FAQ verwerkingsregister FG

Releasenotes release v1.1.63 20 mei 2018

Alle versies:

  • Sortering selectielijsten op alfabet
  • Spitsing organisatie instellingen in verschillende tabbladen
  • Verschillende spelfouten opgelost
  • Onderscheid tussen eigenaren en contactpersonen van verwerkingen en applicaties duidelijker gemaakt
  • Dashboard gescheiden van lijst met verwerkingen
  • Samenvatting verwerkingen verbeterd
  • Optie 2FA reset via e-mail toegevoegd
  • Ondersteuning voor IP ranges in IP adres restricties
  • Ondersteuning voor item namen langer dan 60 karakters
  • Wachtwoord reset verbeterd
  • Email opmaak aangepast zodat deze er ook in outlook 2010 normaal uitziet
  • PDF export (samenvatting of hele verwerking) vanuit de verwerking
  • Excel export alle velden van een selectie van verwerkingen via inzicht module
  • Validatie e-mail velden
  • Rechten voor gebruikerstypen via dropdown selectie i.p.v checkboxes
  • Ondersteuning engelse taal
  • Deeplinking naar verwerking ID. (example: /PID/PI-00001)
  • Diverse visuele aanpassingen
  • Verplaatsen vragen over internationale doorgifte van tabblad “besluitvorming” naar “verwerkers en doorgifte derden”

Professional versie

  • API waarmee een publiek deel van het register op de eigen website getoond kan worden
  • Toevoegen optie “Toon in publiek register”
  • Update formulier datalekken in lijn met meldformulier datalekken AP

Enterprise versie

  • Mogelijkheid afdelingen aanmaken en daaraan gebruikers, verwerkingen datalekken etc te koppelen
  • Taken aanmaken en toewijzen
  • Inzageverzoeken registreren en afhandelen d.m.v. rapportages op categorieën van betrokkenen
  • Mogelijkheid voor SAML / ADFS koppeling


In hoeverre gaan jullie deze demoversie nog aanpassen naar aanleiding van mogelijke vragen en opmerkingen die jullie vanuit het land ontvangen.

Elk kwartaal worden er nieuwe releases geïmplementeerd.


In hoeverre is maatwerk mogelijk?

Maatwerk voor één klant is in principe niet mogelijk.

 


In welke talen is de applicatie beschikbaar?

Onze applicatie is momenteel beschikbaar in het Nederlands en in het Engels.


M.b.t. het onderwerp Verwerkingsdoel: hier zijn alleen keuzemogelijkheden (wel zelf aan te maken). Waarom hier geen vrij invulveld om meer tekst kwijt te kunnen?

Als je op het verwerkingsdoel klikt kun je in het extra veld omschrijving een uitgebreidere beschrijving opnemen.


Mij is niet duidelijk wat bij Verstrekkingen kan worden ingevuld.

Verstrekkingen zijn doorgiften aan derden.


Ik mis de mogelijkheid om het volgende te registreren:
Wie welke persoonsgegevens heeft aangeleverd (bijv. betrokkene, BRP, CAK, UWV, zorgverzekeraar etc.). Zou per persoonsgegeven vast te leggen moeten zijn;

Dit kan worden bijgehouden op verwerkingsniveau, niet op gegevenscategorie niveau


De ontvangers van de persoonsgegevens en de mogelijkheid om daarbij de wettelijke grondslag vast te leggen (bijv. toestemming betrokkene, CAK, ministerie etc.). Zou per persoonsgegevens vast te leggen moeten zijn;

Welke persoonsgegevens en wettelijke grondslag voor een doorgifte aan een derde kan in de omschrijving van een doorgifte worden toegevoegd.


Onze interne contactpersoon/verantwoordelijke voor de verwerking (naam, functie, domein en team).

Domein en team moeten in het veld functie geregistreerd worden


Verder ben ik benieuwd naar de rapportagemogelijkheden. Kun je bijvoorbeeld een rapportage genereren die je kunt publiceren op de gemeentelijke website (waarbij eigen keuze welke gegevens je wel en welke je niet publiceert)?

Ja, is mogelijk. Hierin zit ook het zelf selecteren van welke gegevens extern gepubliceerd mogen worden.


Ook zou ik het register nog een keer in willen zien op het moment dat jullie daarin de standaardset (gebaseerd op de handreiking van de VNG/KING) hebben opgenomen. Een uitgebreid gevulde database geeft mij een beter idee van alle mogelijkheden.

We hebben demo registers met bedrijfstak datasets voor gemeenten (GEMMA en inrichting o.b.v. de gemeentelijke taakvelden in de begroting). Binnenkort ook dataset voor ziekenhuizen en GGD’s.


Kan de gemeente haar eigen omschrijvingen/formulering van verwerkingsdoelen importeren waarop vervolgens via een drop down menu alsmede via een vergrootglas op worden gezocht (zoals bij de tool 'Beheer')?

Ja, maar het importeren van data kan alleen door ons worden gedaan)


Kan de gemeente zelf kiezen welke kolommen ze wel/niet in jullie privacy verwerkingsregistratietool wenst op te nemen?

Dit is op dit moment nog niet mogelijk, we hebben het nu genoteerd en zullen het meenemen in de overweging voor nieuwe functionaliteit


Mijn organisatie bestaat uit verschillende dochterondernemingen. Overkoepelend gelden er meerdere gegevensverwerkingen die centraal geregeld worden; zoals personeelsadministratie en IT procedures. Er zijn echter meerdere branches die zelfs in een andere bedrijfstak werken en daardoor eigen verwerkingsovereenkomsten hebben met hun klanten. Zo werkt de consultancy tak met feedback analyses en beoordelingen, terwijl er ook een medische tak met bijzondere gegevens werkt.

Wat is een goede manier is om dit in de applicatie aan te geven. De verantwoordelijken en de verwerkers zijn verschillende dochterondernemingen. Daarnaast zijn er ook nog soms externe verwerkers betrokken zoals MailChimp. Kun je in de applicatie aangeven dat er verschillende ‘sub’ verwerkers zijn?

De huidige versie is primair gericht op de verwerkingsverantwoordelijken. Je kunt hier ook als verwerker prima mee werken maar dan hoef je maar een deel van de informatie in te vullen.

In de Enterprise versie kun je verschillende business units aanmaken die hun eigen verwerkingen beheren terwijl de verwerkingen of holdingniveau voor iedereen zijn in te zien.

Je hebt ook een optie om aan te geven dat je geen verantwoordelijke maar verwerker voor bepaalde verwerkingen bent. Hiermee wordt de informatie die alleen voor de verwerkingsverantwoordelijke van toepassing is, dan verborgen. Je kunt daarbij inderdaad ook subverwerkers aangeven en contracten met deze subverwerkers opgeven.

Is het mogelijk om een gelaagde of samenwerkings organisatie te managen met het verwerkingsregister?

  • In de Enterprise versie (vanaf april) kunnen een centrale organisatie en verschillende sub-organisaties worden gemaakt met elk hun eigen verwerkingen, datalekken en verwerkersovereenkomsten. Dit betreft dan een holding, maar ook samenwerkingen van bijvoorbeeld gemeenten of shared service centers
  • Gebruikers kunnen alleen bij de verwerkingen, datalekken en verwerkersovereenkomsten voor die organisatiedelen waar ze expliciet toegang voor hebben gekregen.
  • Er kan bij een verwerking geselecteerd worden of deze als Verantwoordelijke of als Verwerker wordt geregistreerd. (Als verwerker hoef je veel minder in te vullen)
  • Je kunt de centrale organisatie en de sub-organisaties opvoeren als verantwoordelijke en als verwerker. Hier ben je helemaal vrij in.
  • Verantwoordelijke contactpersonen, bewaartermijnen en categorieën van persoonsgegevens, betrokkenen en ontvangers etc. worden gedeeld door de hele organisatie en kunnen dus door iedereen worden ingezien en aangepast (voor zover de gebruikers de juiste autorisatierol hebben)
  • Willen verschillende door de “centrale” bediende organisaties een verwerking opvoeren met de “centrale” als verwerker dan moet de verwerkersovereenkomst voor elke organisatie apart (met de eigen organisatie als verantwoordelijke) worden opgevoerd. De Centrale moet de verwerking dan binnen haar eigen organisatieonderdeel toevoegen (als verwerker). Het kan dus gewoon maar er is geen hergebruik van de gegevens van verwerkingen, datalekken en verwerkersovereenkomsten tussen de verschillende organisatieonderdelen.

Is in de levering van de optionele dataset VNG alleen de structuur (GEMMA) meegenomen of ook inhoud?

We zijn op de hoogte van de nieuwe inhoud die er vanuit de VNG aankomt. We gaan de complete inhoud van de VNG meeleveren (niet alleen de structuur) als update op de bestaande VNG inhoud of als separate optie. Ik elk geval zullen we de nieuwe inhoud vóór 1 maart aanbieden als gratis update voor iedereen die de dataset VNG afneemt.
Functievergelijking iNavigator en Key2Control

Voor een gemeente in Noord-Nederland is door Peter Tak van Privacy Concepts een korte vergelijking gedaan van de verwerkingsregisters van Key2control en iNavigator. Hierbij is met name gekeken naar het voldoen aan de wettelijke verplichtingen vanuit de AVG en de efficiëntie bij het vullen en onderhouden van het register.

De tekst van het vergelijkend onderzoek vindt u hier. Een overzicht van de onderzochte functionaliteiten kunt hier u vinden.

Conclusie

Beide registers kunnen voldoen aan de minimale wettelijke eisen die de AVG stelt.

Key2control

Het register van Key2control is een gespecialiseerd verwerkingsregister. Het kent aparte velden  voor alle wettelijk verplichte taken en voor een groot aantal optionele zaken die te maken hebben met het registreren van gegevensverwerkingen. Daarop kunt u ook allerlei selecties maken.

Hiermee zijn alle voor een gegevensverwerking relevante zaken vanuit één systeem inzichtelijk.

Daarnaast biedt het de mogelijkheid om zelf het niveau van detaillering te bepalen doordat u zelf de standaardwaarden voor categorieën gegevens kunt aanpassen. Door de wizard-gebaseerde invoer is duidelijk welke informatie vereist is. Met de ingebouwde controle op de wettelijk verplichte informatie en het verlopen van verwerkingsovereenkomsten is in één oogopslag te zien waar u nog niet voldoet aan de registratieverplichtingen. Door de uitgebreide rapportages kunt u veel eenvoudiger voldoen aan inzageverzoeken. Burgers kunnen vanaf april 2018 zelf zien welke verwerkingen u doorvoert in het openbare deel van het register.

iNavigator

Het register van iNavigator is integraal onderdeel van het DSP model met gemeentelijke procesbeschrijvingen en is hier binnen in feite een eenvoudig formulier. Veel informatie moet u in algemene velden opnemen waardoor deze niet makkelijk terug te vinden is en u er geen selecties op kunt maken. U zult een duidelijk proces en externe checklist moeten gebruiken om ervoor te zorgen dat alle verplichte informatie ook geregistreerd wordt. Ook verwerkings- en verstrekkings- overeenkomsten zult u buiten het systeem moeten registreren. Voor een volledig overzicht van een gegevensverwerking zult u dus informatie uit verschillende systemen moeten combineren.

Daarnaast zullen degenen die belast zijn met het bijhouden van het register ook de autorisatie moeten hebben om de beschrijvingen van de processen in het DSP model aan te passen en dienen de informatiearchitecten die het DSP model beheren, er rekening mee te houden dat wijzigingen die zij hierin doen, direct doorwerken in het verwerkingsregister. Het is in dit geval essentieel dat er duidelijke afspraken worden gemaakt en dat er onderlinge afstemming tussen de privacy officer en de informatiearchitect plaatsvindt bij wijzigingen in het model DSP.

Wat houdt de functionaliteit “inzageverzoeken” in?

Met de module “inzageverzoeken afhandelen”  kunt u verzoeken in het kader van artikel 15 van de AVG (recht van inzage) registreren. Deze module is alleen beschikbaar in het “Enterprise” abonnement.

Deze module kan ook gebruikt worden bij het verzamelen van de juiste informatie. Naast het registreren van de contactgegevens van de betrokkenen en de inhoud van het verzoek kunt u hier ook selecteren tot welke categorieën betrokkenen de aanvrager behoort. Indien het register volledig is en alle relevante informatie goed is ingevuld kunt u met een druk op de knop onder het kopje “Exporteer lijst met publieke verwerkingen naar PDF” een rapport genereren met daarop alle verwerkingen waarin gegevens van de geselecteerde categorieën van betrokkenen worden verwerkt.

Daarnaast wordt een lijst met applicaties weergegeven waarin de gegevens zich bevinden. U kunt dan bijvoorbeeld indien gewenst de beheerders van de betreffende applicaties om een kopie van de persoonsgegevens van de aanvrager verzoeken.   In komende releases zal het versturen van een e-mail aan de bij de applicaties opgenomen contactpersonen worden gefaciliteerd.

Taken aanmaken en afhandelen (alleen beschikbaar in de enterprise versie). In de rechter bovenhoek  vindt u een icoontje in  de vorm van 3 balkjes.  (met een rode indicatie van  het aantal openstaande taken)

Hier kunt u naar aan u toegewezen taken of kunt u een nieuwe taak aanmaken en aan een andere gebruiker van het systeem toewijzen. Als u bij het aanmaken van een taak een specifiek item aan het bekijken of bewerken bent wordt er automatisch een link naar dit item aan de taak toegevoegd. U kunt dit uitschakelen door het vinkje bij “Taak betreft huidig geselecteerde item” uit te vinken. U kunt naast een omschrijving van de taak ook een datum toevoegen wanneer de taak uitgevoerd moet zijn. Zodra u op “Wijs toe” klikt zal degene aan wie de taak is toegewezen hiervan een e-mail krijgen.