IB&P - Voeren registers voor BIR en AVG compliance

Hier vindt u een beschrijving van gegevensverwerking IB&P - Voeren registers voor BIR en AVG compliance in het kader van de Algemene Verordening Gegevensbescherming(AVG), met als doelen:

  • Bijhouden register van datalekken en bijhouden meldingen richting Autoriteit Persoonsgegevens
    Wettelijke verplichting
  • Bijhouden register voor alle Informatiebeveiligingsmeldingen.
    Gerechtvaardigd belang. Een register om alle meldingen van beveiligingsincidenten stelt het CBG in staat gerichte acties te ondernemen en informatiebeveiliging te verbeteren.
  • Het bijhouden van het register van de verwerkingsactiviteiten die onder de verantwoordelijkheid van het ministerie van VWS plaatsvinden. Doel is: transparantie over de verwerkingen van persoonsgegevens, en bevorderen van het toezicht op de naleving van de AVG.
    Wettelijke verplichting
  • Bijhouden status en bewijslast van de BIR compliance in het ISMS.
    Wettelijke verplichting. Een status en bewijslast van BIR compliance maakt de transitie naar BIR compliance gemakkelijker en beter gecontroleerd.
  • Bijhouden register voor risico’s op gebied van informatiebeveiliging & privacy
    Gerechtvaardigd belang. Een register van alle risico's van IB en P stelt het CBG in staat gerichte acties te ondernemen op deze risico's om deze waar mogelijk te verkleinen of te mitigeren.

Betrokkene en gegevens

Van wie worden welke gegevens verwerkt en wat is het doel hiervan.

CISO

  • Gegevens: Naam, zakelijke contactgegevens
  • Verzameldoel: Bijhouden register van datalekken en bijhouden meldingen richting AP
  • Bewaartermijn: Tot einde dienstverband
  • Bron: Betrokkene
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.

Melder data- of IB-lek

  • Gegevens: Naam, zakelijke contactgegevens
  • Verzameldoel: Bijhouden register van datalekken en bijhouden meldingen richting AP
  • Bewaartermijn: Onbepaald
  • Bron: Betrokkene
  • Betrokkenen waren verplicht deze gegevens aan te leveren.
    Gevolgen bij het niet aanleveren: Verplicht vanuit wetgeving

Privacy-coördinatoren of andere contactpersonen die namens een verantwoordelijke uit in de organisatie van VWS belast zijn met de uitvoering van de AVG.

  • Gegevens: Naam en zakelijke contactgegevens
  • Verzameldoel: Ondersteunen van de Functionaris voor de gegevensbescherming (FG) over de verwerkingen.
  • Bewaartermijn: Zolang gegevens actueel zijn en zijn opgenomen in het register
  • Bron: Betrokkene
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.

Organisaties of personen aan wie de verwerking van persoonsgegevens is uitbesteed (verwerkers)

  • Gegevens: NAW gegevens en zakelijke contactgegevens
  • Verzameldoel: Het bijhouden van het register van de verwerkingsactiviteiten die onder verantwoordelijkheid van VWS plaatsvinden. Doel is: transparantie over de verwerkingen van persoonsgegevens, en bevorderen van het toezicht op de naleving van de AVG.
  • Bewaartermijn: Zolang gegevens actueel zijn en zijn opgenomen in het register
  • Bron: Betrokkene
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.

Contactgegevens van gebruikers van het register

  • Gegevens: Naam en zakelijke contactgegevens
  • Verzameldoel: Functioneel en technisch beheer van het AVG-register
  • Bewaartermijn: Zolang gegevens actueel zijn en zijn opgenomen in het register
  • Bron: Betrokkene
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.

Medewerkers ISMS

  • Gegevens: Naam, bij voorkeur wordt met rollen gewerkt maar in spaarzame gevallen is de naam beschikbaar.
  • Verzameldoel: Bijhouden status en bewijslast van de BIR compliance in het ISMS.
  • Bewaartermijn: Tot einde dienstverband
  • Bron: Betrokkene
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.

Beheerders en procesmanagers

  • Gegevens: Naam, zakelijke contactgegevens
  • Verzameldoel: Bijhouden register voor alle Informatiebeveiligingsmeldingen.
  • Bewaartermijn: Tot einde dienstverband
  • Bron: Betrokkene
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.

Automatische besluitvorming

Er is geen sprake van besluitvorming over persoonsgegevens op basis van automatisch verwerkte gegevens.

Ontvangers

Gegevens worden verstrekt aan onderstaande 'ontvangers'.

  • Autoriteit Persoonsgegevens
  • Medewerkers IB&P
  • Management en directie
  • Procesmanagers en beheerders
  • Medewerkers VWS CIO office

Doorgifte buiten EU

Er is geen sprake van doorgifte van persoonsgegevens aan één of meer landen buiten de Europese Unie of aan een internationale organisatie.

 

Download 'IB&P - Voeren registers voor BIR en AVG compliance'

PDF document

Verantwoordelijke

Adjunct Directeur agentschap College Beoordeling van Geneesmiddelen (aCBG)

Bezoekadres

Graadt van Roggeweg 500
3531AH UTRECHT
NEDERLAND

Postadres

Postbus 8275
3503RG UTRECHT
NEDERLAND

Zie ook

Referentie

Verwerkingsnummer: M5073
Type: Secundair