De Privacy Baseline/Voorwoord: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
k (1 versie: Import teksten Privacy)
 
k (redactionele wijzigingsdatum aangepast)
 
(44 tussenliggende versies door 5 gebruikers niet weergegeven)
Regel 1: Regel 1:
<noinclude>{{Deel van privacy baseline|versieaanduiding=3.0|publicatiedatum=12 mei 2017|ID=PRIV_XX}}</noinclude>
<noinclude>{{Hoofdstuk normenkader|Heeft bron=De Privacy Baseline
==Voorwoord versie 3.0==
|Versieaanduiding=3.3|Publicatiedatum=2019/05/06|Redactionele wijzigingsdatum=2022/02/17|Status actualiteit=Actueel
Het kan voor organisaties een uitdaging zijn om op een juiste manier met persoonsgegevens om te gaan. Wat, waar, door wie en op welke wijze zaken geregeld moeten worden om privacy op een juiste wijze te waarborgen is voor (medewerkers van) organisaties niet altijd duidelijk. Dit is waarom de Privacy Baseline is ontwikkeld: de Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen van de Algemene verordening gegevensbescherming (Avg) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen.
|ID=PRIV_010}}</noinclude>
===Voorwoord===
Het kan voor organisaties een uitdaging zijn om op een juiste manier met persoonsgegevens om te gaan. Wat, waar, door wie en op welke wijze zaken geregeld moeten worden om privacy op een juiste wijze te waarborgen is voor (medewerkers van) organisaties niet altijd duidelijk. Dit is waarom de Privacy Baseline is ontwikkeld: de Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen van de Algemene verordening gegevensbescherming ([[AVG]]) en de Uitvoeringswet Algemene verordening gegevensbescherming ([[Uitvoeringswet AVG|UAVG]]) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen. Het niet naleven van de AVG kan verregaande (negatieve) consequenties hebben; zie hiervoor: [[De Privacy Baseline/Aanvullende informatie#Risico.27s_bij_niet_voldoen_aan_de_Avg|Aanvullende informatie: risico's bij niet voldoen aan de AVG]].


De eerste editie van de Baseline heeft de Wet bescherming persoonsgegevens (Wbp) als uitgangs-punt. Dat document (versie 2.0) is geldig tot 25 mei 2018. Op die datum komt de huidige nationale Wbp te vervallen en hebben organisaties zich te houden aan de Europese Avg. De Uitvoeringswet Algemene verordening gegevensbescherming en het Memorie van toelichting maken onderdeel uit van een breder pakket dat in zijn geheel de verordening EU/2016/679 en de richtlijn EU/2016/680 zal uitvoeren respectievelijk implementeren.  
De samenstellers zijn uitgegaan van wat bij het schrijven van de teksten praktisch en volgens de vigerende inzichten en beschikbare kennisbronnen geacht werd juist te zijn. Zij voelen zich daarbij gesteund door de reviews in het kennisnetwerk van CIP, de Domeingroep Privacy in het bijzonder. Maar let op: in géén geval is de Privacy Baseline een vervanger voor de authentieke bronnen van de privacywetgeving zelf.


Déze editie van de Baseline (Versie 3.0) is de eerste versie die de Algemene verordening gegevens¬bescherming (Avg) als uitgangspunt neemt. De Avg is de eerste Europese privacywet en is op 26 mei 2016 in werking getreden. Aan de verordening is vijf jaar is gewerkt en zij bevat nog veel concessies aan de lidstaten.
===Bij deze versie===
Het uitgangspunt voor deze Privacy Baseline pagina's is de versie 3.2 van de 'papieren' editie (gepubliceerd in mei 2019). De 3.2 versie is een aanpassing van de voorgaande versie op grond van de in het voorjaar van 2018 van kracht geworden De Uitvoeringswet voor de AVG (UAVG). Omdat de omzetting van de papieren editie naar de wiki anno 2020 ook weer (lichte) redactionele wijzigingen met zich meebrengt, resulteert dat nu in een versie 3.3 voor zowel de wiki als het traditionele document.<br><br>
Het uitgangspunt van de wetgever voor de UAVG is nadrukkelijk geweest de bestaande Nederlandse wetgeving (de WBP - Wet bescherming persoonsgegevens) zoveel mogelijk 'beleidsneutraal' over te nemen in de UAVG, daar waar de AVG dat toelaat of om 'lidstatelijke' invulling vraagt. Zonder volledigheid te claimen geven wij hier de volgende voorbeelden:
* De handhaving van de leeftijdsgrens van 16 jaar voor de verwerking van de persoonsgegevens van kinderen op grond van toestemming, waar de AVG de mogelijkheid van 13 jaar geeft.
* De handhaving (ex WBP) van enkele specifieke uitzonderingen voor de verwerking van bijzondere gegevens (UAVG art. 22 lid 2, art. 23-29, art. 30 lid 5 & 6). NB: wees erop verdacht dat in Nederland specifieke uitzonderingen kunnen gelden die andere EU-lidstaten niet kennen.
* De UAVG breidt de reikwijdte van het toepassingsgebied van de AVG uit naar (ook) activiteiten die buiten de werkingssfeer van het Unierecht vallen (UAVG art. 3). Dit betekent dat in Nederland de AVG eigenlijk altijd geldt buiten de uitzonderingen die nog overeind zijn gebleven. Alleen gegevensverwerkingen op terreinen die in hun geheel zijn uitgezonderd van de werking van Europees recht, vallen buiten de materiële werkingssfeer van de verordening. Dit zijn uitsluitend verwerkingen in het kader van nationale veiligheid en verwerkingen door de krijgsmacht, en verwerkingen waarop de Gegevensbeschermingsrichtlijn opsporing en vervolging van strafbare feiten van toepassing is.
* De UAVG (UAVG art. 40) heft het verbod om mensen te onderwerpen aan geautomatiseerde besluitvorming (met aanmerkelijke gevolgen voor betrokkenen) op, indien de wet dat verplicht stelt. De UAVG vult hiermee AVG Art. 22 lid 2b in.
* Verwerking van biometrische gegevens is toegestaan voor authenticatie en beveiligingsdoeleinden (UAVG art. 29).
* De uitzondering voor financiële instellingen om een datalek niet te hoeven te melden bij de betrokkene blijft bestaan. Zij moeten het datalek wel melden bij de [[AP (Autoriteit Persoonsgegevens)|Autoriteit Persoonsgegevens (AP)]] en de financiële toezichthouders. De financiële sector heeft eigen wetgeving die de zorgplicht jegens betrokkenen regelt.
* Ook overheidsorganisaties kunnen boetes krijgen van maximaal 10 respectievelijk 20 miljoen Euro (UAVG art. 18).


Vooralsnog wordt deze nadere uitwerking aan de Nationale wetgeving van de lidstaten overgelaten. Voor Nederland krijgt dit vorm in een uitvoeringswet bij de Avg. Deze wet vult de plaatsen in die in de Europese Avg aan de lidstaten ter invulling zijn overgelaten. De ambitie van CIP is om deze Baseline hiermee uiteindelijk volledig te laten overeenkomen. In dit document verwijzen wij naar deze uitvoeringswet plus de memorie van toelichting als: de Uitvoeringswet Avg.
Als direct gevolg van de UAVG is ook de Baseline aangepast. Met name het criterium 'U.01 Doelbinding gegevensverwerking' is grondig gereviseerd met betrekking - maar niet beperkt - tot bijzondere categorieën persoonsgegevens (blok /04); waar nodig zijn ook de overeenkomstige toelichtingen bij dit criterium en de indicatoren aangepast.


Het format van de Privacy Baseline is dat van de normenkaders, zoals die al jaren in het domein van informatiebeveiliging worden gebruikt. Het is een 'normenkader privacy' geworden en dat maakt het niet direct een gemakkelijk leesbaar document. Het is eerder een naslagwerk waarmee de verwerkingsverantwoordelijke kan controleren in hoeverre hij aan privacy wet- en regelgeving voldoet en afwegingen kan maken bij die zaken die hem daarvoor - volgens de Baseline - nog te doen staan.
Veel artikelen in de AVG/UAVG gaan direct of indirect over de Autoriteit Persoonsgegevens. De bevoegdheden van de Nationale toezichthouder - de AP - en de eisen die de wet aan de AP stelt vallen buiten de scope van de Privacy Baseline. Het betreft Hoofdstuk 2 van de UAVG en de hoofdstukken VI en VII, en X en XI van de AVG. De bepalingen in deze hoofdstukken zijn voor de toepassing van de Baseline niet direct van belang. Hoofdstuk VIII en zeker hoofdstuk IX daarentegen ('Beroep, aansprakelijkheid en sancties' resp. 'Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking') kunnen voor organisaties c.q. verwerkingsverantwoordelijke en verwerkers nog wel degelijk relevant zijn. Dat kan ook gelden voor de UAVG Art. 15-20 (waaronder het al genoemde Art. 18: "Bestuurlijke boete aan overheden").
===Grip op privacy===
De Privacy Baseline is onderdeel van een set van samenhangende documenten onder de noemer 'Grip op privacy'. Naast deze Baseline heeft het CIP nog de volgende vier daarop geënte documenten gepubliceerd:
* privacy by Design
* privacy Governance
* het Privacy Volwassenheidsmodel
* het Privacy Self Assessment
De eerste twee documenten zijn handreikingen voor het toepassen van de juiste maatregelen en het inrichten van de organisatie waarmee "Grip op privacy" op de meest efficiënte en effectieve wijze kan worden bereikt.
Het zijn toelichtende verhandelingen over:
- Hoe je kunt bewerkstelligen dat het aspect privacy niet achteraf nog eens moet worden 'bijgeplakt', maar van begin af aan in de ontwikkeling van programmatuur wordt meegenomen (privacy by design).
- Hoe je privacy in alle relevante bedrijfsprocessen implementeert, borgt, kunt onderhouden en verbeteren (governance).


Bij deze Baseline hoort een speciaal daarop gebaseerd volwassenheidsmodel. Door privacy actief te hanteren als kwalitatief element in de bedrijfsvoering, kunnen organisaties privacy benutten om de dienstverlening aan klanten op een hoger peil te brengen (privacy als 'unique selling point') en zo naar een hoger niveau van volwassenheid te komen. Dit aspect wordt ter hand genomen in het document 'Privacy Volwassenheidsmodel', een praktische handleiding voor het vaststellen en vergroten van de organisatievolwassenheid in relatie tot de omgang met persoonsgegevens.
Over de AP nog dit: de AVG spreekt consequent over "de bevoegde toezichthoudende autoriteit". Dat moet, omdat het kan voorkomen dat de toezichthouder die een overtreding behandelt niet altijd de toezichthouder voor het land is waar de overtreding is geconstateerd. Tenzij de context anders vereist spreken wij hierna van 'de AP' als de bevoegde toezichthoudende autoriteit.


Het Privacy volwassenheidsmodel is tevens een referentiemodel, afgeleid van gangbare 5-laagse volwassenheidsmodellen. Het model specificeert 5 niveaus op het aspect van privacy op basis van de mate waaraan voldaan wordt aan de dertien criteria van de Privacy Baseline.
Wij verwijzen naar de Uitvoeringswet plus de Memorie van toelichting als: 'de Uitvoeringswet' of: 'de UAVG'. Wanneer we zonder verdere specificatie spreken van 'de AVG' of 'de privacywetgeving', dan bedoelen we daarmee de combinatie van de AVG en de UAVG.
Hoe volwassen gaat de organisatie met privacy om? Welk niveau wil de organisatie nastreven en wat is daarvoor nodig? Op deze vragen geeft het Privacy self assessment tool antwoorden. Het tool geeft aan wat nog te doen staat om het (aan het begin zelf gekozen) beoogde volwassenheidsniveau te bereiken.
De Europese Unie heeft de AVG in verschillende talen (ook in het Nederlands) gepubliceerd op:
 
https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679. Bij onduidelijkheid over de betekenis van de teksten in een andere taal dan het Engels geldt de Engelstalige versie als de maatstaf.
Grip op privacy biedt concrete handvatten om de juiste omgang met persoonsgegevens te bewerkstelligen, te waarborgen en het privacybeleid passend, effectief en efficiënt in te passen in de bedrijfsvoering. Het gaat niet om de normen. Het gaat erom de ACT principes: Afscherming, Corrigeerbaarheid en Transparantie te realiseren en daarmee de betrokkene maximaal te respecteren in zijn privacy. Dit wordt verderop in het document uitgebreid behandeld.
De UAVG (BWBR0040940) en de Memorie van toelichting vind je hier:
* UAVG: https://wetten.overheid.nl/BWBR0040940/2019-02-19
Draagvlak door brede inbreng uit het CIP-netwerk
* MvT UAVG: https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/memorie-van-toelichting-uitvoeringswet-algemene-verordening-gegevensbescherming.
De methode 'Grip op Privacy' en de afzonderlijke documenten daarvan zijn tot stand gekomen door nauwe samenwerking met en tussen verschillende partijen in het CIP-netwerk. De auteurs danken alle CIP-ers, geïnterviewde deskundigen, leden van de CIP Domeingroep Privacy, de Werkgroep Pb2Avg en de Werkgroep Privacy By Design, die een bijdrage hebben geleverd aan het samenstellen van de methode. Hun bijdragen en het gegeven dat een breed palet van organisaties hen daartoe in staat stelt, geven de auteurs het vertrouwen dat de methode 'Grip op privacy' voldoende draagvlak heeft voor een brede toepassing en verdere ontwikkeling.
===Over CIP===
CIP is het [[Centrum voor Informatiebeveiliging en Privacybescherming (CIP)|Centrum voor Informatiebeveiliging en Privacybescherming]] van, voor en door overheidsorganisaties. Het heeft zich ontwikkeld tot een publiek-private netwerkorganisatie, waarin ook gespecialiseerde marktorganisaties als kennispartners deelnemen.
Het centrum is opgericht voor informatie-uitwisseling en kennisdeling ter verbetering van de informatieveiligheid van de overheidsdienstverlening. Inmiddels bestaat het CIP-netwerk uit een groot aantal overheidsorganisaties en (private) kennispartners. Kennis die in deze organisaties aanwezig is op het vlak van informatiebeveiliging en privacybescherming wordt binnen de samenwerking in CIP-verband op verschillende manieren gedeeld en toegankelijk gemaakt.
 
Het produceren van themadocumenten met zoveel mogelijk inbreng vanuit het netwerk is er één van. Aangesloten organisaties leren van elkaars oplossingen en werkwijzen en kunnen samen komen tot afspraken daaromtrent. Door meer samen doen draagt het CIP ook bij aan het optimaal gebruik van overheidsmiddelen. De producten van het CIP worden om niet ter beschikking gesteld.

Huidige versie van 17 feb 2022 om 11:36

Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: PRIV_010
Tekstpagina van normenkader
Status: Actueel
Publicatiedatum:
Redactionele wijzigingsdatum: 17-2-2022
Alle hoofdstukken bij De Privacy Baseline:

Voorwoord[bewerken]

Het kan voor organisaties een uitdaging zijn om op een juiste manier met persoonsgegevens om te gaan. Wat, waar, door wie en op welke wijze zaken geregeld moeten worden om privacy op een juiste wijze te waarborgen is voor (medewerkers van) organisaties niet altijd duidelijk. Dit is waarom de Privacy Baseline is ontwikkeld: de Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen van de Algemene verordening gegevensbescherming (AVG (Algemene Verordening Gegevensbescherming)) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen. Het niet naleven van de AVG kan verregaande (negatieve) consequenties hebben; zie hiervoor: Aanvullende informatie: risico's bij niet voldoen aan de AVG.

De samenstellers zijn uitgegaan van wat bij het schrijven van de teksten praktisch en volgens de vigerende inzichten en beschikbare kennisbronnen geacht werd juist te zijn. Zij voelen zich daarbij gesteund door de reviews in het kennisnetwerk van CIP, de Domeingroep Privacy in het bijzonder. Maar let op: in géén geval is de Privacy Baseline een vervanger voor de authentieke bronnen van de privacywetgeving zelf.

Bij deze versie[bewerken]

Het uitgangspunt voor deze Privacy Baseline pagina's is de versie 3.2 van de 'papieren' editie (gepubliceerd in mei 2019). De 3.2 versie is een aanpassing van de voorgaande versie op grond van de in het voorjaar van 2018 van kracht geworden De Uitvoeringswet voor de AVG (UAVG). Omdat de omzetting van de papieren editie naar de wiki anno 2020 ook weer (lichte) redactionele wijzigingen met zich meebrengt, resulteert dat nu in een versie 3.3 voor zowel de wiki als het traditionele document.

Het uitgangspunt van de wetgever voor de UAVG is nadrukkelijk geweest de bestaande Nederlandse wetgeving (de WBP - Wet bescherming persoonsgegevens) zoveel mogelijk 'beleidsneutraal' over te nemen in de UAVG, daar waar de AVG dat toelaat of om 'lidstatelijke' invulling vraagt. Zonder volledigheid te claimen geven wij hier de volgende voorbeelden:

  • De handhaving van de leeftijdsgrens van 16 jaar voor de verwerking van de persoonsgegevens van kinderen op grond van toestemming, waar de AVG de mogelijkheid van 13 jaar geeft.
  • De handhaving (ex WBP) van enkele specifieke uitzonderingen voor de verwerking van bijzondere gegevens (UAVG art. 22 lid 2, art. 23-29, art. 30 lid 5 & 6). NB: wees erop verdacht dat in Nederland specifieke uitzonderingen kunnen gelden die andere EU-lidstaten niet kennen.
  • De UAVG breidt de reikwijdte van het toepassingsgebied van de AVG uit naar (ook) activiteiten die buiten de werkingssfeer van het Unierecht vallen (UAVG art. 3). Dit betekent dat in Nederland de AVG eigenlijk altijd geldt buiten de uitzonderingen die nog overeind zijn gebleven. Alleen gegevensverwerkingen op terreinen die in hun geheel zijn uitgezonderd van de werking van Europees recht, vallen buiten de materiële werkingssfeer van de verordening. Dit zijn uitsluitend verwerkingen in het kader van nationale veiligheid en verwerkingen door de krijgsmacht, en verwerkingen waarop de Gegevensbeschermingsrichtlijn opsporing en vervolging van strafbare feiten van toepassing is.
  • De UAVG (UAVG art. 40) heft het verbod om mensen te onderwerpen aan geautomatiseerde besluitvorming (met aanmerkelijke gevolgen voor betrokkenen) op, indien de wet dat verplicht stelt. De UAVG vult hiermee AVG Art. 22 lid 2b in.
  • Verwerking van biometrische gegevens is toegestaan voor authenticatie en beveiligingsdoeleinden (UAVG art. 29).
  • De uitzondering voor financiële instellingen om een datalek niet te hoeven te melden bij de betrokkene blijft bestaan. Zij moeten het datalek wel melden bij de Autoriteit Persoonsgegevens (AP) en de financiële toezichthouders. De financiële sector heeft eigen wetgeving die de zorgplicht jegens betrokkenen regelt.
  • Ook overheidsorganisaties kunnen boetes krijgen van maximaal 10 respectievelijk 20 miljoen Euro (UAVG art. 18).

Als direct gevolg van de UAVG is ook de Baseline aangepast. Met name het criterium 'U.01 Doelbinding gegevensverwerking' is grondig gereviseerd met betrekking - maar niet beperkt - tot bijzondere categorieën persoonsgegevens (blok /04); waar nodig zijn ook de overeenkomstige toelichtingen bij dit criterium en de indicatoren aangepast.

Veel artikelen in de AVG/UAVG gaan direct of indirect over de Autoriteit Persoonsgegevens. De bevoegdheden van de Nationale toezichthouder - de AP - en de eisen die de wet aan de AP stelt vallen buiten de scope van de Privacy Baseline. Het betreft Hoofdstuk 2 van de UAVG en de hoofdstukken VI en VII, en X en XI van de AVG. De bepalingen in deze hoofdstukken zijn voor de toepassing van de Baseline niet direct van belang. Hoofdstuk VIII en zeker hoofdstuk IX daarentegen ('Beroep, aansprakelijkheid en sancties' resp. 'Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking') kunnen voor organisaties c.q. verwerkingsverantwoordelijke en verwerkers nog wel degelijk relevant zijn. Dat kan ook gelden voor de UAVG Art. 15-20 (waaronder het al genoemde Art. 18: "Bestuurlijke boete aan overheden").

Over de AP nog dit: de AVG spreekt consequent over "de bevoegde toezichthoudende autoriteit". Dat moet, omdat het kan voorkomen dat de toezichthouder die een overtreding behandelt niet altijd de toezichthouder voor het land is waar de overtreding is geconstateerd. Tenzij de context anders vereist spreken wij hierna van 'de AP' als de bevoegde toezichthoudende autoriteit.

Wij verwijzen naar de Uitvoeringswet plus de Memorie van toelichting als: 'de Uitvoeringswet' of: 'de UAVG'. Wanneer we zonder verdere specificatie spreken van 'de AVG' of 'de privacywetgeving', dan bedoelen we daarmee de combinatie van de AVG en de UAVG. De Europese Unie heeft de AVG in verschillende talen (ook in het Nederlands) gepubliceerd op: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679. Bij onduidelijkheid over de betekenis van de teksten in een andere taal dan het Engels geldt de Engelstalige versie als de maatstaf. De UAVG (BWBR0040940) en de Memorie van toelichting vind je hier:

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Betekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld.

De omschrijving van het functionele gebruik van de voorziening

Overgenomen van "https://www.noraonline.nl/index.php?title=De_Privacy_Baseline/Voorwoord&oldid=60603"