Posts By: ClientAdmin

Geen focus op toezicht bij functionaris databescherming

Geen focus op toezicht bij functionaris databescherming

Posted on by in Nieuws with no comments

Uit onderzoek van het Centrum Informatiebeveiliging en Privacybescherming (CIP) blijkt dat het merendeel van de Nederlandse functionarissen gegevensbescherming (FG’s) zich vooral bezighoudt met advies en begeleiding. Ze geven mindere mate invulling aan hun toezichthoudende verantwoordelijkheid.

Het onderzoek, een digitale enquête, vond eind augustus plaats onder ruim 215 FG’s waarbij werd gevraagd naar hun werk en functioneren. Onder hen werkt 82% bij een overheid gerelateerde-organisatie. Qua achtergrond is 93% hoogopgeleid (hbo/wo-niveau), waarvan ruim de helft een juridische opleiding heeft. Ook heeft 78 % al ruim tien jaar werkervaring.

De meeste FG’s rapporteren, in de rol van senior medewerker, rechtstreeks aan een bestuur of algemeen directeur. Hierbij ontvangen ze voldoende ondersteuning vanuit bestuurders, maar 94% van de FG’s geeft aan niet te beschikken over structureel budget. De functie wordt veelal op deeltijdbasis uitgevoerd.

AVG
Vanuit de AVG worden de functionarissen geacht ‘professioneel, deskundig en onafhankelijk’ te zijn. De onafhankelijke positie lijkt volgens het onderzoek goed te lukken. Aan de deskundigheid wordt vanuit de AVG geen specifieke eisen gesteld, iets dat geldt voor zowel de beroepsregistratie als voor de beschikbare opleidingen. De professionaliteit kan breed worden ingevuld. Veel FG’s hebben daarom één of meer medewerkers waarmee ze nauw samenwerken. In het verlengde hiervan blijkt er binnen de beroepsgroep grote behoefte te bestaan aan onderling contact, intervisie en sparren.

Externe ondersteuning zoeken de ge-enquêteerden vooral bij het CIP en de Informatiebeveiligingsdienst (IBD). De ondersteuning vanuit de Autoriteit Persoonsgegevens (AP) wordt belangrijke gevonden, maar blijkt voor verbetering vatbaar: 45% vindt de website van de AP te weinig informatief en slechts 17% is van mening dat vragen adequaat worden afgehandeld.

Bron: https://www.computable.nl/artikel/nieuws/management/6525876/250449/functionaris-gegevensbescherming-focust-op-advies.htm

Autoriteit Persoonsgegevens legt UWV een last onder dwangsom op!

Autoriteit Persoonsgegevens legt UWV een last onder dwangsom op!

Posted on by in Nieuws with no comments

Op 30 oktober maakte de Autoriteit Persoonsgegevens (AP) bekend, dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom krijgt van 150.000 euro per maand met een maximum van 900.000, voor het onvoldoende beveiligen van gezondheidsgegevens.

Uiterlijk 31 oktober 2019 dient het UWV het beveiligingsniveau van zijn portaal op orde te hebben. Indien dit wordt verzaakt, moet het UWV deze dwangsom betalen.

Bron: https://www.privacy-web.nl/nieuws/ap-dwingt-uwv-met-sanctie-gegevens-beter-te-beveiligen

VIAG congres 2018 – 5 en 6 november

VIAG congres 2018 – 5 en 6 november

Posted on by in Events with no comments

Key2Control is aanwezig op het VIAG congres 2018 op 5 en 6 november. Wij presenteren onze totaal vernieuwde GRC applicatie en introduceren een aantal noviteiten zoals het archiveringsmanagement systeem KIDO  dat in lijn met het reeds bekende ISMS en DPMS onderdeel uitmaakt van de Informatieveiligheidssuite voor gemeenten. Bij het Data Protection Management Systeem (DPMS) leveren we naast het generieke privacy framework nu ook een compleet privacydossier en de compliancetool voor specifieke verwerkingen.

https://www.viag.nl/activiteiten/congressen/viag-congres-2018

Dag van de Digitale Duurzaamheid | 13 november 2018 Jaarbeurs Utrecht

Dag van de Digitale Duurzaamheid | 13 november 2018 Jaarbeurs Utrecht

Posted on by in Events with no comments

eSpecialisten organiseren op dinsdag 13 november de “Dag van de Digitale Duurzaamheid 2018” in de Mediaplaza van de Jaarbeurs in Utrecht. Het thema van deze editie is: Hoe realiseren we digitaal vertrouwen in onze digitale samenleving?

Tijdens deze dag wordt u meegenomen u mee in nieuwe, innovatieve technologieën (zoals Blockchain) en laat men u zien welke toegevoegde waarde er nu al is voor uw organisatie, uw klanten, uw ketenpartners en uw leveranciers.

Maak kennis met toonaangevende bedrijven en wissel ervaringen uit met collega’s in een fraaie, interactieve setting. Luister naar de beste sprekers, volg Master Classes van experts en sluit af met een gezellige borrel.

Programma

Voor 09:30         Ontvangst en registratie.

09.30 – 10.00    Is Blockchain de oplossing voor digitaal vertrouwen?

10.00 – 10.30    De informatierotonde van Justitie en Veiligheid.

10.30 – 11.00    Ketenautomatisering en eigenaarschap van informatie.

11.00 – 11.30    Pauze

11.30 – 12.15    Parallelronde 1 – Groeipaden in Digitale Duurzaamheid.

11.30 – 12.15    Parallelronde 1 – Serviceformules als leidraad voor het realiseren van innovatieve technologie.

12.15 – 13:00    Lunch

13.00 – 13.45    Praktijkcase eOndertekenen met Blockchaintechnologie.

13:45 — 14:30   Parallelronde 2 – E-depot in de praktijk: archiveren van raadsvergaderingen en

13:45 — 14:30   Parallelronde 2 – Vergunningen en de nieuwe Omgevingswet met Blockchaintechnologie.

13:45 — 14:30   Parallelronde 2 – Afspraken over informatievoorziening met ketenpartners door de gemeente Borne.

14:30 — 15:00   Koffie, thee en bezoek informatiemarkt

15:00 — 15:45   Parallelronde 3 – Presentatie KIDO (Kwaliteitssysteem Informatiebeheer Decentrale Overheden) door Arie Hartog, Directeur – Key2Control.

15:00 — 15:45 Parallelronde 3 – wordt binnenkort bekend gemaakt.

15:00 — 15:45 Parallelronde 3 – het Sociaal Domein is uitermate geschikt voor de inzet van Blockchaintechnologie.

15:45 — 16:15   Paneldiscussie over digitale duurzaamheid

16:15 — 17:00   Borrel en gelegenheid tot napraten en netwerken

Inschrijven
Deelname aan deze dag kost € 99,- exclusief btw. Het aantal inschrijvingen is beperkt tot 200 personen. U kunt u aanmelden voor de Dag van de Digitale Duurzaamheid 2018 via de website www.dedagvandedigitaleduurzaamheid.nl

 

Lees hier meer over de presenatatie Kwaliteitssystemen Informatiebeheer Decentrale Overheden

Op het gebied van informatieveiligheid hebben veel zaken de aandacht van gemeenten en andere decentrale overheden. Privacy en veiligheid hebben de hoogste prioriteit op dit moment. Informatiebeheer is echter een onmisbare component in het informatieveiligheidsproces en dient dus ook aantoonbaar “In control” te zijn. Het normenkader daarvoor is reeds ontwikkeld in het Kwaliteitssysteem Informatiebeheer decentrale Overheden (KIDO) zoals wettelijk voorgeschreven in Artikel 16 van de Archiefregeling.

Het inrichten (PDCA), monitoren, rapporteren en verantwoorden van het Informatiebeheer proces in de organisatie is echter geen sinecure en vraagt om ondersteunende, software, instrumenten. Key2Control introduceert op de bijeenkomst het Kwaliteitssysteem Informatiebeheer (KI) voor decentrale overheden.

Het Kwaliteitssysteem Informatiebeheer is het derde framework op het gebied van informatieveiligheid dat Key2Control momenteel aanbiedt, naast informatiebeveiliging (ISMS) en Privacy (DPMS en Verwerkingsregister FG). Ruim 60 Nederlandse gemeenten maken inmiddels gebruik van het onlangs geheel vernieuwde software platform van Key2Control voor het borgen van hun informatieveiligheidsprocessen.

Tijdens de presentatie wordt u geïnformeerd over het inrichten van het KIDO normenkader in een PDCA cyclus die synchroon loopt met de P&C cyclus van uw organisatie. Verder krijgt u informatie over het betrekken van de medewerkers in uw organisatie bij de uitvoering van het informatiebeheer proces en hoe u met behulp van inzicht in het proces de benodigde beheersactiviteiten kunt borgen en monitoren. Rapporteren en verantwoorden zijn dan het sluitstuk van het proces.

Controles op naleving AVG

Controles op naleving AVG

Posted on by in Nieuws with no comments

Sinds 25 mei 2018 geldt de AVG (Algemene Verordening Gegevensbescherming), deze wet verplicht bedrijven maar ook individuen om correct met persoonsgegevens om te gaan.

De AP (Autoriteit Persoonsgegevens) is de Nederlandse gegevensbeschermingsautoriteit die is aangesteld om toezicht te houden op het verwerken van persoonsgegevens. Onlangs is de AP begonnen met controles op de AVG naleving. De eerste pijlen werden gericht op overheidsorganisaties, maar sinds juli worden ook de private sectoren gecontroleerd. Hieronder wordt ingegaan op de aspecten waarop de AP zich primair lijkt te richten.

Functionaris voor de Gegevensbescherming
Overheidsinstanties en publieke organisaties waren verplicht om voor 25 mei jl. een FG (Functionaris voor de Gegevensbescherming ) aan te stellen, ongeacht het type gegevens dat ze verwerken. Deze functionaris ziet er intern op toe dat de regels uit de AVG worden nageleefd en fungeert als aanspreekpunt voor toezichthouder. De AP controleerde 400 overheidsorganisaties op het aanstellen van een FG. Uit de controle bleek dat minder dan 4% ‘mogelijk’ geen FG heeft aangesteld. Deze organisaties zijn schriftelijk verzocht om een eventueel aangestelde FG alsnog aan te melden voor een bepaalde datum. Blijft een aanmelding uit, dan kan de AP overgaan tot het opleggen van een sanctie.

Register van Verwerkingsactiviteiten
In dit register staat beschreven welke persoonsgegevens worden opgeslagen voor welke doeleinden en wie de verwerkingsverantwoordelijke is. In de private sector is de AP in Juli begonnen aan een willekeurige steekproef onder dertig grote organisaties, waarbij ze controleren of deze organisaties een register van verwerkingsactiviteiten bijhouden.

Het bijhouden van een dergelijk register is verplicht voor organisaties met meer dan 250 medewerkers. De uitkomsten van deze controles zijn nog niet gekend.

Klachten
Sinds 25 mei jl. bestaat voor iedereen het recht om een klacht in te dienen bij de AP over het gebruik van zijn/haar persoonsgegevens. Het blijkt dat de AP in een tijdsbestek van een dikke maand ruim 600 klachten ontving over de verwerking van hun persoonsgegevens. Uit een analyse van de eerste 400 klachten blijkt dat:

  • 77% gaat over het niet (volledig) gehoor geven aan een verzoek om verwijdering.
  • 18% gaat over de verstrekking van gegevens aan derden.
  • 5% gaat over inzageverzoeken.

Bijna 90% van de klachten gaat over bedrijven, de rest over overheidsinstanties. De AP heeft alle klachten in behandeling en zal twee keer per jaar rapporteren over de wijze waarop de klachten zijn afgehandeld.

 

Bron: Privacy Web

Problemen bij project voor verbeteren informatieveiligheid

Problemen bij project voor verbeteren informatieveiligheid

Posted on by in Nieuws with no comments

ENSIA is een gezamenlijk project van de VNG, gemeenten en verschillende ministeries. Het project streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid.

ENSIA wordt sinds 1 juli 2017 door verschillende Nederlands gemeenten (WAAR/DOOR WIE) gebruikt om efficiënter te werken. Zes bestaande verantwoordingsprocedures – voor DigiD, de Basisregistratie Personen, de PUN, de BAG, de BGT en Suwinet – werden gebundeld. Gemeenten vullen jaarlijks een zelfevaluatielijst in om zo in één keer verantwoording af te leggen over het gebruik van zes systemen.

Accountantsbureau BDO, dat bij meerdere gemeenten actief is, schreef een rapport naar aanleiding van de recente ervaringen. Hieruit blijkt dat het bewustzijn van én de organisatie rondom informatieveiligheid bij gemeenten fors is toegenomen. Maar dat de verwachte efficiëntieverbetering nog niet is gehaald.

Dit komt doordat het belang van informatieveiligheid nog moet doordringen tot alle werknemers. Medewerkers mijden vaak nog de eigen verantwoordelijkheid. Zoals een medewerker die even wegloopt van zijn pc zonder deze te vergrendelen. Een cultuuromslag is dus nodig om de meerwaarde van ENSIA in te zien.

Daarnaast zijn procedures binnen gemeenten vaak nog versnipperd, waardoor het verzamelen van bewijsstukken voor een audit veel werk en tijd kost.

Volgens BDO zijn het geen onoverkomelijke problemen. In het rapport staan enkele suggesties om problemen te verhelpen:

  • draag het thema breder uit in de organisatie, zodat iedereen zich met het verbeteren van informatieveiligheid bezighoudt;
  • zorg voor eenduidig beleid en eenduidige procedures; en gebruik ENSIA niet alleen om aan verplichtingen te voldoen, maar zie het als een instrument tot verbetering.

Lees het volledige artikel.

Functionaliteitsvergelijking iNavigator en Key2Control

Functionaliteitsvergelijking iNavigator en Key2Control

Posted on by in Nieuws with no comments

Voor een gemeente in Noord-Nederland is door Peter Tak van Privacy Concepts een korte vergelijking gedaan van de verwerkingsregisters van Key2control en iNavigator. Hierbij is met name gekeken naar het voldoen aan de wettelijke verplichtingen vanuit de AVG en de efficiëntie bij het vullen en onderhouden van het register.

De tekst van het vergelijkend onderzoek vindt u hier. Een overzicht van de onderzochte functionaliteiten kunt hier u vinden.

Conclusie

Beide registers kunnen voldoen aan de minimale wettelijke eisen die de AVG stelt.

Key2control

Het register van Key2control is een gespecialiseerd verwerkingsregister. Het kent aparte velden  voor alle wettelijk verplichte taken en voor een groot aantal optionele zaken die te maken hebben met het registreren van gegevensverwerkingen. Daarop kunt u ook allerlei selecties maken.

Hiermee zijn alle voor een gegevensverwerking relevante zaken vanuit één systeem inzichtelijk.

Daarnaast biedt het de mogelijkheid om zelf het niveau van detaillering te bepalen doordat u zelf de standaardwaarden voor categorieën gegevens kunt aanpassen. Door de wizard-gebaseerde invoer is duidelijk welke informatie vereist is. Met de ingebouwde controle op de wettelijk verplichte informatie en het verlopen van verwerkingsovereenkomsten is in één oogopslag te zien waar u nog niet voldoet aan de registratieverplichtingen. Door de uitgebreide rapportages kunt u veel eenvoudiger voldoen aan inzageverzoeken. Burgers kunnen vanaf april 2018 zelf zien welke verwerkingen u doorvoert in het openbare deel van het register.

iNavigator

Het register van iNavigator is integraal onderdeel van het DSP model met gemeentelijke procesbeschrijvingen en is hier binnen in feite een eenvoudig formulier. Veel informatie moet u in algemene velden opnemen waardoor deze niet makkelijk terug te vinden is en u er geen selecties op kunt maken. U zult een duidelijk proces en externe checklist moeten gebruiken om ervoor te zorgen dat alle verplichte informatie ook geregistreerd wordt. Ook verwerkings- en verstrekkings- overeenkomsten zult u buiten het systeem moeten registreren. Voor een volledig overzicht van een gegevensverwerking zult u dus informatie uit verschillende systemen moeten combineren.

Daarnaast zullen degenen die belast zijn met het bijhouden van het register ook de autorisatie moeten hebben om de beschrijvingen van de processen in het DSP model aan te passen en dienen de informatiearchitecten die het DSP model beheren, er rekening mee te houden dat wijzigingen die zij hierin doen, direct doorwerken in het verwerkingsregister. Het is in dit geval essentieel dat er duidelijke afspraken worden gemaakt en dat er onderlinge afstemming tussen de privacy officer en de informatiearchitect plaatsvindt bij wijzigingen in het model DSP.

Gemeenten zetten vaart achter hun privacy aanpak. “100e gemeente aangemeld op verwerkingsregister FG van Key2Control”.

Gemeenten zetten vaart achter hun privacy aanpak. “100e gemeente aangemeld op verwerkingsregister FG van Key2Control”.

Posted on by in Nieuws with Reacties uitgeschakeld voor Gemeenten zetten vaart achter hun privacy aanpak. “100e gemeente aangemeld op verwerkingsregister FG van Key2Control”.

Vandaag, 21 februari 2018, heeft zich de 100e gemeente aangemeld op het verwerkingsregister FG van Key2Control. Al direct sinds de start van het verwerkingsregister in september 2017 is de interesse van Nederlandse gemeenten, overheden en bedrijven in het register groot.

Vanaf de jaarwisseling neemt de interesse zelfs exponentieel toe en dan vooral bij gemeenten. Volgens de heer Arie Hartog, directeur van Key2Control, is deze ontwikkeling niet echt verrassend.

“Gemeenten zijn momenteel in een snel tempo bezig hun organisatie aan te passen om per 25 mei te voldoen aan de eisen van de AVG”

Dit betekent in de praktijk dat men nu vooral bezig is met het aanstellen van functionarissen gegevensbescherming, het inrichten van een verwerkingsregister FG en het uitvoeren van (D)PIA’s.

De interesse voor het verwerkingsregister FG van key2Control wijdt hij aan de gebruikersvriendelijkheid van de applicatie, de grote hoeveelheid voor de FG belangrijke functionaliteiten en aan het aanbieden van een standaard datastructuur die compliant is met de privacy handreiking van VNG Realisatie. Vanaf 1 maart zal deze dataset structuur uitgebreid worden met inhoud. Daarmee wordt het “klopwerk” voor gemeenten nog verder beperkt.

De applicatie wordt elke drie maanden uitgebreid met nieuwe – standaard- functionaliteiten. De afgelopen maand zijn o.a. 2 factor authenticatie, registreren van datalekken, het kunnen opnemen van PIA-documenten en het ondersteunen van gemeentelijke samenwerkingen toegevoegd. In april zullen functies als het kunnen publiceren van (delen) van de dataset naar de gemeentelijke website, SAML koppelingen en workflow opties opgenomen worden.

Nieuwe functionaliteiten worden vooral in samenwerking met- en op verzoek van de gemeenten zelf ontwikkeld. Ook dit ziet Hartog als een belangrijke meerwaarde.

Geïnteresseerden kunnen zich hier aanmelden voor een gratis proefaccount of kunnen een mailtje sturen naar [email protected]