SIG - GDPR & AVG

cegeka-dsa

JANUARI, 2018

GDPR & AVGSPECIAL INTEREST GROUP

cegeka-dsa

AGENDA: SCOPE SIG

WELKOM

PLANNING

SECURITY

PUNTEN WD

SCOPE SIG

SCOPESIG – AVG / GDPR

IN SCOPE:

• Optimalisatie Dynamics Empire

– Product

– Standaard inrichting

– Security maatregelen

– Dynamics Empire R16*, R17 & R18

• Additionele dienstverlening

– Data anonimisering

– Consultancy

De SIG zal zich concentreren op product optimalisatie t.a.v. wensen, vereiste en vragen m.b.t. de privacy wetgeving (AVG/GDPR). Het primaire doel is om het gebruiksgemak van Dynamics Empire in relatie tot GDPR compliancy te verhogen.

BUITEN SCOPE:

• Klant specifieke aspecten

– Specifieke inrichting

– Contracten / Vewerkersovereenkomsten

• Dynamics Empire < R16

* Afhankelijk van de impact van de betreffende wijziging zal worden bepaald welke worden toegepast op de R16.

SECURITY

Security guideline cegeka-dsa

- NAV security conventie van Microsoft wordt gevolgd

- Testen gebaseerd op de OWASP top-10

EXTERNE SECURITY AUDIT

- Kwetsbaarheden onderzoek

- PENTEST

- TPM (third party mededeling) voor klanten

Additionele dienstverlening

DATA ANONIMISERING

- Cegeka-dsa test (intern) altijd met dummy data.

- In projecten wordt data input geleverd door de klant.

- Cegeka-dsa werkt aan een nieuwe module ter ondersteuning van de

verantwoordelijke t.a.v. het anonimiseren van data in Dynamics Empire.

CONSULTANCY

- Ondersteuning inrichten autorisaties.

- Advies / wijzigen bestaande (klant specieke) inrichting.

VerzoekenWoonDynamics Interest Group

05 Bewaartermijnen & DataclassificatieDataclassificatie en hanteren van bewaartermijnen in DMS?

06 Algehele Security DEHoe wordt de internetbeveiliging en/of algehele beveiliging verbeterd (portalen/webclient), MFA (Multi Factor Authentication)?

03 Anoniem TestenWat gaat Cegeka doen aan anoniem testen?

04 AutorisatiesRechten binnen het DMS

01 Dynamics Empire AVG ProofHoe kan Cegeka garanderen dat DE en alle aanverwante producten AVG/GDPR proofzijn?

02 Optionele velden die conflicteren met ‘doelbinding’.Wat gebeurt er met velden zoals BSN nummer in DE?

VerzoekenBron: WoonDynamics

10 Data portabiliteitVoorzien in Dataportabiliteit.

11 Register gegevensverwerkingOndersteuning/voorzien in een register van gegevensverwerking (van velden en verwerkers). Door toevoeging van velden in DE die dit mogelijk maken?

09 Registratie bijzondere persoonsgegevensBijzondere persoonsgegevens kunnen voor leefbaarheid en woonruimteverdeling wezenlijke beslispunten inhouden. Om de registratie van bijzondere persoonsgegevens te voorkomen, maar toch de voor een beslissing/keuze belangrijke informatie te behouden, zou via vaste tabellen een functionele vertaling van bepaalde bijzondere persoonsgegevens kunnen worden ingebouwd.

07 AutorisatiesRechten in DE, gekoppeld aan rollen, waarbij bijvoorbeeld leefbaarheid, WRB of de klant registraties niet voor anderen dan de direct betrokkenen te benaderen (lezen) zijn.

08 Data uitwisselingUitwisseling met derden ondersteunen met daarop toegespitste standaard rapporten (PO aannemers, deurwaarder, drukker van bewonersblad, gemeente inzake woonfraude, vroeg signalering huurschuld, etc.)

VerzoekenBron: WoonDynamics

14 Zwarte lijst AVG-proofZwarte lijst formeel AVG-proofinbouwen in DE (op gelijke wijze als leefbaarheid?)

15 Bewaartermijnen DEBewaartermijnen gelden ook in DE. (de notities zijn daarbij een aandachtspunt)

12 Inzagen & verwijderenpersoonsgegevensVoorzien in middelen om efficiënt en binnen de gestelde termijn te voorzien in inzage (en evt. wissing) in persoonsgegevens.

13 VerhuurdersverklaringStandaardiseren verhuurdersverklaring

VerzoekenBron: WoonDynamics

Dynamics Empire AVG ProofHoe kan Cegeka garanderen dat DE en alle aanverwante producten AVG/GDPR proof

zijn?

Classificatie:

Toelichting:Naar ons inziens is Dynamics Empire compliant aan de AVG te gebruiken, deze SIG is bedoeld om dit te valideren en de wensen t.a.v. gebruikersgemak te inventariseren.

Vervolgafspraken:

Referentie: 01

Wens Noodzaak Vraag Buiten scope

Optionele velden die conflicteren met

‘doelbinding’.Wat gebeurt er met velden zoals BSN nummer in DE?

Classificatie:

Toelichting:Ondanks de AVG zijn er klanten die het veld ‘BSN nummer’ nog gebruiken, dit is betreft een optioneel veld. Oplossingsrichting die nader onderzocht wordt; veld verbergen middels profielen.

Vervolgafspraken:

Referentie: 02

Wens Noodzaak Vraag Buiten scope

Anoniem TestenWat gaat Cegeka doen aan

anoniem testen?

Classificatie:

Toelichting:• cegeka-dsa test enkel met dummy data in haar

development staart.

• In projecten wordt data input geleverd door de klant.

• Cegek-dsa werkt aan nieuwe module, die afgenomen kan worden t.b.v. data anonimisering.

Vervolgafspraken:

Referentie: 03

Wens Noodzaak Vraag Buiten scope

AutorisatiesRechten binnen het DMS

Classificatie:

Toelichting:Verdere toelichting is noodzakelijk.

Vervolgafspraken:

Referentie: 04

Wens Noodzaak Vraag Buiten scope

Bewaartermijnen & Dataclassificatie

Dataclassificatie en hanteren van bewaartermijnen in DMS?

Classificatie:

Toelichting:DMS voorziet momenteel op het vlak van registratie van bewaartermijnen, echter ontbreekt handhaving/rapportage.

Vervolgafspraken:

Referentie: 05

Wens Noodzaak Vraag Buiten scope

Algehele Security DEHoe wordt de

internetbeveiliging en/of algehele beveiliging verbeterd

(portalen/webclient), MFA (Multi Factor Authentication)?

Classificatie:

Toelichting:Multi factor authenticatie vanuit Azure beidt mogelijkheden om multifactor authenticatie in te richten. Deze inrichting stelt echter eisen aan de IT infrastractuur (o.a. ADFS) en randapplicaties. Tevens zal de werking met de Apps en Portalen verder getoetst moeten worden.

Vervolgafspraken:

Referentie: 06

Wens Noodzaak Vraag Buiten scope

AutorisatiesRechten in DE, gekoppeld aan rollen, waarbij bijvoorbeeld

leefbaarheid, WRB of de klant registraties niet voor anderen dan de direct betrokkenen te

benaderen (lezen) zijn.

Classificatie:

Toelichting:

Vervolgafspraken:

Referentie: 07

Wens Noodzaak Vraag Buiten scope

Data uitwisselingUitwisseling met derden

ondersteunen met daarop toegespitste standaard

rapporten (PO aannemers, deurwaarder, drukker van bewonersblad, gemeente inzake woonfraude, vroeg

signalering huurschuld, etc.)

Classificatie:

Toelichting:

Vervolgafspraken:

Referentie: 08

Wens Noodzaak Vraag Buiten scope

Registratie bijzonderepersoonsgegevens

Bijzondere persoonsgegevens kunnen voor leefbaarheid en

woonruimteverdeling wezenlijke beslispunten inhouden. Om de

registratie van bijzondere persoonsgegevens te voorkomen,

maar toch de voor een beslissing/keuze belangrijke informatie

te behouden, zou via vaste tabellen een functionele vertaling van bepaalde bijzondere persoonsgegevens kunnen

worden ingebouwd.

Classificatie:

Toelichting:

Vervolgafspraken:

Referentie: 09

Wens Noodzaak Vraag Buiten scope

Data portabiliteitVoorzien in Dataportabiliteit.

Classificatie:

Toelichting:Welke informatie is gewenst in het kader van dataportabiliteit?

Vervolgafspraken:

Referentie: 10

Wens Noodzaak Vraag Buiten scope

Register gegevensverwerkingOndersteuning/voorzien in

een register van gegevensverwerking (van

velden en verwerkers). Door toevoeging van velden in DE

die dit mogelijk maken?

Classificatie:

Toelichting:

Vervolgafspraken:

Referentie: 11

Wens Noodzaak Vraag Buiten scope

Inzagen & verwijderenpersoonsgegevens

Voorzien in middelen om efficiënt en binnen de

gestelde termijn te voorzien in inzage (en evt. wissing) in

persoonsgegevens.

Classificatie:

Toelichting:

Vervolgafspraken:

Referentie: 12

Wens Noodzaak Vraag Buiten scope

VerhuurdersverklaringStandaardiseren

verhuurdersverklaring

Classificatie:

Toelichting:

Vervolgafspraken:

Referentie: 13

Wens Noodzaak Vraag Buiten scope

Zwartelisst AVG-proofZwarte lijst formeel AVG-proof

inbouwen in DE (op gelijke wijze als leefbaarheid?)

Classificatie:

Toelichting:

Vervolgafspraken:

Referentie: 14

Wens Noodzaak Vraag Buiten scope

Bewaartermijnen DEBewaartermijnen gelden ook in DE. (de notities zijn daarbij

een aandachtspunt)

Classificatie:

Toelichting:

Vervolgafspraken:

Referentie: 15

Wens Noodzaak Vraag Buiten scope

PLANNING

Agenda SIG GDPR

Datum: Agenda:

SIG sessie 1 16-1-2018 - Introductie- SCOPE bepaling

SIG sessie 2Datumprikker volgt streef

datum week 6(voorstel)

- Terugkoppeling verzoeken vanuit cegeka-dsa

- Verdiepingsslag- Realisatie plan

SIG sessie 3 (voorstel)

W W W . C E G E K A - D S A . C O M

linkedin.com/company/cegeka-dsa

@cegekadsa info@cegeka-dsa.nl

Bastion 4

3905 NJ Veenendaal