NORA Gebruikersraad/2017-01-17: verschil tussen versies
(bestanden grip op privacy toegevoegd) |
(tekst onderdeel Marcel af) |
||
| Regel 56: | Regel 56: | ||
* {{Bestand met info|Stimulerende en remmende factoren van Privacy by Design in Nederland.pdf|Rapport TNO: Stimulerende en remmende factoren van Privacy by Design in Nederland}} | * {{Bestand met info|Stimulerende en remmende factoren van Privacy by Design in Nederland.pdf|Rapport TNO: Stimulerende en remmende factoren van Privacy by Design in Nederland}} | ||
}} | }} | ||
Marcel Koers geeft een {{Bestand met info|Grip op privacy 2017 0117 NORA.pdf|presentatie over Grip op Privacy}}, waarin een set praktische handreikingen is ontwikkeld voor verschillende kennisgebieden en doelgroepen: | Marcel Koers geeft een {{Bestand met info|Grip op privacy 2017 0117 NORA.pdf|presentatie over Grip op Privacy}}, waarin een set praktische handreikingen is ontwikkeld voor verschillende kennisgebieden en doelgroepen. De privacy wetgeving is ontrafeld en omgezet naar criteria in de [[https://www.cip-overheid.nl/wp-content/uploads/2015/11/20151130_Privacy_Baseline_v1_0.pdf Privacy Baseline]. De criteria zijn zo opgezet dat ze hanteerbaar zijn gemaakt voor de bedrijfsvoering. Twee handreikingen ondersteunen daarbij hoe dit te doen. De handleiding Privacy Governance beschrijft dit voor de invoering in de organisatie. De handleiding [https://www.cip-overheid.nl/wp-content/uploads/2016/06/20160531_Handleiding_Privacy_by_Design_v1.0.pdf Privacy by Design] beschrijft hoe dit te doen bij het ontwikkelen en verbeteren van de verwerking van persoonsgegevens. | ||
[[Afbeelding:Handreikingen Grip op Privacy.png|thumb|links|450px|alt=Uitsnede uit presentatie, weergave van drie | [[Afbeelding:Handreikingen Grip op Privacy.png|thumb|links|450px|alt=Uitsnede uit presentatie, weergave van drie producten uit het programma Grip op Privacy met de doelgroepen voor elk product/handreiking. Links Privacy by design, met doelgroepen Architecten, Procesontwerpers, Systeemontwerpers. Rechts Privacy Governance, met doelgroepen Management en Privacy Officers. Onder Privacy Baseline met doelgroepen Operationeel management en Bewerkers van persoonsgegevens.]] | ||
====== | |||
Als je voldoet aan de eisen van de Privacybaseline voldoe je ook aan de [[Wet Bescherming Persoonsgegevens]] en grotendeels ook aan de [[Algemene Verordening Gegevensbescherming]]. Het gaat hier om Afscherming, Corrigeerbaarheid en Transparantie. | |||
Vraag: Hoe kijk je in het kader hiervan aan tegen het gegeven zelf, bijvoorbeeld het eigenaarschap van het gegeven? Nee, de wet gaat niet in op eigenaarschap, maar gaat uit van verantwoordelijkheid en plichten als je gegevens verwerkt, ongeacht eigenaarschap. | |||
Het voordeel van de vertaling van wet naar Baseline is dat ze beter bespreekbaar zijn met en door niet-juristen. De eisen in de Baseline zijn consistent en logisch beschreven volgens de [[SIVA-methode]] die het CIP in alle normenkaders hanteert. | |||
Privacybescherming bestaat niet in een vacuum: er is in de praktijk al een hoop in organisaties geregeld dat raakt aan prvacy. In Privacy Governance en het Maturity model gaat het dan ook in eerste instantie om het op elkaar aansluiten en benutten van bestaande maatregelen en resources in de organisatie. | |||
Vraag vanuit CBS: Het startpunt vanuit Privacy is geen gegevens verwerken (dataminismalisatie). Komt dat ook terug in deze producten? Ja, zeer nadrukkelijk: heb je deze gegevens wel nodig? Je ziet dat het nu koppelen van gegevens steeds gemakkelijker wordt de tendens 'omdat het kan' wordt. Maar de eerste vraag moet altijd zijn 'is het nodig'? en zo nee dan moet het misschien ook niet kunnen. | |||
Vraag: Aangezien we als overheden heel veel inkopen in plaats van zelf te bouwen en jullie ook contact hebben met de leveranciers, is het dan nog nodig om als architect zelf te blijven kijken en controleren? Is er bijvoorbeeld een CIP-stempel, dat aangeeft dat de leverancier zich aan de regels houdt? | |||
Het CIP is geen certifiverend instituut. In de AVG staat dat de nationale autoriteiten hierin voorzien, dus stel deze vraag nadrukkelijk aan de Autoriteit Persoonsgegevens, die kan een certificeringsinstituut aanwijzen. Overigens blijft het wel altijd nodig om zelf eisen te stellen aan leveranciers en te controleren of die eisen serieus worden genomen, of het nu gaat om je eigen bouwer of een clouddienst. De risico-analyse zul je nadrukkelijk zelf moeten uitvoeren. Opmerking: Het zou meerwaarde hebben als overheden hun beoordelingen van partijen zouden delen, zodat je geen dubbel werk aan het doen bent. | |||
Vraag: Het ontwerp van privacy begint nadrukkelijk al bij het maken van beleid. Is dat niet de plek om te beginnen met extra awareness en praktische handreikingen, meer dan bij de techniek? Waar het gaat om het formuleren van privacybeleid (onderdeel van Privacy Governance) richten we ons wel degelijk op bestuurders en beleidsmakers. | |||
Vraag: Wat moet je als architect die een [[PSA (Project Startarchitectuur)|PSA]] opstelt doen met het onderwerp Privacy? Twee dingen: | |||
# Zorg dat je de principes van Privacy kent | |||
# Kijk naar de ontwerpstappen in Privacy By Design, hierin staat wat je wanneer mee moet nemen. | |||
In de presentatie staan nog 'Privacy Officers' genoemd als doelgroep, deze term is verouderd. De AVG verplicht elke organisatie om een FG aan te stellen, een Functionaris voor Gegevensbescherming. Dit staat al wel goed in de Baseline zelf. | |||
==Algemene Verordening Gegevensbescherming ''(14.15 – 14.40 uur)''== | ==Algemene Verordening Gegevensbescherming ''(14.15 – 14.40 uur)''== | ||
Hatice Dogan: High lights van de Algemene verordening gegevensbescherming (AVG) | Hatice Dogan: High lights van de Algemene verordening gegevensbescherming (AVG) | ||
Versie van 23 jan 2017 18:19
Bijeenkomst van NORA Gebruikersraad op dinsdag 17 januari 2017, 13.00-17.00, locatie: 7AM Den Haag, Buitenhof 47, 2513 AH DEN HAAG. .
Opening vergadering (13.30 – 13.40 uur)[bewerken]
Mededelingen:
- Paula van der Schoot is aanwezig namens opdrachtgever Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
- Verslag en actiepunten vorige bijeenkomst
Het verslag wordt niet meer vooraf door de sprekers gecontroleerd voor publicatie van het concept, gewenste wijzigingen kunnen direct (nora@ictu.nl) of in de Gebruikersraad er na worden ingebracht. Het verslag van de vorige bijeenkomst is vastgesteld zonder wijzigingen.
- Robert van Wessel geeft een update van de Afgeleide Principes Revisited: voor AP19 ligt er inmiddels een formeel Request for Change: (PDF, 35 kB), dat het Principe omwerkt van 'Perspectief Afnemer' naar 'Perspectief Gebruiker.' In de bijbehorende Presentatie (PDF, 440 kB) toont hij de belangrijkste wijzigingen, gaat in op het proces en verzoekt de leden van de Gebruikersraad om binnen hun eigen omgeving en achterban uit te dragen dat AP19 gewijzigd is en waarom. De Revisit gaat verder met AP16 en AP17, wie mee wil doen kan zich nog opgeven via nora@ictu.nl of bij Robert.
Reacties vanuit de Gebruikersraad: Klinkt goed. Is allemaal leesbaar (verbetering ten opzichte van oude AP).
- Relatie NORA en dochters vervolg 2017, Dominique De Wijn.
Na de enquete en het rondje dochters van vorig jaar zijn we binnen het team NORA verder gegaan met de vragen: Wie en wat zijn 'dochters' of familieleden van NORA en hoe kunnen we de samenwerking intensiveren? De volgende stappen zijn een gesprek met de opdrachtgever (BZK) en in de Gebruikersraad.
- Terugkoppeling Regieraad. De afgelopen Regieraad heeft het NORA Jaarplan besproken. Het verslag is nog niet eschikbaar, maar wel is het signaal doorgegeven dat de Regieraad graag (een of twee) vertegenwoordigers van de NORA Gebruikersraad in de Regieraad zou zien de komende Regieraad, om de alignment met het bestuur beter op te pakken.
- Vergaderschema 2017: Voor de komende Gebruikersraden worden nog gastheren gezocht, waarbij onderwerp en locatie idealiter bij elkaar passen. Voor de Gebruikersraad van april denken Sacco en Menno op dit moment aan twee onderwerpen: de relatie van NORA met dochters en andere familieleden, en de GDI. Voor de voorbereiding van het onderwerp GDI is de vraag welke behoeften er leven bij de leden. Ter plekke wordt genoemd:
Meer dan alleen bijpraten: de uitvoeringstoetsen zijn al gestart. De prioriteit van de GDI ligt op eID, dus de link met Beveiliging & Privacy is sterk. Privacy by Design is juist hier relevant. Wat wil NORA met de GDI?
De Architectuurraad van de Manifestgroep is bezig met de afweging / discussie Berichtenbox versus Portalen, een discussie hier hoe daar mee om te gaan is nuttig. Twee infrastructuren naast elkaar, het is belangrijk het daar over te hebben.
Volgende keer is dus een mix van GDI en NORA Familierelaties - het zou mooi zijn dat bij een dochter 'thuis' te doen. Wie bereid is de Gebruikersraad te ontvangen kan zich melden.
CIP en Privacy (13.40-13.50 uur)[bewerken]
- iBestuur januari 2017
- weblog iBestuur Overheid en Privacy best ingewikkeld
- iBestuur Symposium Grip op Privacy op 7 februari (uitverkocht)
- Analyse Richard Claassens over impact Privacywetgeving voor architecten (op Via Nova Architectura)
- Lezing Privacy by design en certificeringsmechanismen door Richard Claassens op 22 februari 2017 (georganiseerd door NGI-NGN)
Introductie op het thema door Ad Reujl (zonder sheets). Het CIP (Centrum Informatiebeveiliging en Privacybescherming) is een netwerkorganisatie die is ontstaan in het kader van de Compacte Rijksdienst en zich primair richtte op uitvoeringsorganisaties. Als trekker was het UV aangewezen en vijf jaar later is dit nog steeds een van de grootste trekkers, samen met Belastingdienst, SVB, DUO, Politie en Defensie. Er zijn echter veel meer organisaties en individuen aangesloten: 400 organisaties vormen een netwerk van zo'n 1700 deelnemers.
Netwerk CIP is sterk gericht op kennisdelen, bijvoorbeeld in domeingroepen op kennisgebieden, Practitioners communities (waaronder een over Privacy) en met twee jaarlijkse conferenties. Daarnaast publiceert CIP producten, zoals papers, normenkaders, awareness materiaal et cetera. Deze informatie is vrijelijk te gebruiken (Creative Commons licensie) binnen en buiten de overheid. Omdat veel kennis juist in de private sector wordt opgedaan is het CIP convenanten aangegaan met private partijen die actief mee willen werken in het kennisnetwerk.
De kennis en producten van CIP wordt op dit moment vooral ontsloten via de eigen website en de Pleio-community (voor overheidsmedewerkers en private partijen die een convenant hebben getekend). Inmiddels is er een begin gemaakt met het vullen van de ISOR (Information Security Object Repository) in de NORA wiki.
- Aafke Stuijt (Financiën)
- Jaap van der Veen (BD)
- Hatice Dogan (SVB)
- Max Booleman (CBS)
- Marcel Koers (CIP-Sloterdijk)
- Ad Reuijl (CIP-Sloterdijk)
Interessant op het gebied van Privacy is de komende bijeenkomst van de Practitioner's community Privacy, waarin de Authoriteit Persoonsgegevens vragen vanuit de community komt beantwoorden. Wil je een vraag toevoegen, dan kan dat via de Pleio community.
CIP concentreert zich bij Privacybescherming nog vooral op de activiteiten van de overheid waarbij dit relevant is. Tegelijk zijn er zoveel ontwikkelingen in de maatschappij als geheel die de betekenis van het woord privacy raken en veranderen, zoals de mogelijkheid van hackers om jouw privé-apparaten (van smartphone tot garagedeuropener) te gebruiken voor illegale DDOS-aanvallen. Als je als overheid goed om wilt gaan met de gegevens van burgers moet je die bredere ontwikkelingen met belangstelling volgen, zonder je te laten afleiden van je eigen taak.
Voor CIP is de 'bloedgroep' architecten heel belangrijk: inkopers en contractmanagers (die nu de kern uitmaken van de practitioners groep) zijn vooral op de proceskant gericht, maar inhoudelijk weinig betrokken. Architecten kunnen het gesprek aangaan wat je moet vragen aan leveranciers, zodat inkopers en contractmanagers dat in de praktijk kunnen realiseren en controleren. CIP kan dat dan vervolgens weer verwerken in de lijsten met eisen die ze leveren voor inkooptrajecten et cetera.
Grip op Privacy 13.50 – 14.15 uur)[bewerken]
Marcel Koers geeft een presentatie over Grip op Privacy (PDF, 1,79 MB), waarin een set praktische handreikingen is ontwikkeld voor verschillende kennisgebieden en doelgroepen. De privacy wetgeving is ontrafeld en omgezet naar criteria in de [Privacy Baseline. De criteria zijn zo opgezet dat ze hanteerbaar zijn gemaakt voor de bedrijfsvoering. Twee handreikingen ondersteunen daarbij hoe dit te doen. De handleiding Privacy Governance beschrijft dit voor de invoering in de organisatie. De handleiding Privacy by Design beschrijft hoe dit te doen bij het ontwikkelen en verbeteren van de verwerking van persoonsgegevens.
==[bewerken]
Als je voldoet aan de eisen van de Privacybaseline voldoe je ook aan de Wet Bescherming Persoonsgegevens en grotendeels ook aan de Algemene Verordening Gegevensbescherming (AVG). Het gaat hier om Afscherming, Corrigeerbaarheid en Transparantie.
Vraag: Hoe kijk je in het kader hiervan aan tegen het gegeven zelf, bijvoorbeeld het eigenaarschap van het gegeven? Nee, de wet gaat niet in op eigenaarschap, maar gaat uit van verantwoordelijkheid en plichten als je gegevens verwerkt, ongeacht eigenaarschap.
Het voordeel van de vertaling van wet naar Baseline is dat ze beter bespreekbaar zijn met en door niet-juristen. De eisen in de Baseline zijn consistent en logisch beschreven volgens de SIVA-methodiek die het CIP in alle normenkaders hanteert.
Privacybescherming bestaat niet in een vacuum: er is in de praktijk al een hoop in organisaties geregeld dat raakt aan prvacy. In Privacy Governance en het Maturity model gaat het dan ook in eerste instantie om het op elkaar aansluiten en benutten van bestaande maatregelen en resources in de organisatie.
Vraag vanuit CBS: Het startpunt vanuit Privacy is geen gegevens verwerken (dataminismalisatie). Komt dat ook terug in deze producten? Ja, zeer nadrukkelijk: heb je deze gegevens wel nodig? Je ziet dat het nu koppelen van gegevens steeds gemakkelijker wordt de tendens 'omdat het kan' wordt. Maar de eerste vraag moet altijd zijn 'is het nodig'? en zo nee dan moet het misschien ook niet kunnen.
Vraag: Aangezien we als overheden heel veel inkopen in plaats van zelf te bouwen en jullie ook contact hebben met de leveranciers, is het dan nog nodig om als architect zelf te blijven kijken en controleren? Is er bijvoorbeeld een CIP-stempel, dat aangeeft dat de leverancier zich aan de regels houdt? Het CIP is geen certifiverend instituut. In de AVG staat dat de nationale autoriteiten hierin voorzien, dus stel deze vraag nadrukkelijk aan de Autoriteit Persoonsgegevens, die kan een certificeringsinstituut aanwijzen. Overigens blijft het wel altijd nodig om zelf eisen te stellen aan leveranciers en te controleren of die eisen serieus worden genomen, of het nu gaat om je eigen bouwer of een clouddienst. De risico-analyse zul je nadrukkelijk zelf moeten uitvoeren. Opmerking: Het zou meerwaarde hebben als overheden hun beoordelingen van partijen zouden delen, zodat je geen dubbel werk aan het doen bent.
Vraag: Het ontwerp van privacy begint nadrukkelijk al bij het maken van beleid. Is dat niet de plek om te beginnen met extra awareness en praktische handreikingen, meer dan bij de techniek? Waar het gaat om het formuleren van privacybeleid (onderdeel van Privacy Governance) richten we ons wel degelijk op bestuurders en beleidsmakers.
Vraag: Wat moet je als architect die een PSA opstelt doen met het onderwerp Privacy? Twee dingen:
- Zorg dat je de principes van Privacy kent
- Kijk naar de ontwerpstappen in Privacy By Design, hierin staat wat je wanneer mee moet nemen.
In de presentatie staan nog 'Privacy Officers' genoemd als doelgroep, deze term is verouderd. De AVG verplicht elke organisatie om een FG aan te stellen, een Functionaris voor Gegevensbescherming. Dit staat al wel goed in de Baseline zelf.
Algemene Verordening Gegevensbescherming (14.15 – 14.40 uur)[bewerken]
Hatice Dogan: High lights van de Algemene verordening gegevensbescherming (AVG) High lights van de Algemene verordening gegevensbescherming (AVG). Hatice gaat iets vertellen over de sporen van de implementatie van de AVG:
- Uitvoeringswet AVG
- aanpassingswet AVG
- gevolgen van de inwerkingtreding AVG voor de organisatie.
Hatice gaat met name in op de gevolgen van de AVG voor de organisatie. De AVG noemen we een generieke wet die organisatiebreed opgepakt moet worden. Dat gaat vrij moeizaam. Aan de orde komt hoe de SVB de implementatie van de directe werkende bepalingen oppakt. Bijvoorbeeld wat hebben we gedaan en hoe gaan we doen met:
- PIA's
- transparantieplicht
- meldingenregister (verwerkingsregister)
- Beleidsregels, interne instructies
- FG
Pauze (14.40 – 15.00 uur)[bewerken]
AVG en NORA (15.00 – 15.30 uur)[bewerken]
Aafke Stuijt: In de AVG wordt het aantoonbaar toepassen van privacy by design and default een verplichting. De AVG is in mei dit jaar in werking getreden. Dat houdt in dat we bij nieuwe initiatieven waarbij persoonsgegevens worden verwerkt nu al rekening moeten houden met deze wettekst.
Aafke’s vraag is of we voortaan PbD als functionele eis in de NORA kunnen meenemen. In de designfase is er 1 vraag: wat moet het systeem technisch kunnen om te voldoen aan (artikel 25 van) de AVG. De start van het designproces is de AVG. En niet andersom. De AVG bepaalt het (juridische) kader waarbinnen je persoonsgegevens mag verwerken. Buiten dat kader is het verwerken van persoonsgegevens onrechtmatig.
Discussie en conclusies Privacybescherming en AVG t.a.v. NORA (15.30 – 16.30 uur)[bewerken]
Afsluitende borrel (16.30 – 17.00 uur)[bewerken]