Alle privacyprincipes alle eigenschappen

Uit NORA Online
Versie door M.M.Vos (overleg | bijdragen) op 10 jan 2018 om 15:39 (aangemaakt naar testversie)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen

Op deze pagina vind u alle eigenschappen van alle Privacyprincipes uit de NORA. Privacyprincipes zijn themaprincipes die richtinggevende uitspraken doen over het thema of aspect Privacy.

Alle privacyprincipes[bewerken]

De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Privacyprincipes worden genoemd en gedefinieerd op de pagina Privacyprincipe. Deze tabel bevat alle mogelijke eigenschappen van Privacyprincipes, inclusief enkele technische checks. Er is ook een korte tabel met alleen de meest relevante inhoudelijke eigenschappen van privacyprincipes.

IDTitelKent ISOR-object met zelfde naamElementtypeDeze speciale eigenschap maakt deel uit van SmartCore. Gebruik deze eigenschap niet voor andere doeleinden.VersieaanduidingGebruik in Nederlandse publieke sectorStatus actualiteitPracticeRedactionele wijzigingsdatumPublicatiedatumBeschrijvingCriteriumDoelstellingRisicoBeveiligingsaspectInvalshoekIs uitwerking van (specificatie)PlaatjeConformiteitsindicatorHeeft bronIs uitwerking van
PRIV_B.01Privacy Beleid geeft duidelijkheid en sturingPrivacyprincipe3.3In gebruikActueelCIP26 juli 202116 oktober 2017Privacybeleid geeft op organisatie - en strategisch niveau duidelijkheid en daarmee sturing aan de inrichting van privacy.

Inhoud

Het privacybeleid geeft aan op welke wijze - door het treffen van maatregelen - voldaan wordt aan de van toepassing zijnde wet- en regelgeving. Omdat de wet- en regelgeving externe factoren zijn die kunnen veranderen, is periodieke review nodig om vast te stellen of het beleid nog voldoet. Maar ook interne factoren, zoals onvoldoende effectiviteit van het beleid en gewijzigde missie of visie, kunnen het nodig maken om te komen tot aanpassing van het beleid. Het volstaat dus niet om eenmalig beleid op te stellen en niet meer aan te passen. Door het beleidsproces cyclisch in te richten kan het beleid op de ontwikkelingen en de uitvoering afgestemd blijven.

Proces

De ontwikkeling van de organisatie tot een organisatie die aantoonbaar aan wet- en regelgeving voldoet (ofwel: 'compliant' is aan wet- en regelgeving), vraagt om een cyclisch proces. Dit houdt in dat er sprake is van een terugkoppelmechanisme waarbij - door inzicht in de uitvoering - het beleid kan worden bijgestuurd en gecorrigeerd. De Privacy Baseline is als cyclisch proces (Beleid, Uitvoering en Control) opgezet. Afspraken over hoe dit cyclische proces vormgegeven wordt maken onderdeel uit van het beleid.		De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegeven aan de wettelijke beginselen AVG Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'.Privacybeleid dient ervoor om op organisatie- en strategisch niveau duidelijkheid te geven over de inrichtingskeuzes van privacy en te waarborgen dat de verwerking van gegevens op een rechtmatige wijze plaatsvindt.Het ontbreken van een privacybeleid leidt ertoe dat de organisatie geen duidelijkheid heeft over wat precies wordt verwacht, waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden verwerkt (zoals: verzamelen, bewerken, inzien, etcetera).BeleidOnbekendprivacybeleidDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)
PRIV_B.02Organieke inbeddingPrivacyprincipe3.3In gebruikActueelCIP26 juli 202116 oktober 2017Het waarborgen van de privacy ligt niet bij één persoon. Een veelheid van personen binnen een organisatie is betrokken om aan de vereisten van de wet- en regelgeving te kunnen voldoen.De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.Het doel van een heldere verdeling van taken en bevoegdheden, van middelen en rapportagelijnen is waarborgen dat op de juiste wijze invulling wordt gegeven aan de eisen van het privacybeleid en de AVG.Door het ontbreken van een goede en inzichtelijke taakverdeling en de daarvoor benodigde middelen en rapportagelijnen is niet altijd duidelijk wie wat moet doen, waardoor de eisen van de AVG, de sectorspecifieke wetgeving en het privacybeleid niet effectief worden ingevuld.BeleidOnbekendverdeling van de taken en verantwoordelijkheden, benodigde middelen, rapportagelijnenDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)
PRIV_B.03Risicomanagement, Privacy by Design en de DPIAPrivacyprincipe3.3In gebruikActueelCIP10 september 202016 oktober 2017Risicomanagement is een continu proces dat de privacyrisico's signaleert, beoordeelt en een passende behandeling daarvan bewaakt. Privacy-risicomanagement richt zich op het beheersen van privacyrisico's bij het verwerken, waaronder verzamelen, opslaan en doorgeven van persoonsgegevens. Door middel van privacy-risicomanagement worden, bij de ontwikkeling, de inrichting en de inzet van de gegevensverwerking voor de organisatie de privacyrisico's in lijn gebracht met het privacybeleid (zie: B01). Zo wordt voldaan aan de wet- en regelgeving en worden de belangen van de betrokkenen gewaarborgd.De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.Beoordeling van de privacyrisico's (de kans en hun potentiële omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht.Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de AVG voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt.BeleidOnbekendhet beoordelen van de privacyrisico's, passende maatregelen, aantonenDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
PRIV_C.01Intern toezichtPrivacyprincipe3.3In gebruikActueelCIP10 september 202016 oktober 2017Binnen de organisatie wordt toezicht gehouden op de rechtmatigheid van de gegevensverwerking. Een gegevensverwerking is rechtmatig als deze voldoet aan de eisen die de AVG, sectorspecifieke wetgeving en/of een (eventuele) Gedragscode stelt.Door of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond.Het doel van 'Intern toezicht' is het garanderen van een rechtmatige, behoorlijke en transparantie verwerking van persoonsgegevens, het garanderen van naleving van de AVG en van andere wet- en regelgeving betreffende de gegevensbescherming, en het garanderen en aantoonbaar maken van naleving van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens.Als de verwerking van persoonsgegevens niet voldoet aan de AVG, dan zijn de risico's tweeledig: de betrokkene loopt persoonlijke privacyrisico's en de verwerkingsverantwoordelijke wordt geconfronteerd met politiek-bestuurlijke en/of juridische maatregelen, verlies van vertrouwen en beschadiging van imago als gevolg van communicatieve of handhavende maatregelen van betrokkenen, derden en/of de toezichthoudende autoriteiten.ControlOnbekendinformatie en rechtmatigheid aangetoondDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
PRIV_C.02Toegang gegevensverwerking voor betrokkenenPrivacyprincipe3.3In gebruikActueelCIP10 september 202016 oktober 2017Iedere betrokkene heeft (binnen grenzen van redelijkheid) het recht te weten of, door wie, waarvoor en op welke wijze zijn persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke moet deze transparantie kunnen bieden. Deze transparantie is nodig om de betrokkene of diens wettelijke vertegenwoordiger in staat te stellen - indien nodig - zonder onevenredige kosten en/of moeite zijn gegevens te laten corrigeren of de verantwoordelijke (in rechte) aan te spreken bij onrechtmatigheid van een gegevensverwerking opdat deze onrechtmatigheid beëindigd wordt.
Voorafgaand aan de verwerking van de persoonsgegevens worden betrokkenen geïnformeerd over de verwerking conform PRIV_U.05: Bewaren van persoonsgegevens, en zijn binnen de verwerkingen voorzieningen getroffen waarmee de betrokkene controle over zijn gegevens kan houden, PRIV_U.03: Kwaliteitsmanagement.		De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG Art. 12, tenzij er een specifieke uitzonderingsgrond geldt.Het doel van 'Toegang gegevensverwerking voor betrokkene' is om zo nodig transparantie te bieden over de gegevensverwerking, zodat de betrokkene zijn rechten kan uitoefenen en zo de verantwoordelijke kan aanspreken bij onrechtmatigheid van een gegevensverwerking, opdat deze onrechtmatigheid beëindigd wordt.De organisatie is niet transparant, waardoor het inzicht in de rechtmatigheid van organisaties ontbreekt, waardoor het vertrouwen in een organisatie verloren gaat.ControlOnbekendinformatie over de verwerking van persoonsgegevens, tijdig, in een passende vorm, specifieke uitzonderingsgrondDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
PRIV_C.03Meldplicht DatalekkenPrivacyprincipe3.3In gebruikActueelCIP26 juli 202116 oktober 2017Het bieden van inzicht in een datalek en de mogelijke gevolgen ervan, kan mogelijk (negatieve) consequenties voor de betrokkenen beperken. Een datalek is een "inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensAVG Art. 4.

NB: De Engelse tekst spreekt hier van "personal data breach".

De meldplicht datalekken wordt behandeld in AVG Art. 33 en 34. Zie ook AVG overweging 85. In de UAVG is niets over de meldplicht opgenomen, anders dan het uitsluiten van financiële ondernemingen als bedoeld in de Wet op het financieel toezicht (UAVG Art. 42).		De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de Autoriteit Persoonsgegevens, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.Het doel van 'Meldplicht datalekken' is negatieve consequenties van een datalek te beperken en waar mogelijk te voorkomen.Negatieve consequenties die de persoonlijke levenssfeer van de betrokkene treffen.ControlOnbekendmeldt een datalek, gestelde termijn, documenteert de inbreuk, uitzonderingDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)
PRIV_U.01Doelbinding gegevensverwerkingPrivacyprincipe3.3In gebruikActueelCIP26 juli 202116 oktober 2017Het uitgangspunt van doelbinding is, dat gegevens worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doel. 'Welbepaald en uitdrukkelijk omschreven' houdt in dat men geen gegevens mag verzamelen zonder een precieze doelomschrijving. Het doel moet zijn bepaald alvorens men tot verzamelen overgaat. 'Welbepaald' houdt in dat deze doelomschrijving duidelijk moet zijn, niet zo vaag of ruim dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevens nodig zijn voor dat doel of niet. Het doel mag ook niet in de loop van het verzamelproces geformuleerd worden. 'Uitdrukkelijk omschreven' houdt in dat de verantwoordelijke het doel waarvoor hij verwerkt moet hebben omschreven.De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
  • De doeleinden, en:
  • De rechtvaardigingsgronden voor:
  1. De verdere verwerking op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
  2. De geautomatiseerde besluitvorming;
  3. De bijzondere categorieën persoonsgegevens;
  4. De persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten;
  5. Het nationaal identificerend nummer;
  6. De persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang.
Het doel van 'Doelbinding gegevensverwerking' is om te waarborgen dat persoonsgegevens alleen worden verzameld en (verder) verwerkt voor gerechtvaardigde doeleinden.Het ongeoorloofd en onrechtmatig verzamelen en (verder) verwerken van persoonsgegevens.UitvoeringOnbekendtijdig, welbepaald en uitdrukkelijk omschrevenDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)
PRIV_U.02Register van verwerkingsactiviteitenPrivacyprincipe3.3In gebruikActueelCIP10 september 202016 oktober 2017Om de naleving van de AVG aan te kunnen tonen dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevondenAVG overweging 82..
Binnen een organisatie kan dit via gegevensmanagement worden vastgelegd. De vastlegging maakt duidelijk hoe de verschillende organisatieonderdelen de bedrijfsprocessen ondersteunen en welke beveiligingsmaatregelen (op hoofdlijnen) zijn getroffen voor de verwerkingen en betrokkenen. Het register maakt toezicht op de verwerkingsactiviteiten mogelijk.		De verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens.Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens.Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen.UitvoeringOnbekendregister, actueel en samenhangend beeldDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
PRIV_U.03KwaliteitsmanagementPrivacyprincipe3.3In gebruikActueelCIP10 september 202016 oktober 2017Kwaliteitsmanagement zorgt voor de processen die bij onjuistheid en onnauwkeurigheid van de gegevens of bij ongewenste verwerking de gegevens rectificeren, volledig maken, wissen, de verwerking beperken of toestemming tot verwerking intrekken.De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit gebeurt op verzoek van betrokkene dan wordt deze over de status van de afhandeling geïnformeerd.'Kwaliteitsmanagement' moet ervoor zorgen dat een gegevensverwerking correct en in overeenstemming met de wens van betrokkenen is.Wanneer de gegevens onjuist of onnauwkeurig zijn ingevoerd of gecorrumpeerd raken, worden verkeerde conclusies over de betrokkene getrokken met negatieve consequenties of naar het oordeel van betrokkene ongewenste verwerking van zijn of haar persoonsgegevens tot gevolg.UitvoeringOnbekendjuistheid en nauwkeurigheid, gecorrigeerd, gestaakt of overgedragen, geïnformeerdDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
PRIV_U.04Beveiligen van de verwerking van persoonsgegevensPrivacyprincipe3.3In gebruikActueelCIP26 juli 202116 oktober 2017Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder - in het geval van persoonsgegevens - ook de AVG).De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen voor verwerking van persoonsgegevens op een passend beveiligingsniveauAVG Art. 32.Het doel van 'beveiligen van de verwerking van persoonsgegevens' is persoonsgegevens te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking.Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevens.UitvoeringOnbekendtechnische en organisatorische maatregelen, een passend beveiligingsniveauDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)
PRIV_U.05Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensPrivacyprincipe3.3In gebruikActueelCIP26 juli 202116 oktober 2017Wie persoonsgegevens verstrekt aan een organisatie heeft het recht te weten waarvoor, op welke wijze en door wie deze gegevens worden gebruikt. De organisatie heeft hiertoe een informatieplicht. Deze informatieplicht geldt ook wanneer persoonsgegevens van anderen worden ontvangen.De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG Art. 14.Het doel van 'Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens' is om transparantie aan betrokkene te garanderen over de gegevensverzameling en de verwerking, zodat de betrokkene zijn rechten kan uitoefenen overeenkomstig de beginselen van behoorlijke en transparante verwerkingAVG Art. 12 en overweging 60.De organisatie is niet transparant, waardoor de organisatie niet kan verantwoorden dat de gegevensverwerking voldoet aan de beginselen van behoorlijke en transparante verwerking, met mogelijk hoge kosten tot gevolg.UitvoeringOnbekendtijdig, informatie, toestemming, uitzonderingDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)
PRIV_U.06Bewaren van persoonsgegevensPrivacyprincipe3.3In gebruikActueelCIP26 juli 202116 oktober 2017Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld of niet langer dan de bewaartermijn die sectorspecifieke wetgeving stelt. De bewaartermijn kan worden beëindigd door actieve verwijdering van de gegevens of door anonimisering van de persoonsgegevens. Bij anonimisering zijn de gegevens niet meer herleidbaar tot de betrokkenen.
NB: De AVG is niet van toepassing op de persoonsgegevens van overleden personenAVG overweging 27: "De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen.".		Door het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden.Het doel van 'Bewaren van persoonsgegevens' is te borgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het te bereiken doel.Onnodig bewaarde persoonsgegevens kunnen worden verwerkt voor andere dan de oorspronkelijke doelen.UitvoeringOnbekendbewaartermijn, nodige maatregelenDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)
PRIV_U.07Doorgifte persoonsgegevensPrivacyprincipe3.3In gebruikActueelCIP10 september 202016 oktober 2017Doorgifte kan plaatsvinden aan verwerker(s) en aan andere verwerkingsverantwoordelijke(n). Een verwerker verricht de verwerking namens een verwerkingsverantwoordelijkeAVG Art. 28 lid 1.

NB: indien een verwerker in strijd met de Avg handelt, wordt die verwerker als verwerkingsverantwoordelijke beschouwdAVG Art. 28 lid 10.
Waar sprake is van meerdere verwerkingsverantwoordelijken, bepalen zij gezamenlijk de doelstellingen en middelen voor de verwerking en zijn zij gezamenlijke verwerkingsverantwoordelijkenAVG art. 27 lid 1.

Bij de doorgifte wordt onderscheid gemaakt tussen doorgifte binnen de EU, waar de AVG geldt, en doorgifte naar buiten de EU. Als doorgifte naar buiten de EU plaatsvindt, dan spreekt de AVG van doorgifte aan derde landen en internationale organisaties.		Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

Bij de doorgifte naar buiten de EU:

  • Is er een vertegenwoordiger, en:
  • Is geen sprake van uitzonderingsgronden, en:
  • Geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
  • Zijn er passende waarborgenAVG Art. 44, of:
  • Geldt een afwijking voor een specifieke situatie.
Het doel van de vereisten bij 'Doorgifte persoonsgegevens' is te waarborgen dat persoonsgegevens op een rechtmatige manier worden doorgegeven, op een juiste manier worden gebruikt en dat de verantwoordelijkheid voor deze rechtmatigheid en juistheid ingeregeld blijft.Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.UitvoeringOnbekendonderlinge verantwoordelijkheden, afdoende garantiesDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)

Nederlandse Overheid Referentie Architectuur.

Inzicht in de werkwijze die de overheid hanteert.

Overgenomen van "https://www.noraonline.nl/index.php?title=Alle_privacyprincipes_alle_eigenschappen&oldid=25485"