

inbouwen in DE (op gelijke wijze als leefbaarheid?)

Classificatie:

Toelichting

VervolgafsprakenDit wordt door de corporatie(s) verder opgepakt, maakt geen onderdeel uit van de SIG GDPR.

Referentie: 14


Bewaartermijnen DEBewaartermijnen gelden ook in DE. (de notities zijn daarbij

een aandachtspunt)

Classificatie:

Toelichting

VervolgafsprakenDit is onderdeel van Bewaartermijnen & Dataclassificatie ref. 05

Referentie: 15


Informatie t.b.v. verschillendedoeleinden.

Je hebt het mailadres van de huurder, maar deze huurder wil wel mail voor …., maar niet voor wijk informatie. Dus het ene doel wel en het andere doel niet.

Classificatie:

Toelichting

VervolgafsprakenInzien:

o SIG: Is het gewenst om dit in NAV te registreren of moet dit in CRM of in een extern pakket geregistreerd worden?

o Ted zal de volgende SIG sessie toelichten welke mogelijkheden NAV hierin biedt.

o Referentie: 16


VRAGEN

Gesteld door: Vraag: Antwoord:

Roland Sweigl

Vanuit security perspectief gaat cegeka-dsa n.a.v. een externe audit een TPM (thirt party medeling) beschikbaar stellen. Vraag: worden hier door cegeka-dsa kosten berekend richting de klanten?

cegeka-dsa komt hier op terug.

Alle deelnemersIs de anonimiseringstool die gemaakt wordt door cegeka-dsa (in samenwerking met DATPROF) ook toepasbaar op andere domeinen?

"Enkel Dynamics Empire suite zit in de scope van cegeka-dsa.

De software van DATPROF biedtmogelijkheden voor andere applicaties. Hiervoor zijn additionele licenties benodigd, cegeka-dsa levert (momenteel) geendienstverlening voor additionele software pakketten."

VRAGEN


Alle deelnemersWanneer wordt de eerste versie van de anonimiseringstool beschikgesteld?

Target datum voor de eerste versie van de anonimiseringstool is medio April 2018. Eerste test resultaten vanuit cegeka-dsa, zien er positief uit qua doorlooptijd en performance.

Alle deelnemersIs het mogelijk om binnen Dynamics Empire door middel van 1 druk op de knop een persoon in totaliteit met alle gekoppelde informatie te verwijderen?

In de huidige versie is dit niet mogeljk, de Dynamics Empire database is niet in totaliteit een relationele database. Er zijn meerdere (handmatige) acties benodigd om persoonsgegevens te verwijderen.

Gezien dit feit gaat data niet verwijderd worden maar geanonimiseerd worden. Tevens heeft dit als voordeel dat er een geen data (t.b.v. rapportages) verloren gaat.

VRAGEN


Els BarnasW1612 002, wat is daarmee gebeurt, wat valt hier te verwachten.

Open, terugkoppelling volgt binnen de SIG.

Els Barnas Wat is er bepaald in de Contracten SIG (ten behoeve van verwijderen)

Open, terugkoppelling volgt binnen de SIG.

PRIVACY BY DESIGNTed Ober

cegeka-dsa

AGENDA SIG GDPR

Datum: Agenda:

SIG sessie 1 16-1-2018- Introductie- Scope bepaling

SIG sessie 2 14-2-2018- Terugkoppeling verzoeken

vanuit cegeka-dsa- Verdiepingsslag

SIG sessie 3 Voorstel volgt middelsdatumprikker.

SIG sessie 4

W W W . C E G E K A - D S A . C O M

linkedin.com/company/cegeka-dsa

@cegekadsa [email protected]

Bastion 4

3905 NJ Veenendaal

sig - gdpr & avg...o de ap en avg zegt dat het in een elektronisch formaat aangeleverd dient te...

Documents