Privacy (AVG) in het sociaal domein
Gemeenten werken in het sociaal domein samen met o.a. zorginstellingen en individuele zorgverleners, schuldhulpverleners en instellingen voor passend onderwijs. Daarbij gaat onvermijdelijk (soms zeer gevoelige) informatie over en weer. Denk aan medische gegevens, de levensloop van mensen die ondersteund worden, hun financiële situatie. Gemeenten en al die andere partijen moeten zich houden aan de AVG en de UAVG. Dat stelt zeer specifieke eisen aan het ontwerp en zeker ook het beheer van de IT-organisatie. Devoteam werkt vanuit het principe Privacy By Design: IT waar privacy zowel organisatorisch als technisch is ‘ingebakken’.
AVG-Proof: privacy in het ontwerp meenemen
De nieuwe AVG-wetgeving geeft de burger veel rechten, zoals het recht op inzage; een burger kan opvragen wie binnen de organisatie persoonlijke gegevens over hem of haar kan inzien. Maar denk ook aan het recht op informatie; diezelfde burger heeft het recht om te weten wat uw organisatie precies met zijn of haar informatie doet. Als die burger daar al niet kritisch naar kijkt, dan in elk geval wèl de Autoriteit Persoonsgegevens. Datalekken en onachtzaam omgaan met persoonlijke gegevens worden zwaar aangerekend.
Privacy By Design is de eerste belangrijke stap naar AVG-compliancy. Bij deze manier van werken kijken we tot in detail naar nut en noodzaak van het vragen, vastleggen en delen van bepaalde informatie en dat vertalen we in IT-systemen die de gebruiker als het ware tegen zichzelf in bescherming neemt. Daarnaast kijken we naar de wijze waarop autorisaties worden toegekend aan gebruikers. We weten uit ervaring dat rollen- en rechtenprofielen lang niet altijd aangepast worden aan gewijzigde procedures en functionaliteiten. Ook worden onterecht autorisaties toegekend omdat ze ‘handig’ zijn voor een medewerker die bijvoorbeeld meerdere functies heeft. Kortom, na verloop treedt bijna onvermijdelijk vervuiling op. We voeren dus een tweesporenbeleid om uw organisatie AVG-compliant te maken èn te houden.
Wat wij aanbieden
Door deze aanpak realiseren we privacy en een juiste hantering van de AVG-regels over de volledige levenscyclus van uw applicaties: van aanbesteding en ontwikkeling tot en met beheer en uitfasering. We realiseren deze AVG-proof applicaties door nauwe samenwerking tussen ICT- en privacyspecialisten met kennis van het sociaal domein. Hiervoor gaan we uit van o.a. het register van verwerkingen, een autorisatiematrix en we voeren waar nodig in samenwerking met u DPIA’s (Data Protection Impact Assessments) uit om de privacyrisico’s in kaart te brengen. We actualiseren procedures en processen, en we kunnen zorgen voor het definitief opschonen van autorisaties.