De Privacy Baseline/alle normen alle eigenschappen

Uit NORA Online
< De Privacy Baseline
Versie door Peterm (overleg | bijdragen) op 25 jan 2023 om 20:27 ({{Privacy}} Toegevoegd)
Naar navigatie springen Naar zoeken springen


Privacy
Onderdeel van
Thema's
Contact
Patrick Dersjant
pdersjant@minszw.nl
Status
Actueel


ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.

In deze tabel staan alle normen uit De Privacy Baseline, met het unieke ID, het

trefwoord uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download en in uitgebreide versie met alle bestaande eigenschappen.
IDConformiteitsindicatorStelling
PRIV_B.01.01.01privacybeleidHet beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG Art. 5 lid 2.
PRIV_B.01.01.02privacybeleidHet privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren.
PRIV_B.01.01.03privacybeleidHet topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens.
PRIV_B.01.01.04privacybeleidDe organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden.
PRIV_B.01.01.05privacybeleidIn het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegeven aan de eisen van de sectorspecifieke wetgeving.
PRIV_B.01.01.06privacybeleidIn het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)AVG Art. 25 en Art. 64 lid 2.
PRIV_B.01.02.01wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen.
PRIV_B.01.02.02wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt.
PRIV_B.01.02.03wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt.
PRIV_B.01.02.04wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren.
PRIV_B.01.02.05wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
PRIV_B.01.02.06wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen.
PRIV_B.01.02.07wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren.
PRIV_B.01.02.08wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd.
PRIV_B.01.02.09wettelijke beginselenBeschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond.
PRIV_B.01.02.10wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen.
PRIV_B.02.01.01verdeling van de taken en verantwoordelijkhedenDe eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is.
PRIV_B.02.01.02verdeling van de taken en verantwoordelijkhedenDe verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:


Het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
Een stelselmatige observatie op grote schaal is vereist: een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
De gegevens betreffen bijzondere categorieën persoonsgegevens, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens, conform U.01/04 of AVG (Algemene Verordening Gegevensbescherming) Art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of AVG (Algemene Verordening Gegevensbescherming) Art. 10 (zie PRIV_U.01: Doelbinding gegevensverwerking).

In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een FG hebben aangewezen.
PRIV_B.02.01.03verdeling van de taken en verantwoordelijkhedenBij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst.
PRIV_B.02.01.04verdeling van de taken en verantwoordelijkhedenDe taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt.
PRIV_B.02.02.01benodigde middelenGekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.
PRIV_B.02.03.01rapporteringslijnenDe rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd.
PRIV_B.03.01.01het beoordelen van de privacyrisico'sWanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1.
PRIV_B.03.01.02het beoordelen van de privacyrisico'sWanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in.
PRIV_B.03.01.03het beoordelen van de privacyrisico'sTen minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11..
PRIV_B.03.01.04het beoordelen van de privacyrisico'sWanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36..
PRIV_B.03.02.01passende maatregelenDe maatregelen bestaan uit technische en organisatorische maatregelen.
PRIV_B.03.02.02passende maatregelenPassende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25.
PRIV_B.03.02.03passende maatregelenDe maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's)
PRIV_B.03.02.04passende maatregelenDe resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.
PRIV_B.03.03.01aantonenVan alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden.
PRIV_B.03.03.02aantonenEen procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten.
PRIV_B.03.03.03aantonenDe risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's.
PRIV_B.03.03.04aantonenEen tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.
PRIV_B.03.03.05aantonenPrivacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.
PRIV_C.01.01.01evaluatieDe verantwoordelijke en - indien aangesteld - de Functionaris voor gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd.
PRIV_C.01.01.02evaluatieAls blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management.
PRIV_C.01.01.03evaluatieEr is een planning van activiteiten in het kader van het beoordelen van de compliancy.
PRIV_C.01.02.01rechtmatigheid aangetoondAangetoond is dat, conform PRIV_U.01: Doelbinding, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt.
PRIV_C.01.02.02rechtmatigheid aangetoondAangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking).
PRIV_C.01.02.03rechtmatigheid aangetoondAangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking ten aanzien van de betrokkene rechtmatig is.
PRIV_C.01.02.04rechtmatigheid aangetoondBij het aantonen van de rechtmatigheid wordt gebruik gemaakt van de overeenkomsten voor de doorgiften zoals beschreven in PRIV_U.07: Doorgifte persoonsgegevens.
PRIV_C.01.02.05rechtmatigheid aangetoondAangetoond is dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid).
PRIV_C.01.02.06rechtmatigheid aangetoondAangetoond is dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.
PRIV_C.01.02.07rechtmatigheid aangetoondAangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform B.03: Risicomanagement, Privacy by Design en de DPIA.
PRIV_C.01.02.08rechtmatigheid aangetoondAangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens, PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_C.02 Toegang gegevensverwerking voor betrokkenen.
PRIV_C.01.02.09rechtmatigheid aangetoondDe verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG Art. 5 lid 2.
PRIV_C.01.02.10rechtmatigheid aangetoondBij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register (PRIV_U.02: Register van verwerkingsactiviteiten).
PRIV_C.02.01.01informatie over de verwerking van persoonsgegevensDe betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens.
PRIV_C.02.01.02informatie over de verwerking van persoonsgegevensDe inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG Art. 15:
  1. De verwerkingsdoeleinden;
  2. De betrokken categorieën persoonsgegevens;
  3. De ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
  4. Indien mogelijk: de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of, als dat niet mogelijk is, de criteria om die termijn te bepalen;
  5. Dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat zijn persoonsgegevens te rectificeren of te wissen of de verwerking van de hem betreffende persoonsgegevens te beperken, alsmede het recht tegen die verwerking bezwaar te maken;
  6. Dat de betrokkene het recht heeft klacht in te dienen bij de AP;
  7. Wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
  8. Het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, inclusief nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
  9. Bij doorgifte aan een derde land of een internationale organisatie en op verzoek van betrokkene de informatie over van de passende waarborgen;
  10. Op verzoek van betrokkene een kopie van de persoonsgegevens die worden verwerkt.
PRIV_C.02.01.03informatie over de verwerking van persoonsgegevensDe inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG Art. 14 lid 4.
PRIV_C.02.02.01tijdigDe informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG Art. 12 lid 3 en 4, tenzij:
  • De complexiteit van de verzoeken en van het aantal verzoeken verlenging nodig maakt, en:
  • De informatie binnen een termijn van nog eens twee maanden worden verstrekt, en:
  • De betrokkene binnen één maand na ontvangst van het verzoek in kennis wordt gesteld van een dergelijke verlenging.
PRIV_C.02.02.02tijdigWanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
  • Is de betrokkene onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek meegedeeld waarom het verzoek zonder gevolg is gebleven, en:
  • Is de betrokkene geïnformeerd over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
    • PRIV_C.02.03.01in een passende vormDe communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG Art. 12 lid 1. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG Art. 12 lid 7.
    PRIV_C.02.03.02in een passende vormDe informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt.
    PRIV_C.02.03.03in een passende vormOp verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
    PRIV_C.02.03.04in een passende vormHet verstrekken van de informatie en de communicatie zijn kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. Als de verzoeken buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, dan mag de verwerkingsverantwoordelijke ofwel:
    1. Een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan, ofwel:
    2. Weigeren gevolg te geven aan het verzoek.
    PRIV_C.02.03.05in een passende vormDe verantwoordelijke beschikt over gegevens ter identificatie van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig PRIV_U.01: Doelbinding gegevensverwerking) om nog persoonsgegevens van betrokkene te verwerkenAVG Art. 11. Als identificatie niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld.
    PRIV_C.02.04.01specifieke uitzonderingsgrondDe verantwoordelijke verstrekt geen informatie als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG Art. 23.
    PRIV_C.03.01.01meldt een datalekEen datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is.
    PRIV_C.03.01.02meldt een datalekDe melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
  • De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
  • De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
    • PRIV_C.03.01.03meldt een datalekEen datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02).
    PRIV_C.03.01.04meldt een datalekIn de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
  • De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
    • PRIV_C.03.01.05meldt een datalekDe melding aan de betrokkene is in duidelijke en eenvoudige taal.
    PRIV_C.03.02.01gestelde termijnEen verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
    PRIV_C.03.02.02gestelde termijnDe melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen.
    PRIV_C.03.02.03gestelde termijnAls de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
    PRIV_C.03.02.04gestelde termijnDe melding aan de betrokkene gebeurt onverwijld.
    PRIV_C.03.03.01documenteert de inbreukDe verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.
    PRIV_C.03.03.02documenteert de inbreukDe documentatie stelt de AP in staat de naleving te controleren.
    PRIV_C.03.03.03documenteert de inbreukDe documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.
    PRIV_C.03.03.04documenteert de inbreukHet feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87.
    PRIV_C.03.04.01uitzonderingDe verantwoordelijke hoeft het datalek niet te melden aan de AP als:
  • Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, of:
  • Wanneer melding afbreuk zou doen aan een zwaarwegend belang;
  • De verantwoordelijke een aanbieder is van openbare elektronische communicatiediensten zoals bedoeld in de TelecommunicatiewetAVG Art. 95.
    • PRIV_C.03.04.02uitzonderingDe verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
    • Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of:
    • De verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of:
    • De verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of:
    • De mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of:
    • Het een verwerking is die berust op een andere wettelijke bepaling waarvoor een specifieke meldplicht geldt AVG Art. 23; UAVG Art. 42, of:
    • De organisatie een financiële onderneming is in de zin van de Wet op het financieel toezichtUAVG Art. 42.
    • De verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteitAVG overweging 18.
    PRIV_U.01.01.01tijdig, welbepaald en uitdrukkelijk omschrevenHet doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensverwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG Art. 5 lid 1 en overweging 50.
    PRIV_U.01.01.02tijdig, welbepaald en uitdrukkelijk omschrevenVan alle gegevens zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG Art. 5 lid 1b.
    PRIV_U.01.01.03tijdig, welbepaald en uitdrukkelijk omschrevenHet doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevens noodzakelijk zijn voor het doel en bij verdere verwerking of de verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verstrektAVG Art. 6 lid 4.
    PRIV_U.01.01.04tijdig, welbepaald en uitdrukkelijk omschrevenHet doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden.
    PRIV_U.01.02.01doeleindenDe persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel dataminimalisatie genoemd).
    PRIV_U.01.02.02doeleindenDe verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG Art. 6 lid 1:
    1. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
    2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
    3. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Deze rechtsgrond moet zijn vastgesteld bij het Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing isAVG Art. 6 lid 3;
    4. De verwerking is noodzakelijk om vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
    5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Deze rechtsgrond moet zijn vastgesteld bij het Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing isAVG Art. 6 lid 3;
    6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Dit onderdeel (punt 6) geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun wettelijke taken.
    PRIV_U.01.02.03doeleindenPersoonsgegevens moeten ten opzichte van de betrokkene behoorlijk en transparant worden verwerktAVG Art. 5.

    Hiertoe moet/moeten:

    1. De gegevensverwerking transparant te zijn (PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens).
    2. De gegevens juist te zijn en zo nodig te worden bijgewerkt (PRIV_U.03: Kwaliteitsmanagement).
    3. De gegevens passend te worden beveiligd (PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens).
    4. De gegevens niet langer dan noodzakelijk te worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren is (PRIV_U.06: Bewaren van persoonsgegevens).
    Nota Bene: De AVG is niet van toepassing op de persoonsgegevens van overleden personen AVG overweging 27.
    PRIV_U.01.03.01rechtvaardiging verdere verwerkingDe verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, is alleen mogelijk wanneer:
    1. De verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld en de verwerkingsverantwoordelijke bij de beoordeling van de verenigbaarheid onder meer rekening houdt metAVG Art. 6 lid 4:
      1. Ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de voorgenomen verdere verwerking;
      2. Het kader waarin de persoonsgegevens zijn verzameld, met name wat betreft de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke;
      3. De aard van de persoonsgegevens, met name of bijzondere categorieën persoonsgegevens worden verwerktAVG Art. 9 en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerktAVG Art. 10;
      4. De mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
      5. Het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering. Of:
    2. De verdere verwerking plaatsvindt op basis van de toestemming van betrokkene. Of:
    3. Wanneer de verdere verwerking berust op een wettelijke bepaling waarbij een specifieke uitzondering geldt.
    PRIV_U.01.03.02rechtvaardiging verdere verwerkingWanneer de verwerkingsverantwoordelijke zich een verdere verwerking voorneemt dan moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61.
    PRIV_U.01.04.01rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleindenUAVG Art. 22. UAVG art. 22 lid 2a is de invulling van AVG Art. 9 lid 2a.
    Hierbij is nagegaan of in het Unierecht of lidstatelijk is bepaald of betrokkene het verbod mag opheffen.
    Voorbeeld BSN: in Nederland kan een persoon niet zelf alsnog toestemming geven voor de verwerking van het BSN bij het ontbreken van een wettelijke grondslag.
    PRIV_U.01.04.02rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedtAVG Art. 9 lid 2b.

    Tevens geldt hierbij dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk isUAVG Art 30 lid 1 voor:

    • Een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene; of
    • De reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.

    Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.



    NB: bij algemene maatregel van bestuur kunnen nadere regels worden gesteld (UAVG Art 30 lid 6).
    PRIV_U.01.04.03rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te gevenUAVG art. 22 lid 2b ; AVG Art. 9 lid 2c.
    PRIV_U.01.04.04rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking verricht wordt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrektUAVG Art. 22 lid 2c (ofwel: AVG Art. 9 lid 2d).
    PRIV_U.01.04.05rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaaktUAVG Art. 22 lid 2d (ofwel: AVG Art. 9 lid 2e).
    PRIV_U.01.04.06rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheidUAVG Art. 22 lid 2e (ofwel: AVG Art. 9 lid 2f).
    PRIV_U.01.04.07rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:
    1. Nationaalrechtelijke algemene uitzonderingenUAVG Art. 23:
      1. De verwerking is noodzakelijk ter voldoening aan een volkenrechtelijke verplichting;
      2. De gegevens worden verwerkt door de Autoriteit persoonsgegevens of een ombudsman als bedoeld in Art. 9:17 van de Algemene wet bestuursrecht (AWB), en voor zover de verwerking noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken, onder voorwaarde dat bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; of
      3. De verwerking is noodzakelijk in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt.
    2. Uitzonderingen inzake verwerking van persoonsgegevens waaruit ras of etnische afkomst blijktUAVG Art. 25:
      1. Verwerking met het oog op de identificatie van de betrokkene, en slechts voor zover de verwerking voor dat doel onvermijdelijk is; of
      2. Verwerking met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen, verband houdende met de grond ras of etnische afkomst, op te heffen of te verminderen, en slechts voor zover:
        1. De verwerking voor dat doel noodzakelijk is;
        2. De gegevens betrekking hebben op het geboorteland van de betrokkene, diens ouders of diens grootouders, dan wel op andere, bij wet vastgestelde criteria op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een bepaalde etnische of culturele minderheidsgroep behoort; en
        3. De betrokkene tegen de verwerking geen schriftelijk bezwaar heeft gemaakt.
    3. De verwerking van persoonsgegevens waaruit politieke opvattingen blijken voor vervulling openbare functiesUAVG Art. 26:
      1. de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescolleges.
    4. De verwerking van persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken voor geestelijke verzorgingUAVG Art. 27:
      1. De verwerking geschiedt door andere instellingen dan de instellingen, bedoeld in artikel 22, tweede lid, onderdeel c, en voor zover de verwerking noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt.
      2. Hierbij worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.
    5. De verwerking van genetische gegevensUAVG Art. 28:
      1. De verwerking vindt plaats met betrekking tot de betrokkene bij wie de desbetreffende gegevens zijn verkregen.
      2. Hierbij is het verbod om genetische gegevens te verwerken uitsluitend niet van toepassing, indien:
        1. De betrokkene uitdrukkelijke toestemming heeft gegeven; en
        2. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Deze toestemming is niet vereist, indien het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning vergt.
    6. De verwerking van biometrische gegevensUAVG Art. 29:
      1. de verwerking vindt plaats ten behoeve van de unieke identificatie van een persoon, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
    Voor al deze verwerkingen is bepaald dat de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.
    PRIV_U.01.04.08rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van gegevens over gezondheid vindt niet plaats, tenzij de verwerking geschiedt doorUAVG Art. 30 lid 2:
    1. Scholen, voor zover de verwerking met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is;
    2. Een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming, de gecertificeerde instelling, bedoeld in artikel 1.1 van de Jeugdwet, of de rechtspersoon, bedoeld in artikel 256, eerste lid, of artikel 302, tweede lid, van Boek 1 van het Burgerlijk Wetboek, voor zover de verwerking noodzakelijk is voor de uitvoering van de aan hen opgedragen wettelijke taken; of:
    3. Onze Minister en Onze Minister van Justitie en Veiligheid voor zover de verwerking in verband met de tenuitvoerlegging van vrijheidsbenemende maatregelen noodzakelijk is.
    Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.
    PRIV_U.01.04.09rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van zorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerkerAVG Art. 9 lid 2h).



    De verwerking geschiedt doorUAVG Art. 30 lid 3) :

    1. Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk. Hierbij geldt dat het verbod om andere bijzondere categorieën persoonsgegevens te verwerken niet van toepassing is, indien de verwerking noodzakelijk is in aanvulling op deze verwerking met het oog op een goede behandeling of verzorging van de betrokkeneUAVG Art. 30 lid 5 ; of
    2. Verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht of financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover de verwerking noodzakelijk is voor:
      1. De beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt, of:
      2. De uitvoering van de overeenkomst van verzekering dan wel het assisteren bij het beheer en de uitvoering van de verzekering.

    Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.

    Als voorwaarde en waarborg geldt:

    1. de gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden, of
    2. door een andere persoon die eveneens krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehoudenAVG Art. 9 lid 3.
      Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld UAVG Art 30 lid 6.
    PRIV_U.01.04.10rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking plaatsvindt vanuit het algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheimAVG Art. 9 lid 2i).
    PRIV_U.01.04.11rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig AVG art. 89, lid 1, waarbijAVG Art. 9 lid 2j ; UAVG Art.24:
  • Het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; en
  • Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
    • De definitie van 'wetenschappelijk of historisch onderzoek' is te vinden in AVG overweging 159.
    PRIV_U.01.05.01strafrechtelijke veroordelingen en strafbare feitenPersoonsgegevens van strafrechtelijke aard mogen worden verwerktUAVG Art. 32. indien:
    1. De betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden;
    2. De verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon, indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;
    3. De verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
    4. De verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid.
    PRIV_U.01.05.02strafrechtelijke veroordelingen en strafbare feitenPersoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen worden verwerktUAVG Art. 33. indien:
    • De verwerking geschiedt door organen die krachtens de wet zijn belast met de toepassing van het strafrecht, alsmede door verwerkingsverantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens (WPG) of de Wet justitiële en strafvorderlijke gegevens (WJSG);
    • De verwerking geschiedt door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken, indien:
    1. De verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken; en
    2. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;

    of:

    • De verwerking noodzakelijk is in aanvulling op de verwerking van gegevens over gezondheid, bedoeld in de UAVG Art. 30, derde lid, aanhef en onderdeel a, met het oog op een goede behandeling of verzorging van de betrokkene;
    • Persoonsgegevens van strafrechtelijke aard mogen worden verwerkt door de verwerkingsverantwoordelijke die deze gegevens ten eigen behoeve verwerkt:
    1. Ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren, of:
    2. Ter bescherming van zijn belangen voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn;
    • Persoonsgegevens van strafrechtelijke aard over personeel in dienst van de verwerkingsverantwoordelijke mogen uitsluitend worden verwerkt, indien dit geschiedt overeenkomstig de regels die zijn vastgesteld in overeenstemming met de procedures in de Wet op de ondernemingsraden voor zover het persoonsgegevens van strafrechtelijke aard over personeel in dienst van de verwerkingsverantwoordelijke betreft;
    • Persoonsgegevens van strafrechtelijke aard mogen ten behoeve van derden worden verwerkt, indien:
    1. Door verwerkingsverantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus (WPBR);
    2. Door een verwerkingsverantwoordelijke die tevens rechtspersoon is en in dezelfde groep is verbonden als bedoeld in artikel 2:24b van het Burgerlijk Wetboek, of:
    3. Door een verwerkingsverantwoordelijke die hiervoor van de AP een vergunning heeft verkregen.
    PRIV_U.01.05.03strafrechtelijke veroordelingen en strafbare feitenDe verwerking van de gegevens over personeel in dienst van de verwerkingsverantwoordelijke, vindt plaats overeenkomstig regels die zijn vastgesteld in overeenstemming met de procedure als bedoeld in de Wet op de ondernemingsradenUitvoeringswet AVG art. 31 lid 2..
    PRIV_U.01.05.04strafrechtelijke veroordelingen en strafbare feitenHet verbod om persoonsgegevens te verwerken, is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevens voor de doeleinden waarvoor deze gegevens worden verwerktUitvoeringswet AVG art. 31 lid 3..
    PRIV_U.01.05.05strafrechtelijke veroordelingen en strafbare feitenDe verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen is toegestaan indien dit geschied door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken indien de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaadUitvoeringswet AVG art. 31 lid 4..
    PRIV_U.01.06.01nationaal identificerend nummerHet bepalen van een nummer dat ter identificatie van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet zijn bepaaldUAVG Art. 46:
    • Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak (dus met een specifieke wettelijke grondslag) gebruik maken van het burgerservicenummer (BSN), zonder dat daarvoor nadere regelgeving vereist is.
    • Voor instellingen die geen beroep kunnen doen op Wabb Art. 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving.
    • De (anno 2019) in de maak zijnde wet Digitale overheid (voorheen: Wet generieke digitale infrastructuur - GDI) maakt het noodzakelijk dat er ook voor private partijen een wettelijke grondslag komt voor het verwerken van het BSN in het kader van authenticatieMvt bij de GDI pag. 15.
    PRIV_U.01.07.01geautomatiseerde besluitvormingEen betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluitAVG Art. 22 lid 1:
    1. Noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke, of:
    2. Is toegestaan bij de wet- en regelgeving die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of:
    3. Berust op de uitdrukkelijke toestemming van de betrokkene.
    PRIV_U.01.07.02geautomatiseerde besluitvormingIndien geautomatiseerde besluitvorming plaatsvindt heeft de verwerkingsverantwoordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten AVG Art. 22 lid 2.
    Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgdUAVG Art. 40.
    PRIV_U.01.07.03geautomatiseerde besluitvormingIndien geautomatiseerde besluitvorming plaatsvindt, waarbij bijzondere categorieën persoonsgegevens worden gebruikt, dan zijn daarbij passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene getroffenAVG Art. 22 lid 3.
    PRIV_U.01.08.01wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangDe verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats voor zover deze aan de vereisen uit /04.11 voldoenUAVG Art. 24 ; AVG Art. 9 lid 2j.
    PRIV_U.01.08.02wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangVerwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maatregelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen doorAVG Art. 5 lid 1e:
    • Minimale gegevensverwerking te garanderen;
    • Ervoor te zorgen dat de betrokkene niet meer geïdentificeerd kan worden, bijvoorbeeld door middel van pseudonimisering of anonimisering.
    PRIV_U.02.01.01registerElke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke.
    PRIV_U.02.01.02registerHet register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
    1. De naam en de contactgegevens van:
      1. De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
      2. In voorkomend geval:
        1. Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
        2. Van de Functionaris voor Gegevensbescherming;
    2. De verwerkingsdoeleinden;
    3. Een beschrijving van de categorieën van betrokkenen;
    4. Een beschrijving van de categorieën persoonsgegevens;
    5. De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
    6. Bij doorgiften aan een derde land of een internationale organisatie:
      1. De doorgifte van verstrekte persoonsgegevens;
      2. De vermelding van dat derde land of die internationale organisatie;
      3. De documenten inzake de passende waarborgen;
    7. De beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist (indien mogelijk);
    8. Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
    PRIV_U.02.01.03registerDe verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker.
    PRIV_U.02.01.04registerHet register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
  • De naam en de contactgegevens van:
    1. De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
    2. In voorkomend geval:
      1. Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
      2. Van de Functionaris voor gegevensbescherming;
  • De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • Bij doorgiften aan een derde land of een internationale organisatie:
    1. De doorgifte van verstrekte persoonsgegevens
    2. De vermelding van dat derde land of die internationale organisatie
    3. De documenten inzake de passende waarborgen;
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
    • PRIV_U.02.01.05registerHet register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.
    PRIV_U.02.01.06registerHet register hoeft niet te worden bijgehouden indien:
  • De onderneming of organisaties minder dan 250 personen in dienst heeft,
  • Het niet waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen,
  • De verwerking incidenteel is, en:
  • Geen verwerking plaatsvindt van bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.
    • PRIV_U.02.02.01actueel en samenhangend beeldDe registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld.
    PRIV_U.02.02.02actueel en samenhangend beeldOp verzoek van de AP wordt middels de registers een actueel beeld gegeven.
    PRIV_U.02.02.03actueel en samenhangend beeldDe onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:
  • De bedrijfsprocessen;
  • Organisaties en organisatieonderdelen;
  • De verwerkingen;
  • De locaties waar persoonsgegevens worden opgeslagen;
  • De gegevensuitwisselingen (binnen en buiten de eigen organisatie);
  • De systemen.
    • PRIV_U.02.02.04actueel en samenhangend beeldBij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register.
    PRIV_U.03.01.01juistheid en nauwkeurigheidDe verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen..
    PRIV_U.03.01.02juistheid en nauwkeurigheidDe verwerkingsverantwoordelijke voert periodiek controles uit op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan het hogere management.
    PRIV_U.03.02.01gecorrigeerd, gestaakt of overgedragenOp verzoek van betrokkene worden onjuiste persoonsgegevens gerectificeerdAVG Art. 16 lid 1.
    PRIV_U.03.02.02gecorrigeerd, gestaakt of overgedragenOp verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG Art. 16 lid 1.
    PRIV_U.03.02.03gecorrigeerd, gestaakt of overgedragenOp verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG Art. 17 lid 1:
  • De persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
  • De betrokkene trekt de toestemming waarop de verwerking berust in en er is geen andere rechtsgrond voor de verwerking;
  • De betrokkene maakt bezwaar tegen de verwerking en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking.
  • De persoonsgegevens zijn onrechtmatig verwerkt;
  • De persoonsgegevens moeten worden gewist om te voldoen aan een in het wettelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • De persoonsgegevens van kinderen jonger dan 16 jaar zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij.
    • PRIV_U.03.02.04gecorrigeerd, gestaakt of overgedragenBij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG Art. 21 lid 1.
    PRIV_U.03.02.05gecorrigeerd, gestaakt of overgedragenWanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van die persoonsgegevens te wissenAVG Art. 17 lid 2.
    PRIV_U.03.02.06gecorrigeerd, gestaakt of overgedragenOp verzoek van betrokkene wordt de verwerking beperkt, indien:
  • De juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;
  • De verwerking onrechtmatig en de betrokkene zich verzet tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
  • De verwerkingsverantwoordelijke de persoonsgegevens niet meer nodig heeft voor de verwerkingsdoeleinden, maar de betrokkene deze nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of:
  • De betrokkene bezwaar heeft gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
    • PRIV_U.03.02.07gecorrigeerd, gestaakt of overgedragenDe betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG Art. 20, als de verwerking berust op:
  • Toestemming van betrokkene, of:
  • Een overeenkomst waarbij de betrokkene partij is of de verwerking via geautomatiseerde procedés wordt verricht;

    • en geldt niet als:

    1. De verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
    2. Het afbreuk doet aan de rechten en vrijheden van anderen.
    PRIV_U.03.02.08gecorrigeerd, gestaakt of overgedragenDe betrokkene kan de gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien PRIV_U.03.02.07: Recht op ongehinderde overdracht van gegevens' geldt en dit technisch mogelijk is.
    PRIV_U.03.03.01geïnformeerdDe verwerkingsverantwoordelijke stelt iedere ontvanger, aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoektAVG Art. 19.
    PRIV_U.03.03.02geïnformeerdDe verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaan.
    PRIV_U.03.03.03geïnformeerdDe verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging.
    PRIV_U.03.03.04geïnformeerdWanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG Art. 12 lid 3.
    PRIV_U.03.03.05geïnformeerdDe verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG Art. 12 lid 1.
    PRIV_U.03.03.06geïnformeerdWanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 12 lid 4.
    PRIV_U.03.03.07geïnformeerdWanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 11 en 12; zie ook AVG overweging 57.
    PRIV_U.04.01.01technische en organisatorische maatregelenDe verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG Art. 32 lid 3.
    PRIV_U.04.01.02technische en organisatorische maatregelenPersoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
  • Als persoonsgegevens op fysieke wijze bestaan, zijn deze ook fysiek beschermd.
  • De wijze van verzameling van gegevens is niet privacygevoelig.
    • PRIV_U.04.01.03technische en organisatorische maatregelenPersoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan.
    PRIV_U.04.01.04technische en organisatorische maatregelenDe maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG Art. 32; dit is 'het informatiebeveiligingsartikel':
  • De pseudonimisering en versleuteling van persoonsgegevens;
  • Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
    • PRIV_U.04.02.01De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.
    PRIV_U.04.02.02een passend beveiligingsniveauDe beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG Art. 32 lid 2.
    PRIV_U.04.02.03een passend beveiligingsniveauHet aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn.
    PRIV_U.05.01.01tijdigDe toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG Art. 6 lid 1, het doorgeven aan derden en het verder verwerkenAVG Art. 14 lid 3. Dit geldt voor persoonsgegevens die via betrokkenen of anderen worden of zijn verkregen.
    PRIV_U.05.01.02tijdigInformatie over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrektAVG Art. 14 lid 3.
    PRIV_U.05.02.01informatieHet verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagdAVG Art. 7 lid 2.
    PRIV_U.05.02.02informatieWanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 13:
  • De identiteit en contactgegevens van de verantwoordelijke en, in voorkomend geval, zijn of haar vertegenwoordiger;
  • In voorkomend geval de contactgegevens van de Functionaris voor gegevensbescherming;
  • De verwerkingsdoeleinden en ook de rechtsgrond van de gegevensverwerking;
  • De gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde indien de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind isAVG Art. 6.1f;
  • In voorkomend geval de ontvangers of categorieën van ontvangers van persoonsgegevens;
  • In voorkomend geval dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of internationale organisatie of een adequaatheidsbesluit van de commissie bestaat, welke de passende waarborgen zijn en hoe deze kunnen worden ingezien;
  • De periode dat de gegevens worden opgeslagen of de criteria ter bepaling van die termijn;
  • Dat de betrokkene recht heeft op inzage, rectificatie of wissing of beperking van de hem betreffende verwerking en het recht heeft bezwaar tegen de verwerking te maken en dat de betrokkene het recht heeft op gegevensoverdraagbaarheid;
  • Dat de betrokkene zijn toestemming te allen tijde kan intrekken (voor zover de verwerking is gebaseerd op de rechtsgrond toestemming);
  • Dat de betrokkene een klacht mag indienen bij de AP;
  • Of de verstrekking een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten;
  • Of de betrokkene verplicht is de gegevens te verstrekken en wat de mogelijke gevolgen zijn als deze de gegevens niet verstrekt;
  • Of geautomatiseerde besluitvorming en/of profilering bestaat en in die gevallen nuttige informatie over de onderliggende logica alsmede het belang en de verwachte gevolgen voor de betrokkene;
  • Informatie over het andere doel, wanneer een verwerking gaat plaatsvinden voor een ander doel dan waarvoor de persoonsgegevens zijn verzameld.
    • PRIV_U.05.02.03informatieWanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 7:
  • De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke;
  • In voorkomend geval de contactgegevens van de Functionaris voor gegevensbescherming;
  • De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking;
  • De betrokken categorieën persoonsgegevens;
  • In voorkomend geval de ontvangers of categorieën van ontvangers van de persoonsgegevens;
  • Als persoonsgegevens aan een ontvanger in een derde land of aan een internationale organisatie wordt doorgegeven, wordt informatie gegeven over hoe een kopie kan worden verkregen over de waarborgen of voorschriften of waar ze kunnen worden geraadpleegd;
  • De periode gedurende welke de persoonsgegevens zullen worden opgeslagen of indien dat niet mogelijk is de criteria om die termijn te bepalen;
  • Indien van toepassing de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde;
  • Dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
  • Wanneer verwerking is gebaseerd is op toestemming van betrokkene, heeft de betrokkene het recht de toestemming te allen tijde in te trekken. Dit doet geen afbreuk aan de rechtmatigheid van de verwerking op basis van de toestemming van vóór de intrekking;
  • Dat de betrokkene het recht heeft een klacht in te dienen bij een AP;
  • De bron waar de persoonsgegevens vandaan komen en in voorkomend geval of zij afkomstig zijn van openbare bronnen;
  • Het bestaan van geautomatiseerde besluitvorming (inclusief profilering) inclusief de informatie over de onderliggende logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
    • PRIV_U.05.03.01uitzonderingDe verplichting tot het verstrekken van informatie geldt niet, indien:
  • De betrokkene reeds over de informatie beschikt;
  • Het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen;
  • De verwezenlijking van de doeleinden van de verwerking onmogelijk dreigt te worden of ernstig in het gedrang dreigt te brengen; in dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie;
  • Het verkrijgen of verstrekken van de gegevens uitdrukkelijk wettelijk is voorgeschreven en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, of:
  • De persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim, waaronder een statutaire geheimhoudingsplicht;
  • Wanneer de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldt;
  • Het de verwerking betreft van persoonsgegevens die deel uitmaken van archiefbescheiden en die op grond van de Archiefwet niet voor vernietiging in aanmerking komen en zijn overgebracht naar een archiefbewaarplaats. Zie Mvt UAVG, toelichting bij art. 41.
    • PRIV_U.05.04.01toestemmingDe toestemming moet door de betrokkene vrijelijk gegeven kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG Art. 14 lid 4.
    PRIV_U.05.04.02toestemmingBij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG Art. 8.
    PRIV_U.06.01.01nodige maatregelenAls de bewaartermijnen verlopen, zijn de gegevens verwijderd, vernietigd of geanonimiseerd.
    PRIV_U.06.01.02nodige maatregelenDe verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren.
    PRIV_U.06.02.01bewaartermijnVan alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd.
    PRIV_U.06.02.02bewaartermijnDe bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG Art. 5 lid 1e.
    PRIV_U.06.02.03bewaartermijnAls in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn.
    PRIV_U.06.02.04bewaartermijnWanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AVGAVG art. 89 lid 1.
    PRIV_U.07.01.01onderlinge verantwoordelijkhedenBij doorgifte aan een andere verantwoordelijke zijn:
  • De respectieve verantwoordelijkheden duidelijk, zodat door alle partijen aan de AVG-verplichtingen voldaan kan worden, met name met betrekking totAVG Art. 26 lid 1:
    1. De uitoefening van de rechten van de betrokkene, conform PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, en:
    2. Het informeren van de betrokkenen bij ontvangst van de persoonsgegevens, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens
  • De regeling met de respectieve verantwoordelijkheden aan de betrokkene beschikbaar gesteldAVG Art. 26 lid 3.
    • PRIV_U.07.02.01afdoende garantiesDe verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegdAVG Art. 28 lid 2, met daarin:
  • Het onderwerp en de duur van de verwerking.
  • De aard en het doel van de verwerking waarvoor de persoonsgegevens worden verstrekt, inclusief:
    1. Welke persoonsgegevens worden verstrekt aan de verwerker;
    2. Hoe dataminimalisatie is toegepast;
  • Het soort persoonsgegevens, inclusief de classificatie van de persoonsgegevens;
  • De categorieën van betrokkenen, en:
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.
    • PRIV_U.07.02.02afdoende garantiesIn de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
  • De persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften;
  • De gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
  • De beveiliging van de verwerking is geborgd, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, inclusief:
    1. Welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben.
    2. Welke procedure wordt gevolgd in geval van een datalek.
    3. In welke landen de persoonsgegevens worden opgeslagen.
  • De vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker.
  • Passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief:
    1. Hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker;
    2. Het contact dat de verwerker mag hebben met de betrokkenen.
  • De verwerkingsverantwoordelijke bijstand wordt verleend om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking.
  • Na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terugbezorgd worden en bestaande kopieën worden verwijderd, conform PRIV_U.06: Bewaren van persoonsgegevens.
  • De verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties.
  • De verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de AVG of op andere wet- en regelgeving inzake gegevensbescherming.
    • PRIV_U.07.02.03afdoende garantiesDe overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld.
    PRIV_U.07.03.01vertegenwoordigerAls een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de EU aangewezen, tenzij:
  • Sprake is van een incidentele verwerking die geen grootschalige verwerking van bijzondere categorieën persoonsgegevens betreft, of:
  • Bij de verwerking van persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten en waarbij de kans gering is dat zij een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
  • Het een verwerking door een overheidsinstantie of overheidsorgaan betreft.
    • PRIV_U.07.03.02vertegenwoordigerDe verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA), door de verwerker.
    PRIV_U.07.03.03vertegenwoordigerEen verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG Art. 28 lid 1.
    PRIV_U.07.04.01uitzonderingsgrondDe verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Art. 48.
    PRIV_U.07.04.02uitzonderingsgrondDe doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie.
    PRIV_U.07.05.01adequaatheidsbesluitDoorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG Art. 45.
    PRIV_U.07.06.01passende waarborgenWanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG Art. 46:
  • Een juridisch bindend en afdwingbaar instrument is tussen overheidsinstanties of -organen;
  • Door de AP goedgekeurde bindende bedrijfsvoorschriften zijn;
  • standaardbepalingen zijn inzake gegevensbescherming die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn vastgesteld ;
  • Standaardbepalingen zijn inzake gegevensbescherming die door een AP zijn vastgesteld en die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn goedgekeurd ;
  • Een goedgekeurde gedragscode is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen toe te passen, waaronder waarborgen voor de rechten van de betrokkenen;
  • Een goedgekeurd certificeringmechanisme is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen, of:
  • Door de AP passende waarborgen zijn, waarbij er met name:
    1. Contractbepalingen zijn tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of:
    2. Bepalingen zijn opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.
    • PRIV_U.07.06.02passende waarborgenAls bindende bedrijfsvoorschriften worden gebruikt om passende waarborgen te bieden, dan:
  • Zijn die juridisch bindend of van toepassing en worden deze gehandhaafd door alle betrokken leden van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen; met inbegrip van hun werknemers;
  • Kunnen betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens, en:
  • Zijn de hier beknopt weergegeven elementen vastgelegd zie voor de volledige weergave AVG Art. 47 lid 1:
    1. De structuur en de contactgegevens;
    2. De toepassing van de algemene beginselen inzake gegevensbescherming;
    3. De rechten van betrokkenen;
    4. De aanvaarding van aansprakelijkheid voor alle inbreuken;
    5. De wijze waarop informatie wordt verschaft over de bindende bedrijfsvoorschriften;
    6. De taken van elke Functionaris voor gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op:
    7. De naleving van de bindende bedrijfsvoorschriften binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen,
      1. Opleiding, en:
      2. De behandeling van klachten;
  • De klachtenprocedures;
  • De bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd;
  • De procedures om die veranderingen in de regels te melden, te registreren en aan de AP te melden;
  • De procedure voor samenwerking met de AP;
  • De procedures om eventuele wettelijke voorschriften aan de AP te melden, en:
  • De passende opleiding inzake gegevensbescherming voor personeel.
    • PRIV_U.07.06.03passende waarborgenWanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49..
    PRIV_U.07.07.01afwijking voor een specifieke situatieDe doorgifte mag ook plaatsvinden alsAVG Art. 49:
  • De betrokkene uitdrukkelijk heeft ingestemd met de voorgestelde doorgifte, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen, tenzij dit door een overheidsinstantie ten behoeve van een openbare bevoegdheid wordt verricht;
  • De doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht;
  • De doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht;
  • De doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang, dat is erkend bij de wet- en regelgeving;
  • De doorgifte noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
  • De doorgifte noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene of van andere personen, als de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven;
  • De doorgifte verricht is vanuit een register dat volgens het Wettelijk recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in het wettelijk recht vastgestelde voorwaarden voor raadpleging;
  • De doorgifte aan derde landen of internationale organisaties is gebaseerd op internationale overeenkomsten die door de lidstaten zijn gesloten vóór 24 mei 2016 en die overeenkomsten in overeenstemming zijn met het vóór die datum toepasselijke Unierecht en nog niet is gewijzigd, vervangen of ingetrokkenAVG Art. 96.

    • Nederlandse Overheid Referentie Architectuur.

    Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

    Betekenisvolle gegevens.

    Betekenisvolle gegevens.

    Overgenomen van "https://www.noraonline.nl/index.php?title=De_Privacy_Baseline/alle_normen_alle_eigenschappen&oldid=66959"