Domeingroep Privacy & Beveiliging (DPG) Werkafspraken
De overlegstructuur GeVS is herzien; deze werkafspraken zijn daar een resultaat van. Deze DPB-werkafspraken vormen een geheel met de werkafspraken van DGB, DA en DIB.
Wie zijn we?
De Domeingroep Privacy & Beveiliging bestaat uit de volgende vertegenwoordiging van de
Suwi-partijen op het vlak van privacy en beveiliging:
SVB.
UWV.
VNG namens de colleges van B&W.
BKWI als beherende partij van de standaarden, afspraken en centrale voorzieningen GeVS.
BIDN als beheerder van het gemeentelijke Suwi-landschap.
Waarom zijn we Domeingroep Privacy & Beveiliging?
De Suwi-partijen dragen op grond van artikel 62 van de Wet Suwi een gezamenlijke verantwoordelijkheid voor de instandhouding van de Gezamenlijke elektronische Voorzieningen Suwi (GeVS). Dat houdt in dat de Suwi-partijen gezamenlijk afspraken maken op de verschillende deelgebieden van informatie-uitwisseling in de Suwi-keten.
Een van deze deelgebieden is “privacy en beveiliging”. De Suwi-partijen vullen met de Domeingroep Privacy & Beveiliging het adviesgremium in om de gegevensuitwisseling via de GeVS rechtmatig en aantoonbaar veilig te maken. Het Managementoverleg afspraken en voorzieningen Suwi bepaalt dit veiligheidsniveau op basis van een periodieke risicoanalyse en de naar aanleiding daarvan gekozen beheersingsmaatregelen. Belangrijke kwaliteitscriteria voor beheersingsmaatregelen zijn aantoonbare effectiviteit bij het beperken van risico’s, uitvoerbaarheid en draagvlak bij de ketenpartijen en hun bestuurders.
Wat doen we?
Taken van de domeingroep:
In kaart brengen van risico’s, waarbij het Managementoverleg afspraken en voorzieningen Suwi vaststelt welke risico’s in welke mate aanvaardbaar zijn.
Adviseren over beheersingsmaatregelen voor de door het Managementoverleg afspraken en voorzieningen Suwi vastgestelde risico’s.
Opstellen en bijhouden van normenkaders en verantwoordingsrichtlijnen, waarin beheersingsmaatregelen en de verantwoording daarover wordt vastgelegd.
Ondersteunen en monitoren van de invoering van de beheersingsmaatregelen.
Rapporteren over de compliance ten opzichte van afgesproken normen, onder andere door middel van conclusies en aanbevelingen over de jaarlijks samenvattende totaalrapportage.
Rapporteren over de compliance met de privacywetgeving (privacy by design, privacy management, enz.).
Volgen van ontwikkelingen in beleid en regelgeving rondom privacy en beveiliging en dit vertalen naar relevante adviezen aan de Suwi-keten.
Signaleren van afwijkingen van afspraken bij en met instemming van het Managementoverleg afspraken en voorzieningen Suwi ook bij toezichthouders en andere stakeholders.
Werkafspraken domeingroep Privacy & Beveiliging
Agendapunten
De agenda wordt bepaald door de taken die hiervoor zijn genoemd, het jaarplan, uitvoeringstoetsen, grote projecten en adviesvragen van het Managementoverleg afspraken en voorzieningen Suwi.
Vragen vanuit andere gremia, met name Managementoverleg afspraken en voorzieningen Suwi.
Wat leveren we op?
De beheersingsmaatregelen die de domeingroep voorstelt kunnen bestaan uit technische en organisatorische maatregelen en uit richtlijnen voor gedrag. De maatregelen kunnen worden opgenomen in normenkaders, de verantwoordingsrichtlijn en gebruiksvoorwaarden bij de GeVS-services.
BKWI stelt jaarlijks een totaalrapportage samen waarop de domeingroep nog een analyse doet en conclusies en aanbevelingen toevoegt.
Verantwoordingsrichtlijn Privacy & Beveiliging GeVS
De verantwoordingsrichtlijn privacy en beveiliging van de GeVS is een gezamenlijk product van de Suwi-partijen en de beheerder van de centrale voorziening welke, op basis van de wettelijke voorschriften rondom privacy en beveiliging, vorm en inhoud heeft. Het bevat de vormvereisten, normen en criteria op basis waarvan het oordeel dan wel de verklaring van getrouwheid over de privacy en beveiliging van de GeVS in de jaarverslagen van de op de GeVS aangesloten ontvangende partijen en de beheerder van de centrale voorziening wordt onderbouwd. Bij wijziging wordt de Verantwoordingsrichtlijn voor akkoord voorgelegd aan het Managementoverleg afspraken en voorzieningen Suwi.
Bronnen, beheerders en afnemers van de GeVS-services zijn zelf verantwoordelijk voor de implementatie, en de manier waarop dat gebeurt, en de aantoonbare naleving van de vastgestelde beheersmaatregelen en aansluitvoorwaarden.
Conclusies en aanbevelingen bij de Totaalrapportage
Uit de opgeleverde rapportages van gemeentelijke- en niet-gemeentelijke afnemers van Suwinet stelt BKWI een totaalrapportage op. Ieder jaar stelt de Domeingroep Privacy & Beveiliging de Conclusies en aanbevelingen van de Domeingroep Privacy & Beveiliging bij de Totaalrapportage informatiebeveiliging GeVS op. Die gaat, na goedkeuring in het Managementoverleg afspraken en voorzieningen Suwi, naar het Ministerie van Sociale zaken en Werkgelegenheid voor aanbieding aan de Tweede Kamer.
Hoe werken we?
Deelnemers
De Domeingroep Privacy & Beveiliging bestaat uit een voorzitter en een aantal leden. UWV, SVB, VNG (als vertegenwoordiger van de gemeenten), BIDN en BKWI benoemen elk één of twee leden voor de domeingroep. Van de leden van de domeingroep wordt verwacht dat ze:
Regelmatig contact hebben met hun vertegenwoordigers in Managementoverleg
afspraken en voorzieningen Suwi en de bestuurders.
Op de hoogte zijn van de strategische ontwikkelingen op het vlak van privacy en beveiliging binnen hun organisatie en de keten.
Hun professionele advies namens hun organisatie inbrengen en delen, waarbij ze zowel het belang van hun eigen organisatie behartigen als het belang in de Suwi-keten van hun organisatie.
Voor de hand liggende kandidaten zijn bijvoorbeeld een CISO, security officer of FG.
Voorzitter
De voorzitter is in dienst van BKWI, maar opereert onafhankelijke en neemt in de domeingroep het ketenbelang als uitgangspunt. Hij of zij organiseert de vergaderingen van de domeingroep, bereidt ze voor en vertegenwoordigt de domeingroep en de werkgroepen naar buiten toe, bijvoorbeeld in het Managementoverleg afspraken en voorzieningen Suwi.
De directeur van BKWI is namens het Managementoverleg afspraken en voorzieningen Suwi verantwoordelijk voor het goed functioneren van de domeingroep en overlegt hierover desgewenst met de voorzitter, zonder de voorstellen en adviezen van de domeingroep inhoudelijk te toetsen.
Overlegfrequentie
De domeingroep vergadert minimaal eens per 6 weken.
Aanwezigheid en vervanging
Deelnemers van de Domeingroep Privacy & Beveiliging representeren de organisatie waartoe zij behoren en zorgen dat ze aanwezig zijn in de overleggen en in schriftelijke rondes hun mails beantwoorden. Mochten deelnemers verhinderd zijn, zorgen zij zelf voor vervanging met dezelfde bevoegdheden als van de deelnemer.
Jaarplanning en rapportage
Jaarlijks stelt de Domeingroep Privacy & Beveiliging een jaarplan op met de geplande activiteiten voor dat jaar dat het combineert met de jaarplannen van de andere domeingroepen. Het gecombineerde jaarplan wordt voorgelegd aan het Managementoverleg afspraken en voorzieningen Suwi, die de inhoud bekrachtigt en voorziet in middelen (financieel en personele capaciteit) om de activiteiten te kunnen uitvoeren.
Aan het eind van ieder kalenderjaar volgt een kort jaarverslag samen met de andere domeingroepen.
Verantwoordelijkheid
Het Managementoverleg afspraken en voorzieningen Suwi draagt de verantwoordelijkheid voor het goed functioneren van de domeingroep over aan de directeur van BKWI. De directeur overlegt over het organiseren en faciliteren van de domeingroep desgewenst met de voorzitter. De deelnemende partijen dragen ook zorg voor het goed functioneren van de domeingroep met het aanleveren van gekwalificeerde mensen met het juiste mandaat.
Voorstellen en adviezen, die niet aan het Managementoverleg afspraken en voorzieningen Suwi voorgelegd hoeven worden, kunnen op advies van de domeingroep door de directeur van BKWI worden besloten. Daaronder vallen ook escalaties over issues die vallen onder de verantwoordelijkheid van de domeingroep.
Werkgroepen onder deze domeingroep
De domeingroep kan werkgroepen oprichten met materiedeskundigen, bijvoorbeeld voor het opstellen of bijhouden van normenkaders of verantwoordingsafspraken of om privacyvraagstukken af te stemmen. Het is niet noodzakelijk dat alle Suwi-partijen in iedere werkgroep vertegenwoordigd zijn.
Inbreng capaciteit en uren
De reguliere taken van de Domeingroep Privacy & Beveiliging vergen een tijdsbesteding van ongeveer 2 dagdelen per maand. In deze tijd zitten het voorbereiden en bijwonen van de bijeenkomsten en daarnaast uitvoer geven aan activiteiten die vallen onder de verantwoordelijkheid van de Domeingroep Privacy & Beveiliging.
Activiteiten voor vernieuwingen of andere initiatieven worden zoveel mogelijk in (tijdelijke) werkgroepen van de domeingroep opgepakt. De verantwoordelijkheid voor de bemensing van de onderliggende werkgroepen ligt bij de domeingroep-deelnemers van de Suwi-partijen.
Voor activiteiten die meer tijd en middelen vereisen kan de Domeingroep Privacy & Beveiliging een voorstel indienen bij het Managementoverleg afspraken en voorzieningen Suwi die daarmee ook de bemensing kan verzorgen. Dit voorstel wordt bij voorkeur via de jaarplannen gedaan.
Wat is onze relatie tot andere overleggen?
Bij de Domeingroep Privacy & Beveiliging komen de volgende aspecten van de informatievoorziening en gegevensuitwisseling samen:
De deelnemers van de domeingroep leveren onderwerpen aan vanuit hun organisatie die belangrijk zijn voor de centrale voorzieningen.
Het overleg beoordeelt verzoeken vanuit het Managementoverleg afspraken en voorzieningen Suwi op impact waaronder de inpasbaarheid in de normenkaders of verantwoordingsrichtlijn.
De domeingroep levert gevraagd en ongevraagd adviezen over de privacy en beveiliging in de Suwi-keten.
Producten van de werkgroepen, zoals een update van een normenkader, worden vastgesteld in de domeingroep en indien nodig, voorgelegd ter goedkeuring aan het Managementoverleg afspraken en voorzieningen Suwi.
Met andere domeingroepen afstemmen over impact bij domein-overstijgende onderwerpen.