De Privacy Baseline/Voorwoord: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
k (→‎Privacyvolwassenheid: soft hyphen ingevoerd - werkt dat?)
k (redactionele wijzigingsdatum aangepast)
 
(28 tussenliggende versies door 3 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{Hoofdstuk normenkader|Heeft bron=De Privacy Baseline
<noinclude>{{Hoofdstuk normenkader|Heeft bron=De Privacy Baseline
|Versieaanduiding=3.2|Publicatiedatum=6 mei 2019
|Versieaanduiding=3.3|Publicatiedatum=2019/05/06|Redactionele wijzigingsdatum=2022/02/17|Status actualiteit=Actueel
|ID=PRIV_XX}}</noinclude>
|ID=PRIV_010}}</noinclude>
==Voorwoord==
===Voorwoord===
Het kan voor organisaties een uitdaging zijn om op een juiste manier met persoonsgegevens om te gaan. Wat, waar, door wie en op welke wijze zaken geregeld moeten worden om privacy op een juiste wijze te waarborgen is voor (medewerkers van) organisaties niet altijd duidelijk. Dit is waarom de Privacy Baseline is ontwikkeld: de Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen.
Het kan voor organisaties een uitdaging zijn om op een juiste manier met persoonsgegevens om te gaan. Wat, waar, door wie en op welke wijze zaken geregeld moeten worden om privacy op een juiste wijze te waarborgen is voor (medewerkers van) organisaties niet altijd duidelijk. Dit is waarom de Privacy Baseline is ontwikkeld: de Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen van de Algemene verordening gegevensbescherming ([[AVG]]) en de Uitvoeringswet Algemene verordening gegevensbescherming ([[Uitvoeringswet AVG|UAVG]]) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen. Het niet naleven van de AVG kan verregaande (negatieve) consequenties hebben; zie hiervoor: [[De Privacy Baseline/Aanvullende informatie#Risico.27s_bij_niet_voldoen_aan_de_Avg|Aanvullende informatie: risico's bij niet voldoen aan de AVG]].


De samenstellers zijn uitgegaan van wat bij het schrijven van de teksten praktisch en volgens de vigerende inzichten en beschikbare kennisbronnen geacht werd juist te zijn. Zij voelen zich daarbij gesteund door de reviews in het kennisnetwerk van CIP, de Domeingroep Privacy in het bijzonder. In géén geval is de Privacy Baseline een vervanger voor de privacywetgeving zelf.
De samenstellers zijn uitgegaan van wat bij het schrijven van de teksten praktisch en volgens de vigerende inzichten en beschikbare kennisbronnen geacht werd juist te zijn. Zij voelen zich daarbij gesteund door de reviews in het kennisnetwerk van CIP, de Domeingroep Privacy in het bijzonder. Maar let op: in géén geval is de Privacy Baseline een vervanger voor de authentieke bronnen van de privacywetgeving zelf.
 
===Grip op privacy===
De Privacy Baseline is onderdeel van een set van samenhangende documenten onder de noemer 'Grip op privacy'. Naast deze Baseline heeft het CIP nog de volgende vier daarop geënte documenten gepubliceerd:
* Privacy by Design
* Privacy Governance ('Borging van privacy in organisaties')
* het Privacy Volwassenheidsmodel
* het Privacy Self Assessment
[[Bestand:Grip op privacy, invulling van de ACT privacydoelstellingen.jpg |thumb|left|350px|Grip op privacy, invulling van de ACT privacydoelstellingen|alt=”Grip op privacy, invulling van de ACT privacydoelstellingen.jpg]]
De eerste twee documenten zijn handreikingen voor het toepassen van de juiste maatregelen en het inrichten van de organisatie waarmee "Grip op privacy" op de meest efficiënte en effectieve wijze kan worden bereikt. Het zijn toelichtende verhandelingen over:
** Hoe je kunt bewerkstelligen dat het aspect privacy niet achteraf nog eens moet worden 'bijgeplakt', maar van begin af aan in de ontwikkeling van programmatuur wordt meegenomen (privacy by design).
** Hoe je privacy in alle relevante bedrijfsprocessen implementeert, borgt, kunt onderhouden en verbeteren (governance).
 
===Privacyvolwassenheid===
Bij deze Baseline hoort een speciaal daarop gebaseerd volwassenheids&shy;model. Door privacy actief te hanteren als kwaliteitselement in de bedrijfsvoering kunnen organisaties naar een hoger niveau van volwassenheid groeien en privacy benutten om de dienstverlening aan klanten op een hoger peil te brengen. Dit aspect wordt ter hand genomen in het document 'Privacyvolwassenheidsmodel', een praktische handleiding voor het vaststellen en vergroten van de organisatievolwassenheid in relatie tot de omgang met persoonsgegevens. Het model is afgeleid van gangbare 5-laagse volwassenheidsmodellen. Op basis van de mate waarin voldaan wordt aan de dertien criteria van de Privacy Baseline specificeert het model 5 niveaus op het aspect van privacy. Hoe volwassen gaat de organisatie met privacy om? Welk niveau wil de organisatie nastreven en wat is daarvoor nodig? Op deze vragen geeft het Privacy Self assessment (PriSa) antwoorden. Het assessmentrapport geeft aan wat nog te doen staat om het (zelf te kiezen) beoogde volwassenheidsniveau te bereiken. Op de website van het CIP (www.cip-overheid.nl) lees je er meer over.
 
Grip op privacy biedt concrete handvatten om de juiste omgang met persoonsgegevens te bewerkstelligen, te waarborgen en het privacybeleid passend, effectief en efficiënt in te passen in de bedrijfsvoering. Het gaat niet om de normen. Het gaat erom de ACT principes: Afscherming, Corrigeerbaarheid en Transparantie te realiseren en daarmee de betrokkene maximaal te respecteren in zijn privacy. Dit wordt verderop in dit thema uitgebreid behandeld, zie <ref>De CIP-publicaties in de serie 'Grip op Privacy' - en meer - zijn te vinden op de site van het CIP, onder de productenrubriek [https://www.cip-overheid.nl/category/producten/gegevens-bescherming/ Gegevensbescherming].</ref>.
 
===Draagvlak door brede inbreng uit het CIP-netwerk===
De methode 'Grip op Privacy' en de afzonderlijke documenten daarvan zijn tot stand gekomen door nauwe samenwerking met en tussen verschillende partijen in het CIP-netwerk. De auteurs danken alle CIP-ers, geïnterviewde deskundigen, leden van de CIP Domeingroep Privacy, de Werkgroepen Pb2Avg en Privacy by Design, die direct of indirect een bijdrage hebben geleverd aan het samenstellen van de methode. Hun bijdragen en het gegeven dat een breed palet van organisaties hen daartoe in staat stelt, geven de auteurs het vertrouwen dat de methode 'Grip op privacy' voldoende draagvlak heeft voor een brede toepassing en verdere ontwikkeling.


===Bij deze versie===
===Bij deze versie===
Deze versie van de Privacy Baseline is een aanpassing van voorgaande versie op grond van de in het voorjaar van 2018 van kracht geworden Uitvoeringswet . Het uitgangspunt van de wetgever voor de UAVG is nadrukkelijk geweest de bestaande Nederlandse wetgeving (de Wbp - Wet bescherming persoonsgegevens) zoveel mogelijk 'beleidsneutraal' over te nemen in de UAVG, daar waar de AVG dat toelaat of om invulling vraagt. Zonder volledig te zijn noemen wij hier :
Het uitgangspunt voor deze Privacy Baseline pagina's is de versie 3.2 van de 'papieren' editie (gepubliceerd in mei 2019). De 3.2 versie is een aanpassing van de voorgaande versie op grond van de in het voorjaar van 2018 van kracht geworden De Uitvoeringswet voor de AVG (UAVG). Omdat de omzetting van de papieren editie naar de wiki anno 2020 ook weer (lichte) redactionele wijzigingen met zich meebrengt, resulteert dat nu in een versie 3.3 voor zowel de wiki als het traditionele document.<br><br>
Het uitgangspunt van de wetgever voor de UAVG is nadrukkelijk geweest de bestaande Nederlandse wetgeving (de WBP - Wet bescherming persoonsgegevens) zoveel mogelijk 'beleidsneutraal' over te nemen in de UAVG, daar waar de AVG dat toelaat of om 'lidstatelijke' invulling vraagt. Zonder volledigheid te claimen geven wij hier de volgende voorbeelden:
* De handhaving van de leeftijdsgrens van 16 jaar voor de verwerking van de persoonsgegevens van kinderen op grond van toestemming, waar de AVG de mogelijkheid van 13 jaar geeft.
* De handhaving van de leeftijdsgrens van 16 jaar voor de verwerking van de persoonsgegevens van kinderen op grond van toestemming, waar de AVG de mogelijkheid van 13 jaar geeft.
* De handhaving (ex Wbp) van enkele specifieke uitzonderingen voor de verwerking van bijzondere gegevens. Houd er bijgeval rekening mee dat in Nederland specifieke uitzonderingen kunnen gelden die andere EU-lidstaten niet kennen.
* De handhaving (ex WBP) van enkele specifieke uitzonderingen voor de verwerking van bijzondere gegevens (UAVG art. 22 lid 2, art. 23-29, art. 30 lid 5 & 6). NB: wees erop verdacht dat in Nederland specifieke uitzonderingen kunnen gelden die andere EU-lidstaten niet kennen.
* De UAVG breidt de reikwijdte van het toepassingsgebied van de AVG uit naar (ook) activiteiten die buiten de werkingssfeer van het Unirecht vallen . Dit betekent dat in Nederland de AVG eigenlijk altijd geldt buiten de uitzonderingen die nog overeind zijn gebleven. Alleen gegevensverwerkingen op terreinen die in hun geheel zijn uitgezonderd van de werking van Europees recht, vallen buiten de materiële werkingssfeer van de verordening. Dit zijn uitsluitend verwerkingen in het kader van nationale veiligheid en verwerkingen door de krijgsmacht, en verwerkingen waarop de Gegevensbeschermingsrichtlijn opsporing en vervolging van strafbare feiten van toepassing is .
* De UAVG breidt de reikwijdte van het toepassingsgebied van de AVG uit naar (ook) activiteiten die buiten de werkingssfeer van het Unierecht vallen (UAVG art. 3). Dit betekent dat in Nederland de AVG eigenlijk altijd geldt buiten de uitzonderingen die nog overeind zijn gebleven. Alleen gegevensverwerkingen op terreinen die in hun geheel zijn uitgezonderd van de werking van Europees recht, vallen buiten de materiële werkingssfeer van de verordening. Dit zijn uitsluitend verwerkingen in het kader van nationale veiligheid en verwerkingen door de krijgsmacht, en verwerkingen waarop de Gegevensbeschermingsrichtlijn opsporing en vervolging van strafbare feiten van toepassing is.
* De UAVG heft het verbod om mensen te onderwerpen aan geautomatiseerde besluitvorming (met aanmerkelijke gevolgen voor betrokkenen) op indien de wet dat verplicht stelt. De UAVG vult hiermee AVG Art. 22 lid 2b in.
* De UAVG (UAVG art. 40) heft het verbod om mensen te onderwerpen aan geautomatiseerde besluitvorming (met aanmerkelijke gevolgen voor betrokkenen) op, indien de wet dat verplicht stelt. De UAVG vult hiermee AVG Art. 22 lid 2b in.
* Verwerking van biometrische gegevens is toegestaan voor authenticatie en beveiligingsdoeleinden .
* Verwerking van biometrische gegevens is toegestaan voor authenticatie en beveiligingsdoeleinden (UAVG art. 29).
* De uitzondering voor financiële instellingen om een datalek niet te hoeven te melden bij de betrokkene blijft bestaan. Zij moeten het datalek wel melden bij de Autoriteit Persoonsgegevens (AP) en de financiële toezichthouders. De financiële sector heeft eigen wetgeving die de zorgplicht jegens betrokkenen regelt.
* De uitzondering voor financiële instellingen om een datalek niet te hoeven te melden bij de betrokkene blijft bestaan. Zij moeten het datalek wel melden bij de [[AP (Autoriteit Persoonsgegevens)|Autoriteit Persoonsgegevens (AP)]] en de financiële toezichthouders. De financiële sector heeft eigen wetgeving die de zorgplicht jegens betrokkenen regelt.
* Ook overheidsorganisaties kunnen boetes krijgen van maximaal 10 respectievelijk 20 miljoen Euro .
* Ook overheidsorganisaties kunnen boetes krijgen van maximaal 10 respectievelijk 20 miljoen Euro (UAVG art. 18).
 
In deze versie zijn ook de inleidende teksten (tot aan deel I) herzien en zijn enkele inhoudelijke passages toegevoegd. Zo besteden we in de inleiding enige aandacht aan het verschil tussen de AVG (verordening), de Richtlijn opsporing en vervolging van strafbare feiten en de in de maak zijnde E-privacy wetgeving (EPV).
* In §1.3 en §1.4 gaan we kort in op gezamenlijke verwerkingsverantwoordelijkheid, naleving en aantoonbaarheid en de waarde van gegevensbeschermingseffect beoordelingen, ook wel PIA en DPIA genoemd . Ook het gebruik van strafrechtelijke gegevens en het Burgerservicenummer komen daar kort aan de orde. Waar van toepassing worden deze zaken overigens ook bij de criteria zelf behandeld (in deel II, de eigenlijke kern van de Baseline) en zijn noodzakelijke aanpassingen gemaakt.
* Het criterium 'U.01 Doelbinding gegevensverwerking' is grondig gereviseerd met betrekking - maar niet beperkt - tot bijzondere categorieën persoonsgegevens (blok /04); waar nodig zijn ook de overeenkomstige toelichtingen bij dit criterium en de indicatoren aangepast.


Voor het overige is de voorgaande versie gehandhaafd, met uitzondering van lichte tekstuele wijzigingen en verbeteringen naar aanleiding van opmerkingen van gebruikers.
Als direct gevolg van de UAVG is ook de Baseline aangepast. Met name het criterium 'U.01 Doelbinding gegevensverwerking' is grondig gereviseerd met betrekking - maar niet beperkt - tot bijzondere categorieën persoonsgegevens (blok /04); waar nodig zijn ook de overeenkomstige toelichtingen bij dit criterium en de indicatoren aangepast.


Veel artikelen in de AVG/UAVG gaan direct of indirect over de Autoriteit Persoonsgegevens. De bevoegdheden van de Nationale toezichthouder - de AP - en de eisen die de wet aan de AP stelt vallen buiten de scope van dit document. Het betreft Hoofdstuk 2 van de UAVG en de hoofdstukken VI en VII, en X en XI van de AVG. De bepalingen in deze hoofdstukken zijn voor de toepassing van de Privacy Baseline niet direct van belang. Hoofdstuk VIII en zeker hoofdstuk IX daarentegen ('Beroep, aansprakelijkheid en sancties' resp. 'Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking') kunnen voor organisaties c.q. verwerkingsverantwoordelijke en verwerkers nog wel degelijk relevant zijn. Dat kan ook gelden voor de UAVG Art. 15-20 (waaronder het al genoemde Art. 18: "Bestuurlijke boete aan overheden").
Veel artikelen in de AVG/UAVG gaan direct of indirect over de Autoriteit Persoonsgegevens. De bevoegdheden van de Nationale toezichthouder - de AP - en de eisen die de wet aan de AP stelt vallen buiten de scope van de Privacy Baseline. Het betreft Hoofdstuk 2 van de UAVG en de hoofdstukken VI en VII, en X en XI van de AVG. De bepalingen in deze hoofdstukken zijn voor de toepassing van de Baseline niet direct van belang. Hoofdstuk VIII en zeker hoofdstuk IX daarentegen ('Beroep, aansprakelijkheid en sancties' resp. 'Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking') kunnen voor organisaties c.q. verwerkingsverantwoordelijke en verwerkers nog wel degelijk relevant zijn. Dat kan ook gelden voor de UAVG Art. 15-20 (waaronder het al genoemde Art. 18: "Bestuurlijke boete aan overheden").


Over de AP nog dit: de AVG spreekt consequent over "de bevoegde toezichthoudende autoriteit". Dat moet, omdat het kan voorkomen dat de toezichthouder die een overtreding behandelt niet altijd de toezichthouder voor het land is waar de overtreding is geconstateerd. Tenzij de context anders vereist spreken wij hierna van 'de AP' als de bevoegde toezichthoudende autoriteit.
Over de AP nog dit: de AVG spreekt consequent over "de bevoegde toezichthoudende autoriteit". Dat moet, omdat het kan voorkomen dat de toezichthouder die een overtreding behandelt niet altijd de toezichthouder voor het land is waar de overtreding is geconstateerd. Tenzij de context anders vereist spreken wij hierna van 'de AP' als de bevoegde toezichthoudende autoriteit.


In dit document verwijzen wij naar deze Uitvoeringswet plus de Memorie van toelichting als: 'de Uitvoeringswet' of: 'de UAVG'. Wanneer we zonder verdere specificatie spreken van 'de AVG' of 'de privacywetgeving', dan bedoelen we daarmee de combinatie van de AVG en de UAVG.
Wij verwijzen naar de Uitvoeringswet plus de Memorie van toelichting als: 'de Uitvoeringswet' of: 'de UAVG'. Wanneer we zonder verdere specificatie spreken van 'de AVG' of 'de privacywetgeving', dan bedoelen we daarmee de combinatie van de AVG en de UAVG.
 
De Europese Unie heeft de AVG in verschillende talen (ook in het Nederlands) gepubliceerd op:
De Europese Unie heeft de AVG in verschillende talen (ook in het Nederlands) gepubliceerd op:
https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679. Bij onduidelijkheid over de betekenis van de teksten in een andere taal dan het Engels geldt de Engelstalige versie als de maatstaf.
https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679. Bij onduidelijkheid over de betekenis van de teksten in een andere taal dan het Engels geldt de Engelstalige versie als de maatstaf.
Regel 53: Regel 30:
* UAVG: https://wetten.overheid.nl/BWBR0040940/2019-02-19
* UAVG: https://wetten.overheid.nl/BWBR0040940/2019-02-19
* MvT UAVG: https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/memorie-van-toelichting-uitvoeringswet-algemene-verordening-gegevensbescherming.
* MvT UAVG: https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/memorie-van-toelichting-uitvoeringswet-algemene-verordening-gegevensbescherming.
Verantwoordelijk voor de eindredactie en het publicatie klaar maken van deze uitgave zijn Ruud de Bruijn en Marcel Koers. Reacties kun je sturen naar ruud.cip.debruijn@uwv.nl of - binnenkort - aanbrengen op de wiki van de Nora: https://www.noraonline.nl/wiki/Privacy_Baseline.
===Over CIP===
CIP is het Centrum voor informatiebeveiliging en privacybescherming van, voor en door overheidsorganisaties. Het is opgericht voor informatie-uitwisseling en kennisdeling ter verbetering van de informatieveiligheid van de overheidsdienstverlening en heeft zich ontwikkeld tot een publiek-private netwerkorganisatie, waarin ook gespecialiseerde marktorganisaties als kennispartners deelnemen. Kennis die in de aangesloten organisaties aanwezig is op het vlak van informatiebeveiliging en privacybescherming wordt binnen de samenwerking in CIP-verband op verschillende manieren gedeeld en toegankelijk gemaakt. Voldragen producten worden op de publieke site van het CIP gepubliceerd.
Door meer samen te doen en zo mogelijk te uniformeren draagt het CIP ook bij aan het optimaal gebruik van overheidsmiddelen. De publicaties van het CIP worden in principe om niet ter beschikking gesteld en kunnen, met inachtneming van de voorwaarden van [https://creativecommons.org/licenses/by-sa/3.0/nl/ Creative Commons Naamsvermelding-GelijkDelen], vrijelijk gebruikt worden.
====Voetnoot====
<References/>

Huidige versie van 17 feb 2022 om 11:36

Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: PRIV_010
Tekstpagina van normenkader
Status: Actueel
Publicatiedatum:
Redactionele wijzigingsdatum: 17-2-2022
Alle hoofdstukken bij De Privacy Baseline:

Voorwoord[bewerken]

Het kan voor organisaties een uitdaging zijn om op een juiste manier met persoonsgegevens om te gaan. Wat, waar, door wie en op welke wijze zaken geregeld moeten worden om privacy op een juiste wijze te waarborgen is voor (medewerkers van) organisaties niet altijd duidelijk. Dit is waarom de Privacy Baseline is ontwikkeld: de Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen van de Algemene verordening gegevensbescherming (AVG (Algemene Verordening Gegevensbescherming)) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen. Het niet naleven van de AVG kan verregaande (negatieve) consequenties hebben; zie hiervoor: Aanvullende informatie: risico's bij niet voldoen aan de AVG.

De samenstellers zijn uitgegaan van wat bij het schrijven van de teksten praktisch en volgens de vigerende inzichten en beschikbare kennisbronnen geacht werd juist te zijn. Zij voelen zich daarbij gesteund door de reviews in het kennisnetwerk van CIP, de Domeingroep Privacy in het bijzonder. Maar let op: in géén geval is de Privacy Baseline een vervanger voor de authentieke bronnen van de privacywetgeving zelf.

Bij deze versie[bewerken]

Het uitgangspunt voor deze Privacy Baseline pagina's is de versie 3.2 van de 'papieren' editie (gepubliceerd in mei 2019). De 3.2 versie is een aanpassing van de voorgaande versie op grond van de in het voorjaar van 2018 van kracht geworden De Uitvoeringswet voor de AVG (UAVG). Omdat de omzetting van de papieren editie naar de wiki anno 2020 ook weer (lichte) redactionele wijzigingen met zich meebrengt, resulteert dat nu in een versie 3.3 voor zowel de wiki als het traditionele document.

Het uitgangspunt van de wetgever voor de UAVG is nadrukkelijk geweest de bestaande Nederlandse wetgeving (de WBP - Wet bescherming persoonsgegevens) zoveel mogelijk 'beleidsneutraal' over te nemen in de UAVG, daar waar de AVG dat toelaat of om 'lidstatelijke' invulling vraagt. Zonder volledigheid te claimen geven wij hier de volgende voorbeelden:

  • De handhaving van de leeftijdsgrens van 16 jaar voor de verwerking van de persoonsgegevens van kinderen op grond van toestemming, waar de AVG de mogelijkheid van 13 jaar geeft.
  • De handhaving (ex WBP) van enkele specifieke uitzonderingen voor de verwerking van bijzondere gegevens (UAVG art. 22 lid 2, art. 23-29, art. 30 lid 5 & 6). NB: wees erop verdacht dat in Nederland specifieke uitzonderingen kunnen gelden die andere EU-lidstaten niet kennen.
  • De UAVG breidt de reikwijdte van het toepassingsgebied van de AVG uit naar (ook) activiteiten die buiten de werkingssfeer van het Unierecht vallen (UAVG art. 3). Dit betekent dat in Nederland de AVG eigenlijk altijd geldt buiten de uitzonderingen die nog overeind zijn gebleven. Alleen gegevensverwerkingen op terreinen die in hun geheel zijn uitgezonderd van de werking van Europees recht, vallen buiten de materiële werkingssfeer van de verordening. Dit zijn uitsluitend verwerkingen in het kader van nationale veiligheid en verwerkingen door de krijgsmacht, en verwerkingen waarop de Gegevensbeschermingsrichtlijn opsporing en vervolging van strafbare feiten van toepassing is.
  • De UAVG (UAVG art. 40) heft het verbod om mensen te onderwerpen aan geautomatiseerde besluitvorming (met aanmerkelijke gevolgen voor betrokkenen) op, indien de wet dat verplicht stelt. De UAVG vult hiermee AVG Art. 22 lid 2b in.
  • Verwerking van biometrische gegevens is toegestaan voor authenticatie en beveiligingsdoeleinden (UAVG art. 29).
  • De uitzondering voor financiële instellingen om een datalek niet te hoeven te melden bij de betrokkene blijft bestaan. Zij moeten het datalek wel melden bij de Autoriteit Persoonsgegevens (AP) en de financiële toezichthouders. De financiële sector heeft eigen wetgeving die de zorgplicht jegens betrokkenen regelt.
  • Ook overheidsorganisaties kunnen boetes krijgen van maximaal 10 respectievelijk 20 miljoen Euro (UAVG art. 18).

Als direct gevolg van de UAVG is ook de Baseline aangepast. Met name het criterium 'U.01 Doelbinding gegevensverwerking' is grondig gereviseerd met betrekking - maar niet beperkt - tot bijzondere categorieën persoonsgegevens (blok /04); waar nodig zijn ook de overeenkomstige toelichtingen bij dit criterium en de indicatoren aangepast.

Veel artikelen in de AVG/UAVG gaan direct of indirect over de Autoriteit Persoonsgegevens. De bevoegdheden van de Nationale toezichthouder - de AP - en de eisen die de wet aan de AP stelt vallen buiten de scope van de Privacy Baseline. Het betreft Hoofdstuk 2 van de UAVG en de hoofdstukken VI en VII, en X en XI van de AVG. De bepalingen in deze hoofdstukken zijn voor de toepassing van de Baseline niet direct van belang. Hoofdstuk VIII en zeker hoofdstuk IX daarentegen ('Beroep, aansprakelijkheid en sancties' resp. 'Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking') kunnen voor organisaties c.q. verwerkingsverantwoordelijke en verwerkers nog wel degelijk relevant zijn. Dat kan ook gelden voor de UAVG Art. 15-20 (waaronder het al genoemde Art. 18: "Bestuurlijke boete aan overheden").

Over de AP nog dit: de AVG spreekt consequent over "de bevoegde toezichthoudende autoriteit". Dat moet, omdat het kan voorkomen dat de toezichthouder die een overtreding behandelt niet altijd de toezichthouder voor het land is waar de overtreding is geconstateerd. Tenzij de context anders vereist spreken wij hierna van 'de AP' als de bevoegde toezichthoudende autoriteit.

Wij verwijzen naar de Uitvoeringswet plus de Memorie van toelichting als: 'de Uitvoeringswet' of: 'de UAVG'. Wanneer we zonder verdere specificatie spreken van 'de AVG' of 'de privacywetgeving', dan bedoelen we daarmee de combinatie van de AVG en de UAVG. De Europese Unie heeft de AVG in verschillende talen (ook in het Nederlands) gepubliceerd op: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679. Bij onduidelijkheid over de betekenis van de teksten in een andere taal dan het Engels geldt de Engelstalige versie als de maatstaf. De UAVG (BWBR0040940) en de Memorie van toelichting vind je hier:

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Betekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld.

De omschrijving van het functionele gebruik van de voorziening

Overgenomen van "https://www.noraonline.nl/index.php?title=De_Privacy_Baseline/Voorwoord&oldid=60603"