File 20220801 ESF DPIA by DPO of PNO
Inleiding
Deze Data Protectie Impact Analyse (DPIA) gaat over een door PNO ontwikkelde digitale applicatie met Internet toegang – kortweg ESF-app -, die de administratie van een ‘VSO arbeidsmarkt project’ ondersteunt, welke gefinancierd wordt uit het Europese Steun Fonds (ESF).
Omdat er met Persoonsgegevens – van deelnemers / Data Subjects en van ESF-app gebruikers – wordt gewerkt, is deze DPIA nodig.
Persoonlijke data stromen binnen het project als volgt:
Data Subject –> School –> Klant <–> PNO
Deze DPIA is een verplichting van onze Klant want die is de controller in de zin van de AVG / GDPR als het gaat om persoonlijke data.
De Klant mandateert in de ESF-app een School om gegevens van Data Subjecten te verwerken.
De Klant en / of School zal van Data Subject toestemming voor verwerking moeten verzamelen. Wellicht wordt dat een digitaal bestand (scan?) die in de ESF-app als bewijsstuk bij dossier over Data Subject opgeslagen wordt.
PNO zal hoogstwaarschijnlijk een Verwerkers Overeenkomst (VO) moeten tekenen als Verwerker.
Het initiatief voor een VO ligt bij de klant. Waarschijnlijk is ook de School verplicht een VO te tekenen.
PNO heeft een standaard format VO: https://dpo.pno.group/Verwerkersovereenkomst.
Met de ESF app faciliteert PNO de data verwerking en verzorgt de gebruikersrol super-administrator.
De huidige 2022 versie ESF app is bij PNO Enschede ontwikkeld. De volgende versie (2023) zal door PNO INNEN gemaakt worden.
Twee data verzamelingen
Voor de ESF-app zijn er twee onafhankelijke verzamelingen gegevens, te weten:
- School, Klant en PNO ESF-app-gebruiker gegevens met gekoppeld rollen en rechten.
- Data Subject gegevens en meta-data in database en / of bestanden.
Voor 1 geldt regulier en incidenteel het ‘gebruikers logging en management’ waarbij TFA (twee factor authenticatie m.b.v. mobiele telefoon) aan te bevelen is. Als dat technisch snel in-schakelbaar is, is het advies om dat te doen.
Bij eerste inlog van gebruikers, vanuit de bevestiging e-mail die naar gebruikers bij aanmelding wordt gestuurd, wordt instemming met Privacy Statement en Nettiquette verplicht, evenals afdwingen van reset en instellen nieuw wachtwoord. De populatie gebruikers moet per arbeidsmarktregio – in bovenstaand schema op niveau Klant – in de gaten worden gehouden.
De hosting maatschappijen van PNO zijn ISO 27001 gecertificeerd zodat integriteit ESF-app en data gemonitord wordt. De super-administrator rol ligt bij PNO Nehem, ondersteunt door PNO IT Enschede.
Voor 2 is het idee om alle bestanden en databases met gegevens van data Subject(s) encrypted op te slaan. Alleen de partij School kan bij de details per Data Subject voor de ‘eigen School’. Klant en PNO zien alleen rapportages (geaggregeerde) meta gegevens. Het gaat onder andere om bestanden met Handtekening / parafenlijst, Deelnemerslijst, Absentielijsten en Klassenlijsten. Communicatie via Internet gaat altijd over beveiligde verbindingen.
Welke (persoonlijke) data van Data Subject betreft het
DEELNEMERS: Voor- / achternaam, BSN-Nummer, start- en einddatum cursusinschrijving, certificaat behaald, absentiedagen, email
GEBRUIKERS: Voor- / achternaam, telefoon, email
ORGANISATIES: Naam, adres, telefoon, email
Is mailing lijst/audio/video/F2F deelnemers lijst van toepassing
Nee
Zij Leveranciers voorwaarden van toepassing
Te bezien; waarschijnlijk.
Toestemming Data Subject
Zonder toestemming (tick box) komt de gebruiker het systeem niet in.
Klant / School moet toestemming Data Subject (Deelnemer) verzamelen.
Is PNO Privacy Statement van toepassing
Momenteel het PNO PS.
Te bezien valt of de Klant een ander PS wil; lijkt logisch.
Werking PNO Cookie Policy
Er worden alleen functionele cookies (cross-pagina toegang tot authenticatie data) gebruikt.
Er wordt geen gedrag van gebruikers getrackt.
Van toepassing zijnde Nettiquette
Zodra er een account aangemaakt wordt langs consent vraag over Nettiquette.
PS Deze Nettiquette wel maken; WBSO heeft voorbeeld; gaat om juist gebruik (geen defamation, IP infringements etc uploaden).
Waar worden data opgeslagen/geprocessed (within EER)
Op servers van PNO / PNO hosting organisatie die ISO 27001 gecertificeerd is.
Bij PNO en/of bij Amazon (binnen de EER).
Is toegang tot Personal Data gelimiteerd
Ja, door cascade rollen / rechten zijn dossiers beperkt inzien-baar; anonieme geaggregeerde informatie wel breder beschikbaar. Persoonlijke data is alleen toegankelijk voor gebruikers die daar bewust toegangsrechten toe hebben verkregen.
Is host ISO 27001 gecertificeerd
PNO / INNEN ISO 27001, host van INNEN ISO 27001.
Hoe worden data verstuurd
Via de app; https, ev FileCap bij e-mail, ssl Internet verbinding.
Welke data worden gedeeld met wie
Data Subject informatie wordt gedeeld met de School.
Meta data wordt gedeeld met Klant.
PNO krijgt informatie / data ter digitale verwerking.
PNO en Klant verwerken data van app gebruikers.
Welke periode(s) van toepassing (project duur, belastingwet etc)
Waarschijnlijk 7 jaar; check ESF informatie.
Hoe worden data geanonymizeerd
Niet, maar Amazon S3 geeft mogelijkheid om bestanden standaard te encrypten.
Hoe worden data geschoond
Na 3 jaar dossiers opschonen.
Hoe/wanneer worden data opgeruimd
Na 7 jaar bewaren vernietigen bestanden en databases.
Hoe kan Data Subject rechten uitoefenen
Alle communicatie met gdpr@pno.group of vertegenwoordiger Klant (Controller).
Dekt PNO Privacy Statement alle data in kwestie
In zijn algemeenheid wel.
Indien PNO slechts Verwerker dan geldt Privacy Statement van de opdrachtgever / Controller.
Dekt PNO Cookie Policy alle data in kwestie
Ja.
Is er een Processing Agreement nodig
Ja, opdrachtgevers als Gemeenten (Klant) willen Controller zijn en dus is PNO verwerker.
Welke technische en/of organisatorische maatregelen
GDPR by design voor de nieuwe app; dus steeds kijken bij ontwerpen / programmeren / organiseren hoe de stroom persoonlijke data onder controle is.