SIG - GDPR & AVG...De SIG zal zich concentreren op product optimalisatie t.a.v. wensen, vereiste en...
Transcript of SIG - GDPR & AVG...De SIG zal zich concentreren op product optimalisatie t.a.v. wensen, vereiste en...
SIG - GDPR & AVG
cegeka-dsa
JANUARI, 2018
GDPR & AVGSPECIAL INTEREST GROUP
cegeka-dsa
AGENDA: SCOPE SIG
WELKOM
PLANNING
SECURITY
PUNTEN WD
SCOPE SIG
SCOPESIG – AVG / GDPR
IN SCOPE:
• Optimalisatie Dynamics Empire
– Product
– Standaard inrichting
– Security maatregelen
– Dynamics Empire R16*, R17 & R18
• Additionele dienstverlening
– Data anonimisering
– Consultancy
De SIG zal zich concentreren op product optimalisatie t.a.v. wensen, vereiste en vragen m.b.t. de privacy wetgeving (AVG/GDPR). Het primaire doel is om het gebruiksgemak van Dynamics Empire in relatie tot GDPR compliancy te verhogen.
BUITEN SCOPE:
• Klant specifieke aspecten
– Specifieke inrichting
– Contracten / Vewerkersovereenkomsten
• Dynamics Empire < R16
* Afhankelijk van de impact van de betreffende wijziging zal worden bepaald welke worden toegepast op de R16.
SECURITY
Security guideline cegeka-dsa
- NAV security conventie van Microsoft wordt gevolgd
- Testen gebaseerd op de OWASP top-10
EXTERNE SECURITY AUDIT
- Kwetsbaarheden onderzoek
- PENTEST
- TPM (third party mededeling) voor klanten
Additionele dienstverlening
DATA ANONIMISERING
- Cegeka-dsa test (intern) altijd met dummy data.
- In projecten wordt data input geleverd door de klant.
- Cegeka-dsa werkt aan een nieuwe module ter ondersteuning van de
verantwoordelijke t.a.v. het anonimiseren van data in Dynamics Empire.
CONSULTANCY
- Ondersteuning inrichten autorisaties.
- Advies / wijzigen bestaande (klant specieke) inrichting.
VerzoekenWoonDynamics Interest Group
05 Bewaartermijnen & DataclassificatieDataclassificatie en hanteren van bewaartermijnen in DMS?
06 Algehele Security DEHoe wordt de internetbeveiliging en/of algehele beveiliging verbeterd (portalen/webclient), MFA (Multi Factor Authentication)?
03 Anoniem TestenWat gaat Cegeka doen aan anoniem testen?
04 AutorisatiesRechten binnen het DMS
01 Dynamics Empire AVG ProofHoe kan Cegeka garanderen dat DE en alle aanverwante producten AVG/GDPR proofzijn?
02 Optionele velden die conflicteren met ‘doelbinding’.Wat gebeurt er met velden zoals BSN nummer in DE?
VerzoekenBron: WoonDynamics
10 Data portabiliteitVoorzien in Dataportabiliteit.
11 Register gegevensverwerkingOndersteuning/voorzien in een register van gegevensverwerking (van velden en verwerkers). Door toevoeging van velden in DE die dit mogelijk maken?
09 Registratie bijzondere persoonsgegevensBijzondere persoonsgegevens kunnen voor leefbaarheid en woonruimteverdeling wezenlijke beslispunten inhouden. Om de registratie van bijzondere persoonsgegevens te voorkomen, maar toch de voor een beslissing/keuze belangrijke informatie te behouden, zou via vaste tabellen een functionele vertaling van bepaalde bijzondere persoonsgegevens kunnen worden ingebouwd.
07 AutorisatiesRechten in DE, gekoppeld aan rollen, waarbij bijvoorbeeld leefbaarheid, WRB of de klant registraties niet voor anderen dan de direct betrokkenen te benaderen (lezen) zijn.
08 Data uitwisselingUitwisseling met derden ondersteunen met daarop toegespitste standaard rapporten (PO aannemers, deurwaarder, drukker van bewonersblad, gemeente inzake woonfraude, vroeg signalering huurschuld, etc.)
VerzoekenBron: WoonDynamics
14 Zwarte lijst AVG-proofZwarte lijst formeel AVG-proofinbouwen in DE (op gelijke wijze als leefbaarheid?)
15 Bewaartermijnen DEBewaartermijnen gelden ook in DE. (de notities zijn daarbij een aandachtspunt)
12 Inzagen & verwijderenpersoonsgegevensVoorzien in middelen om efficiënt en binnen de gestelde termijn te voorzien in inzage (en evt. wissing) in persoonsgegevens.
13 VerhuurdersverklaringStandaardiseren verhuurdersverklaring
VerzoekenBron: WoonDynamics
Dynamics Empire AVG ProofHoe kan Cegeka garanderen dat DE en alle aanverwante producten AVG/GDPR proof
zijn?
Classificatie:
Toelichting:Naar ons inziens is Dynamics Empire compliant aan de AVG te gebruiken, deze SIG is bedoeld om dit te valideren en de wensen t.a.v. gebruikersgemak te inventariseren.
Vervolgafspraken:
Referentie: 01
Wens Noodzaak Vraag Buiten scope
Optionele velden die conflicteren met
‘doelbinding’.Wat gebeurt er met velden zoals BSN nummer in DE?
Classificatie:
Toelichting:Ondanks de AVG zijn er klanten die het veld ‘BSN nummer’ nog gebruiken, dit is betreft een optioneel veld. Oplossingsrichting die nader onderzocht wordt; veld verbergen middels profielen.
Vervolgafspraken:
Referentie: 02
Wens Noodzaak Vraag Buiten scope
Anoniem TestenWat gaat Cegeka doen aan
anoniem testen?
Classificatie:
Toelichting:• cegeka-dsa test enkel met dummy data in haar
development staart.
• In projecten wordt data input geleverd door de klant.
• Cegek-dsa werkt aan nieuwe module, die afgenomen kan worden t.b.v. data anonimisering.
Vervolgafspraken:
Referentie: 03
Wens Noodzaak Vraag Buiten scope
AutorisatiesRechten binnen het DMS
Classificatie:
Toelichting:Verdere toelichting is noodzakelijk.
Vervolgafspraken:
Referentie: 04
Wens Noodzaak Vraag Buiten scope
Bewaartermijnen & Dataclassificatie
Dataclassificatie en hanteren van bewaartermijnen in DMS?
Classificatie:
Toelichting:DMS voorziet momenteel op het vlak van registratie van bewaartermijnen, echter ontbreekt handhaving/rapportage.
Vervolgafspraken:
Referentie: 05
Wens Noodzaak Vraag Buiten scope
Algehele Security DEHoe wordt de
internetbeveiliging en/of algehele beveiliging verbeterd
(portalen/webclient), MFA (Multi Factor Authentication)?
Classificatie:
Toelichting:Multi factor authenticatie vanuit Azure beidt mogelijkheden om multifactor authenticatie in te richten. Deze inrichting stelt echter eisen aan de IT infrastractuur (o.a. ADFS) en randapplicaties. Tevens zal de werking met de Apps en Portalen verder getoetst moeten worden.
Vervolgafspraken:
Referentie: 06
Wens Noodzaak Vraag Buiten scope
AutorisatiesRechten in DE, gekoppeld aan rollen, waarbij bijvoorbeeld
leefbaarheid, WRB of de klant registraties niet voor anderen dan de direct betrokkenen te
benaderen (lezen) zijn.
Classificatie:
Toelichting:
Vervolgafspraken:
Referentie: 07
Wens Noodzaak Vraag Buiten scope
Data uitwisselingUitwisseling met derden
ondersteunen met daarop toegespitste standaard
rapporten (PO aannemers, deurwaarder, drukker van bewonersblad, gemeente inzake woonfraude, vroeg
signalering huurschuld, etc.)
Classificatie:
Toelichting:
Vervolgafspraken:
Referentie: 08
Wens Noodzaak Vraag Buiten scope
Registratie bijzonderepersoonsgegevens
Bijzondere persoonsgegevens kunnen voor leefbaarheid en
woonruimteverdeling wezenlijke beslispunten inhouden. Om de
registratie van bijzondere persoonsgegevens te voorkomen,
maar toch de voor een beslissing/keuze belangrijke informatie
te behouden, zou via vaste tabellen een functionele vertaling van bepaalde bijzondere persoonsgegevens kunnen
worden ingebouwd.
Classificatie:
Toelichting:
Vervolgafspraken:
Referentie: 09
Wens Noodzaak Vraag Buiten scope
Data portabiliteitVoorzien in Dataportabiliteit.
Classificatie:
Toelichting:Welke informatie is gewenst in het kader van dataportabiliteit?
Vervolgafspraken:
Referentie: 10
Wens Noodzaak Vraag Buiten scope
Register gegevensverwerkingOndersteuning/voorzien in
een register van gegevensverwerking (van
velden en verwerkers). Door toevoeging van velden in DE
die dit mogelijk maken?
Classificatie:
Toelichting:
Vervolgafspraken:
Referentie: 11
Wens Noodzaak Vraag Buiten scope
Inzagen & verwijderenpersoonsgegevens
Voorzien in middelen om efficiënt en binnen de
gestelde termijn te voorzien in inzage (en evt. wissing) in
persoonsgegevens.
Classificatie:
Toelichting:
Vervolgafspraken:
Referentie: 12
Wens Noodzaak Vraag Buiten scope
VerhuurdersverklaringStandaardiseren
verhuurdersverklaring
Classificatie:
Toelichting:
Vervolgafspraken:
Referentie: 13
Wens Noodzaak Vraag Buiten scope
Zwartelisst AVG-proofZwarte lijst formeel AVG-proof
inbouwen in DE (op gelijke wijze als leefbaarheid?)
Classificatie:
Toelichting:
Vervolgafspraken:
Referentie: 14
Wens Noodzaak Vraag Buiten scope
Bewaartermijnen DEBewaartermijnen gelden ook in DE. (de notities zijn daarbij
een aandachtspunt)
Classificatie:
Toelichting:
Vervolgafspraken:
Referentie: 15
Wens Noodzaak Vraag Buiten scope
PLANNING
Agenda SIG GDPR
Datum: Agenda:
SIG sessie 1 16-1-2018 - Introductie- SCOPE bepaling
SIG sessie 2Datumprikker volgt streef
datum week 6(voorstel)
- Terugkoppeling verzoeken vanuit cegeka-dsa
- Verdiepingsslag- Realisatie plan
SIG sessie 3 (voorstel)
W W W . C E G E K A - D S A . C O M
linkedin.com/company/cegeka-dsa
@cegekadsa [email protected]
Bastion 4
3905 NJ Veenendaal