Heeft een van jullie Zenya in gebruik om informatieveiligheid of privacy risico's in kaart te brengen? Bijvoorbeeld door het uitvoeren van DPIA's via Iprova. Gebruik je i+Pra of iRisk? Wat is de ervaring?
Bladzijde 1 / 1
Wij hebben binnen RIBW K/AM de (D-)PIA ingericht in iCheck, gebaseerd op het NOREA-model. Hierin geven we met behulp van voorwaardelijke vragen richting aan het oordeel van de medewerker die de PIA invult. Op basis van de instellingen in de vragenlijst wordt er facultatief of verplicht een verbetermaatregel opgesteld als de score afwijkt van de norm. Voorafgaand aan de PIA hebben we een kortere vragenlijst opgesteld, onze pre-PIA, waarin heel basaal in zo'n 15 vragen wordt beoordeeld of er privacyissues zijn bij en bepaald project, systeem of proces. Met behulp van die vragen wordt geadviseerd om een volledige PIA uit te voeren of wordt aangegeven dat de pre-PIA voldoende was. Dit kan in iData gekoppeld worden aan een bepaalde applicatie of in iDocument aan een procesbeschrijving, zodat je altijd weer terug kan vallen op de vastlegging en je terug kan vinden waarom bepaalde keuzes gemaakt zijn. Het is nog wel wat experimenteren, ook om het breed in de organisatie te delen, maar zo is het op dit moment ingericht.
We hebben de AVG als normkader ingevoerd t.b.v. meting in iCompliance. Hierin kunnen bewijsmiddelen toegevoegd worden vanuit iProva, zoals documenten, (ingevulde) vragenlijsten of een kaartenbak. Hiermee maak je inzichtelijk op welk gebied er nog risico's zijn omdat we nog niet compliant zijn.
We gebruiken iRisk in bredere zin om risico's in de organisatie te inventariseren, dus in voorkomende gevallen ook risico's op het gebied van de AVG, maar dan meer op procesniveau: wordt het privacybeleid uitgevoerd conform de verwachtingen en welke risico's lopen we hier (nog) in. We gebruiken i+Pra voor retrospectieve risicoanalyse, zoals een PRISMA-analyse, als er een incident geweest is. Ik zou graag ook i+Pri gebruiken (de module waarmee je prospectieve risicoanalyses kunt uitvoeren), maar hiervoor moet ik nog breder in de organisatie draagvlak voor creëren. Dit ligt ook meer op mijn reguliere werkgebied van kwaliteitstoetsing en niet alleen maar specifiek voor privacybeleid.
We hebben de AVG als normkader ingevoerd t.b.v. meting in iCompliance. Hierin kunnen bewijsmiddelen toegevoegd worden vanuit iProva, zoals documenten, (ingevulde) vragenlijsten of een kaartenbak. Hiermee maak je inzichtelijk op welk gebied er nog risico's zijn omdat we nog niet compliant zijn.
We gebruiken iRisk in bredere zin om risico's in de organisatie te inventariseren, dus in voorkomende gevallen ook risico's op het gebied van de AVG, maar dan meer op procesniveau: wordt het privacybeleid uitgevoerd conform de verwachtingen en welke risico's lopen we hier (nog) in. We gebruiken i+Pra voor retrospectieve risicoanalyse, zoals een PRISMA-analyse, als er een incident geweest is. Ik zou graag ook i+Pri gebruiken (de module waarmee je prospectieve risicoanalyses kunt uitvoeren), maar hiervoor moet ik nog breder in de organisatie draagvlak voor creëren. Dit ligt ook meer op mijn reguliere werkgebied van kwaliteitstoetsing en niet alleen maar specifiek voor privacybeleid.
Ter aanvulling: We hebben nu een proeflicentie voor de interactieve documenten en willen kijken of dit gebruikt kan worden voor de pre-PIA: door de scoremogelijkheid,kun je op basis van de gegeven antwoorden direct beoordelen en communiceren dat er een actie ingezet moet worden. Voor een volledige PIA wordt dit misschien wat onoverzichtelijk omdat er zo veel (voorwaardelijke) vragen zijn, maar voor de kortere per-PIA zou dat een mogelijkheid kunnen zijn.
Beste K. Prins,
Wordt de pre-DPIA score automatisch bepaald bij het invullen van verwerkingen? M.a.w. is bij jullie het verwerkingsregister gekoppeld aan de DPIA-score bepaling?
En bij wie wordt de uitvoering van de volledige DPIA belegd?
Hoi
De volledige (D)PIA was belegd bij het privacyteam, een groep functionarissen met meer kennis en ervaring op het gebied van privacy en gegevensbescherming (ICT, P&O, Kwaliteit, enz.). In de praktijk werd (ik ben inmiddels van werkgever veranderd, dus kan alleen in de verleden tijd spreken) de bijeenkomst waarin de PIA uitgevoerd werd voorgezeten door de FG.
De pre-PIA was zo ingericht dat hij door projectleiders/managers in de lijn uitgevoerd moet kunnen worden zonder aanvullende ondersteuning van de FG of het privacyteam.
Is het mogelijk om de vragenlijsten voor de pre-pia en de volledige dpia met onste delen?
hoi,
Als jullie een risico bepaling doen op de DPIA die uit de vragenlijst komt, moeten jullie dan al de gegevens opnieuw ingeven in RISK of is er op een of andere manier een koppeling zodat na het invullen van de vragenlijst een risicobeoordeling zal volgen?
In ZENYA kan je op verschillende plaatsen vragenlijsten maken. Ik heb voor de DPIA een kader gemaakt en daarin per item een vraag gecreëerd, waar hebben jullie de vragenlijst gemaakt?
bedankt alvast.
Ik heb de vragenlijsten staan in de module Vragenlijsten. Deze zijn niet gekoppeld aan een kader, daar moet ik zelf nog wat meer in investeren om die koppelingen beter te leggen. Wel heb ik in de kaartenbak van de verwerkingen een veld dat verwijst naar een ingevulde vragenlijst, dus als er een PIA gedaan is, kan die toegevoegd worden aan de kaart van de verwerking.
Bedankt voor het snelle antwoord
Hoi k.prins,
Ik ben erg geïnteresseerd in de vragenlijsten omdat wij hiermee willen starten. Zou ik deze misschien van je mogen ontvangen?
Groetjes Cher
Reageer
Word lid van de Infoland Community
Heb je al een account? Log in
Welkom!
Nog geen lid van de community? Maak hier een account aan
Inloggen met sociaal netwerk
Inloggen met Facebook Inloggen met LinkedInof
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.