GDPR
Geïntegreerd Project Management
Het GDPR-team
Het implementeren van GDPR verloopt projectmatig. Bij de start van het GDPR-project, wordt een GDPR-projectteam samengesteld dat bestaat uit:
- de CEO, de algemeen directeur, de eindverantwoordelijke van de onderneming
- de DPO of GDPR Project Manager zorgen voor het aanvullen van content en coördineren de contacten met de verantwoordelijken van de Business Processen
- medewerkers en verantwoordelijken van Business Processen zorgen voor content en bezorgen die aan de DPO of GDPR-PM en lezen de eindversies na
- externe consultant die zorgt voor de integriteit van het volledige GDPR-dossier
Wanneer in de rest van deze Wiki gesproken wordt over DPO, dan wordt daar altijd mee bedoeld DPO of GDPR Project Manager. De GDPR project manager wordt soms afgekort als GDPR-PM.
Indien de onderneming reeds een Chief Security Officer (CSO) of Chief Information Security Officer (CISO) heeft, dan zal die ook lid zijn van het GDPR-team. Indien de CSO of CISO niet rapporteert aan de CIO maar rechtstreeks aan het Directiecomité, dan kan deze persoon de rol van DPO op zich nemen; dit laatste is een verplichte voorwaarde om DPO te kunnen zijn.
In sommige ondernemingen wordt ook iemand van de Juridische Dienst afgevaardigd als lid in het GDPR-team.
Plan van Aanpak
Het GDPR-project bestaat uit 13 stappen. Voor elk van deze stappen is er in de GDPR-Wiki een pagina voorzien. Voor sommige pagina's zoals het Dataregister, bestaat de hoofdpagina uit een lijst die doorlinkt naar een subpagina met de details.
Tijdens de vergaderingen van het GDPR-team, zal het Dataregister van het GDPR-dossier systematisch aangevuld worden met alle business processen waarin verwerkingen van persoonsgegevens gebeuren. Voor elk business process wordt een lijn in het Dataregister toegevoegd en een detailpagina aangemaakt.
Voor de verwerkingen van risicovolle gegevens en gegevens in speciale categorieën ( Artikel 9 ) zal een Gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd worden.
Om de integriteit van de status van het project te garanderen, kan enkel de DPO of de GDPR-project manager een nieuwe pagina aanmaken; enkel de DPO kan een bestaande pagina verwijderen en finaal goedkeuren.
Projectmatig werken in een Workflow
de workflow in zes stappen
0 = een statische pagina die niet tot de essentie van het GDPR-dossier behoort en daarom nooit moet goedgekeurd worden; een voorbeeld hiervan is de projectpagina. De pagina's met een 0-status zijn niet zichtbaar in de AZ-lijst omdat die niet relevant zijn.
1 = wanneer een nieuwe pagina aangemaakt wordt, krijgt die status=1. Voorbeeld de lege pagina's die aangemaakt worden in het dataregister, gebaseeerd op de standaard templates met als bedoeling in het AZ-overzicht deze processen reeds te zien verschijnen. 1 betekent dus dat de pagina wel al bestaat maar dat er nog geen relevante inhoud aan toegevoegd is.
2 = werkdocument, er wordt aan dit document nog steeds inhoud toegevoegd. Indien er open vragen door de externe consultant toegevoegd zijn aan het document, dan verschijnt er in de AZ-lijn een oranje icon (signaal voor de DPO om dit document eens te bekijken).
3 = dit document is klaar voor nalezing; dit is het signaal van de externe consultant aan de DPO om deze pagina grondig na te lezen en indien de pagina ok is, voegt de DPO onderaan een groen bericht toe met een OK en eventueel een korte opmerking. Indien er groene opmerkingen toegevoegd worden door de DPO, verschijnt er in de AZ-lijst een groen icon (signaal voor de externe consultant om de pagina opnieuw te bekijken en eventueel de status te verhogen naar 4).
4 = de externe consultant heeft de pagina een laatste maal nagelezen en is akkoord met de inhoud, waardoor deze pagina de status krijgt van QR-goedkeuring. Belangrijke opmerking: de QR-code zal maar verschijnen indien op de allerlaatste regel van de pagina helemaal onderaan het document de volgende code is toegevoegd: ``
5 = de pagina is goedgekeurd via de smartphone van de DPO en de namen van de verantwoordelijke van het proces (indien voorzien bovenaan in het document) en de DPO verschijnen onderaan het document.
de status van een document
De status van een document in de workflow is zichtbaar in de topnavigatie via .
| S | status | ExtCon | DPO | ProcesV | wat |
|---|---|---|---|---|---|
| 0 | GDPR-Wiki systeempagina, niet wijzigbaar door een gebruiker | ||||
| 1 | pagina is aangemaakt maar er is nog geen content toegevoegd | ||||
| 2 | pagina wordt opgebouwd, vaak met nog vragen naar aanvullingen, in oranje fluo | ||||
| 3 | eindredactie ((groen)) bericht toevoegen onderaan |
||||
| 4 | document is klaar om goedgekeurd te worden (QR-code) | ||||
| 5 | pagina is goedgekeurd |
- ExtCon = externe consultant
- DPO = Data Protection Officer of GDPR Project Manager
- ProcesV = Proces Verantwoordelijke
Speciale acties en icons
- actie voor DPO : deze pagina is afgewerkt door de externe consultant en is klaar om nagelezen te worden; vermoedelijk zijn er nog een aantal ontbrekende gegevens die moeten aangevuld worden, de DPO voegt onderaan de pagina een ((
groen)) bericht toe indien de pagina correct en volledig is. - actie voor DPO : er zijn nog vragen naar bijkomende gegevens op de pagina, de DPO coördineert de vragen naar aanvullende informatie. Dit icon verschijnt tot zolang er in de pagina oranje fluo-vragen voorkomen.
- actie voor externe consultant : alle ontbrekende gegevens zijn aangevuld, de pagina is besproken met de procesverantwoordelijken, de pagina is compleet en correct en is en klaar voor de goedkeuring. Dit icon verschijnt wanneer de DPO ergens op de pagina een ((
groen)) bericht heeft toegevoegd, meestal onderaan het document. - actie voor de DPO : deze pagina kan via de QR-code goedkeurd worden.
De kan door de DPO of GDPR-PM onderaan de pagina toegevoegd worden als een ((groen)) bericht. De inhoud van het bericht is niet belangrijk en mag door DPO of GDPR-PM zelf bepaald worden. Van zodra een ((groen)) bericht gevonden wordt om het even waar op de pagina, zal dit icon verschijnen.
Telkens wanneer een document gewijzigd wordt, zal de status wijzigen naar status=2.
Een goedgekeurde pagina kan nog gewijzigd worden, maar dan krijgt die automatisch weer status=2 en zal eenzelfde workflow gevolgd worden als hierboven om het document weer definitief goed te keuren.
Aanmaken van een nieuwe pagina
BELANGRIJK het webadres van een Wiki-pagina
In een Wiki is er geen automatische navigatie. De navigatie wordt opgebouwd door links te leggen tussen pagina's. Het is dus belangrijk bij het aanmaken van een nieuwe pagina de url van de pagina in de index van het GDPR-dossier toe te voegen, zoniet zal de pagina onbereikbaar zijn.
webadres van een nieuwe pagina: /
organisatie/naam-van-de-pagina
organisatievervangen door de Wiki-naam van het bedrijf of de vereniging
enkel kleine letters gebruiken enkel het min-teken mag gebruikt worden als speciaal teken, ook geen spaties gebruiken
Er zijn een aantal conventies die gevolgd worden bij het geven van een naam van een pagina, bedoeld om het overzicht te behouden:
- /
org/dataregister-bp01 : dit is de naam van een detailpagina van een proces in het dataregister; bp01 staat voor business proces 01 - /
org/verslag-YYYY-MM-DD-korte-titel: dit is de naam van een pagina die een verslag van een vergadering bevat
Goedkeuren van een pagina
Bij elk GDPR-dossier is er één verantwoordelijke aangeduid die als coördinator de voortgang van het GDPR-project opvolgt. Dit kan de DPO, de Project Manager GDPR of iemand van de directie zijn die deze taak op zich neemt. Op aanvraag is het mogelijk om meerdere personen aan te duiden die een pagina kunnen goedkeuren. Eén van de taken van deze persoon is het goedkeuren van afgewerkte pagina's in het GDPR-dossier.
In de eerste versie van een pagina komen vaak nog enkele vragen voor om bepaalde gegevens aan te vullen. Van zodra de pagina volledig afgewerkt is, zal die nagelezen worden door de verantwoordelijke van het proces en de DPO of Projectmanager voor GPDR. Indien er geen opmerkingen meer zijn, zal de pagina status=4 krijgen. Daardoor verschijnt onderaan de pagina een QR-code.
Er kan een onderscheid gemaakt worden tussen goedkeuren en eindredactie. Voor de pagina's uit het Dataregister is het vaak de verantwoordelijke van het Business Process die na een laatste lezing van de pagina de goedkeuring geeft dat de pagina correct is. Deze goedkeuring wordt intern aan de GDPR-verantwoordelijke gegeven die er voor zorgt dat deze goedkeuring geregistreerd wordt onderaan de pagina. Enkele de GDPR-verantwoordelijke kan de finale goedkeuring registreren.
Indien de goedkeuring gegeven wordt door een andere persoon dan de GDPR-verantwoordelijke, dan worden de gegevens van de goedkeurende persoon bovenaan de pagina toegevoegd in de metadata, gebaseerd op twee ACTION-keywords:
- GOEDKEURINGNAAM:
- GOEDKEURINGDATUM:
(de datum wordt geschreven als YYYY-MM-DD )
Het inscannen van de QR-code gebeurt met een smartphone: het is belangrijk dat de gebruiker op de smartphone ingelogd is op de GDPR-Wiki; dit is uiteraard om veiligheidsredenen, zodat enkel de bevoegde gebruiker een pagina in het GDPR-dossier kan goedkeuren.
Webadres: https://gdpr-dossier.wiki
inloggen met dezelfde logingegevens als op de computer.
Met een iPhone volstaat het de camera te activeren en de iPhone op ongeveer 20cm van het scherm te houden zodat de QR-code op het scherm van de iPhone verschijnt; automatisch zal dan bovenaan een link verschijnen naar gdpr-dossier.wiki. Het is niet nodig op de knop te drukken op een foto te maken, het bericht zal automatisch verschijnen van zodra de camera de QR-code “gezien” heeft.
Met een Android smartphone gaat dit even gemakkelijk, maar het kan zijn, afhankelijk van de Android-versie, dat een (gratis) app QR-code-reader moet geïnstalleerd worden.
Door te klikken op de link die bovenaan verschijnt, wordt de pagina goedgekeurd:
Open gdpr-dossier.wiki in Safari.
Op de smartphone zal de goedkeuring op dat moment reeds zichtbaar zijn, door te scrollen naar de onderkant van de pagina.
De goedkeuring verschijnt pas op het scherm van de computer wanneer de pagina opnieuw geladen wordt (CTRL+R op een Windows computer :: command+R op een Apple computer)
Zo ziet een pagina eruit onderaan na goedkeuring, in dit voorbeeld is de goedkeurende persoon iemand anders dan de GDPR-verantwoordelijke.
In de AZ-lijst is in één oogopslag duidelijk wat de status is van de pagina’s in het GDPR-dossier. De goedgekeurde pagina’s verschijnen als vijf groene punten.
Een goedgekeurde pagina wijzigen
Wanneer een goedgekeurde pagina gewijzigd wordt, gaat de goedkeuring verloren. Daarom wordt een extra bevestiging gevraagd. Door te klikken op de knop Deze pagina wijzigen bevestigt de gebruiker het voornemen om de pagina te wijzigen waardoor de goedkeuring verloren gaat.
Na de wijzigingen zal TRIOS de pagina weer in status=4 zetten waardoor de pagina opnieuw kan goedgekeurd worden via de QR-code
integreren eigen documenten en images
In bepaalde gevallen kan het handig zijn om eigen foto's, schermafdrukken of PDF-documenten te uploaden naar het GDPR-dossier. Deze functie kan geactiveerd worden op de Projectpagina van het GDPR-dossier. Enkel bestanden van het type image en PDF kunnen geüpload worden met een maximale grootte van 2MB.
- klik op de oranje knop om een bestand te kiezen ergens op de eigen harde schrijf of netwerk
- klik op de blauwe knop [ verzend bestand ]
Na het uploaden verschijnt het bevestigingsscherm en het Markdown-webadres van het bestand dat via kopie/plakken kan ingevoegd worden in een pagina van het GDPR-dossier.
