NORA Gebruikersraad/2017-01-17

Uit NORA Online
< NORA Gebruikersraad
Versie door M.M.Vos (overleg | bijdragen) op 23 jan 2017 om 17:09 (bestanden grip op privacy toegevoegd)
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF


Nieuws & Agenda
Contact
NORA Beheer
nora@ictu.nl
Status


Bijeenkomst van NORA Gebruikersraad op dinsdag 17 januari 2017, 13.00-17.00, locatie: 7AM Den Haag, Buitenhof 47, 2513 AH DEN HAAG. .

Opening vergadering (13.30 – 13.40 uur)[bewerken]

Mededelingen:

  • Paula van der Schoot is aanwezig namens opdrachtgever Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
  • Verslag en actiepunten vorige bijeenkomst

Het verslag wordt niet meer vooraf door de sprekers gecontroleerd voor publicatie van het concept, gewenste wijzigingen kunnen direct (nora@ictu.nl) of in de Gebruikersraad er na worden ingebracht. Het verslag van de vorige bijeenkomst is vastgesteld zonder wijzigingen.

  • Robert van Wessel geeft een update van de Afgeleide Principes Revisited: voor AP19 ligt er inmiddels een formeel Request for Change: (PDF, 35 kB), dat het Principe omwerkt van 'Perspectief Afnemer' naar 'Perspectief Gebruiker.' In de bijbehorende Presentatie (PDF, 440 kB) toont hij de belangrijkste wijzigingen, gaat in op het proces en verzoekt de leden van de Gebruikersraad om binnen hun eigen omgeving en achterban uit te dragen dat AP19 gewijzigd is en waarom. De Revisit gaat verder met AP16 en AP17, wie mee wil doen kan zich nog opgeven via nora@ictu.nl of bij Robert.

Reacties vanuit de Gebruikersraad: Klinkt goed. Is allemaal leesbaar (verbetering ten opzichte van oude AP).

  • Relatie NORA en dochters vervolg 2017, Dominique De Wijn.

Na de enquete en het rondje dochters van vorig jaar zijn we binnen het team NORA verder gegaan met de vragen: Wie en wat zijn 'dochters' of familieleden van NORA en hoe kunnen we de samenwerking intensiveren? De volgende stappen zijn een gesprek met de opdrachtgever (BZK) en in de Gebruikersraad.

  • Terugkoppeling Regieraad. De afgelopen Regieraad heeft het NORA Jaarplan besproken. Het verslag is nog niet eschikbaar, maar wel is het signaal doorgegeven dat de Regieraad graag (een of twee) vertegenwoordigers van de NORA Gebruikersraad in de Regieraad zou zien de komende Regieraad, om de alignment met het bestuur beter op te pakken.
  • Vergaderschema 2017: Voor de komende Gebruikersraden worden nog gastheren gezocht, waarbij onderwerp en locatie idealiter bij elkaar passen. Voor de Gebruikersraad van april denken Sacco en Menno op dit moment aan twee onderwerpen: de relatie van NORA met dochters en andere familieleden, en de GDI. Voor de voorbereiding van het onderwerp GDI is de vraag welke behoeften er leven bij de leden. Ter plekke wordt genoemd:

Meer dan alleen bijpraten: de uitvoeringstoetsen zijn al gestart. De prioriteit van de GDI ligt op eID, dus de link met Beveiliging & Privacy is sterk. Privacy by Design is juist hier relevant. Wat wil NORA met de GDI?

De Architectuurraad van de Manifestgroep is bezig met de afweging / discussie Berichtenbox versus Portalen, een discussie hier hoe daar mee om te gaan is nuttig. Twee infrastructuren naast elkaar, het is belangrijk het daar over te hebben.

Volgende keer is dus een mix van GDI en NORA Familierelaties - het zou mooi zijn dat bij een dochter 'thuis' te doen. Wie bereid is de Gebruikersraad te ontvangen kan zich melden.

CIP en Privacy (13.40-13.50 uur)[bewerken]

Privacy in de actualiteit:

Introductie op het thema door Ad Reujl (zonder sheets). Het CIP (Centrum Informatiebeveiliging en Privacybescherming) is een netwerkorganisatie die is ontstaan in het kader van de Compacte Rijksdienst en zich primair richtte op uitvoeringsorganisaties. Als trekker was het UV aangewezen en vijf jaar later is dit nog steeds een van de grootste trekkers, samen met Belastingdienst, SVB, DUO, Politie en Defensie. Er zijn echter veel meer organisaties en individuen aangesloten: 400 organisaties vormen een netwerk van zo'n 1700 deelnemers.

Netwerk CIP is sterk gericht op kennisdelen, bijvoorbeeld in domeingroepen op kennisgebieden, Practitioners communities (waaronder een over Privacy) en met twee jaarlijkse conferenties. Daarnaast publiceert CIP producten, zoals papers, normenkaders, awareness materiaal et cetera. Deze informatie is vrijelijk te gebruiken (Creative Commons licensie) binnen en buiten de overheid. Omdat veel kennis juist in de private sector wordt opgedaan is het CIP convenanten aangegaan met private partijen die actief mee willen werken in het kennisnetwerk.

De kennis en producten van CIP wordt op dit moment vooral ontsloten via de eigen website en de Pleio-community (voor overheidsmedewerkers en private partijen die een convenant hebben getekend). Inmiddels is er een begin gemaakt met het vullen van de ISOR (Information Security Object Repository) in de NORA wiki.

Gasten namens CIP:
  • Aafke Stuijt (Financiën)
  • Jaap van der Veen (BD)
  • Hatice Dogan (SVB)
  • Max Booleman (CBS)
  • Marcel Koers (CIP-Sloterdijk)
  • Ad Reuijl (CIP-Sloterdijk)

Interessant op het gebied van Privacy is de komende bijeenkomst van de Practitioner's community Privacy, waarin de Authoriteit Persoonsgegevens vragen vanuit de community komt beantwoorden. Wil je een vraag toevoegen, dan kan dat via de Pleio community.

CIP concentreert zich bij Privacybescherming nog vooral op de activiteiten van de overheid waarbij dit relevant is. Tegelijk zijn er zoveel ontwikkelingen in de maatschappij als geheel die de betekenis van het woord privacy raken en veranderen, zoals de mogelijkheid van hackers om jouw privé-apparaten (van smartphone tot garagedeuropener) te gebruiken voor illegale DDOS-aanvallen. Als je als overheid goed om wilt gaan met de gegevens van burgers moet je die bredere ontwikkelingen met belangstelling volgen, zonder je te laten afleiden van je eigen taak.

Voor CIP is de 'bloedgroep' architecten heel belangrijk: inkopers en contractmanagers (die nu de kern uitmaken van de practitioners groep) zijn vooral op de proceskant gericht, maar inhoudelijk weinig betrokken. Architecten kunnen het gesprek aangaan wat je moet vragen aan leveranciers, zodat inkopers en contractmanagers dat in de praktijk kunnen realiseren en controleren. CIP kan dat dan vervolgens weer verwerken in de lijsten met eisen die ze leveren voor inkooptrajecten et cetera.

Grip op Privacy 13.50 – 14.15 uur)[bewerken]

Inhoudelijke Stukken:

Marcel Koers geeft een presentatie over Grip op Privacy (PDF, 1,79 MB), waarin een set praktische handreikingen is ontwikkeld voor verschillende kennisgebieden en doelgroepen:

Uitsnede uit presentatie, weergave van drie handreikingen uit het programma Grip op Privacy met de doelgroepen voor elke handreiking. Links Privacy by design, met doelgroepen Architecten, Procesontwerpers, Systeemontwerpers. Rechts Privacy Governance, met doelgroepen Management en Privacy Officers. Onder Privacy Baseline met doelgroepen Operationeel management en Bewerkers van persoonsgegevens.

Producten van Grip-op-Privacy, handreiking De privacy wetgeving is ontrafeld en omgezet naar criteria in de Privacy Baseline. De criteria zijn zo opgezet dat ze hanteerbaar zijn gemaakt voor de bedrijfsvoering. Twee handleidingen ondersteunen daarbij hoe dit te doen. De handleiding Privacy Governance beschrijft dit voor de invoering in de organisatie. De handleiding Privacy by Design beschrijft hoe dit te doen bij het ontwikkelen en verbeteren van de verwerking van persoonsgegevens.

De NORA architecten zouden dit niet alleen willen weten, maar ook moeten weten. Met de baseline en de handreikingen kan geen enkele architect nog droog houden dat privacy van de juristen is. Architecten, met de criteria kan je aan het werk, met de handreikingen weet iedereen ook hoe.

Algemene Verordening Gegevensbescherming (14.15 – 14.40 uur)[bewerken]

Hatice Dogan: High lights van de Algemene verordening gegevensbescherming (AVG) High lights van de Algemene verordening gegevensbescherming (AVG). Hatice gaat iets vertellen over de sporen van de implementatie van de AVG:

  1. Uitvoeringswet AVG
  2. aanpassingswet AVG
  3. gevolgen van de inwerkingtreding AVG voor de organisatie.

Hatice gaat met name in op de gevolgen van de AVG voor de organisatie. De AVG noemen we een generieke wet die organisatiebreed opgepakt moet worden. Dat gaat vrij moeizaam. Aan de orde komt hoe de SVB de implementatie van de directe werkende bepalingen oppakt. Bijvoorbeeld wat hebben we gedaan en hoe gaan we doen met:

  • PIA's
  • transparantieplicht
  • meldingenregister (verwerkingsregister)
  • Beleidsregels, interne instructies
  • FG

Pauze (14.40 – 15.00 uur)[bewerken]

AVG en NORA (15.00 – 15.30 uur)[bewerken]

Aafke Stuijt: In de AVG wordt het aantoonbaar toepassen van privacy by design and default een verplichting. De AVG is in mei dit jaar in werking getreden. Dat houdt in dat we bij nieuwe initiatieven waarbij persoonsgegevens worden verwerkt nu al rekening moeten houden met deze wettekst.

Aafke’s vraag is of we voortaan PbD als functionele eis in de NORA kunnen meenemen. In de designfase is er 1 vraag: wat moet het systeem technisch kunnen om te voldoen aan (artikel 25 van) de AVG. De start van het designproces is de AVG. En niet andersom. De AVG bepaalt het (juridische) kader waarbinnen je persoonsgegevens mag verwerken. Buiten dat kader is het verwerken van persoonsgegevens onrechtmatig.

Discussie en conclusies Privacybescherming en AVG t.a.v. NORA (15.30 – 16.30 uur)[bewerken]

Afsluitende borrel (16.30 – 17.00 uur)[bewerken]


Nederlandse Overheid Referentie Architectuur.

Overgenomen van "https://www.noraonline.nl/index.php?title=NORA_Gebruikersraad/2017-01-17&oldid=19238"