De Privacy Baseline/alle principes alle eigenschappen: verschil tussen versies

Uit NORA Online
< De Privacy Baseline
Naar navigatie springen Naar zoeken springen
(tekst aangepast)
({{Privacy}} toegevoegd)
 
(9 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 1: Regel 1:
In deze tabel staan alle [[Pivacyprincipes]] uit [[De Privacy Baseline]], met alle semantische eigenschappen van die principes. het [[Uitleg ID binnen ISOR|unieke ID]], [[Eigenschap:Criterium|Criterium]] en de <div class="Criterium">''trefwoorden'' die verder zijn uitgewerkt in [[normen]]. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als {{#ask:[[Valt in normenkader::De Privacy Baseline]]OR[[Valt in Normenkader::De Privacy Baseline]]
{{Privacy}}In deze tabel staan alle [[Privacyprincipes]] uit [[De Privacy Baseline]], met alle semantische eigenschappen van die principes. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen. Deze tabel is ook beschikbaar als {{#ask:[[Heeft bron::De Privacy Baseline]] OR [[Valt in Normenkader::De Privacy Baseline]]
|? ID
|? ID
|?=Wikilinks, voeg https://www.noraonline.nl/wiki/ toe voor weblink
|? Titel
|? Titel
|? Versieaanduiding
|? Versieaanduiding
Regel 6: Regel 7:
|? Status actualiteit
|? Status actualiteit
|? Practice
|? Practice
|? Redactionele wijzigingsdatum
|? Redactionele wijzigingsdatum=Redactionele wijzigingsdatum (datum waarop de laatste inhoudelijke wijziging geïmplementeerd is)
|? Publicatiedatum
|? Publicatiedatum
|? Beschrijving
|? Beschrijving
|? Criterium
|? Criterium=Criterium (zie https://www.noraonline.nl/wiki/SIVA-methode)
|? Doelstelling
|? Doelstelling=Doelstelling (zie https://www.noraonline.nl/wiki/SIVA-methode)
|? Risico
|? Risico=Risico (zie https://www.noraonline.nl/wiki/SIVA-methode)
|? Beveiligingsaspect
|? Beveiligingsaspect=Beveiligingsaspect (zie https://www.noraonline.nl/wiki/SIVA-methode)
|? Invalshoek
|? Invalshoek=Invalshoek (zie https://www.noraonline.nl/wiki/SIVA-methode)
|? Is uitwerking van (specificatie)
|? Is uitwerking van (specificatie)
|? Plaatje
|? Plaatje=Plaatje (alleen naam bestand, afbeelding apart downloaden)
|? Conformiteitsindicator
|? Conformiteitsindicator=Trefwoord / conformiteitsinidcator (zie https://www.noraonline.nl/wiki/SIVA-methode)
|? Kent element met zelfde titel
|? Kent element met zelfde titel=Kent element met zelfde titel (technische eigenschap om overschrijven van pagina's te voorkomen)
|? Heeft bron
|? Heeft bron=Heeft bron (Wikilinks, voeg https://www.noraonline.nl/wiki/ toe voor weblink)
|? Is uitwerking van
|? Is uitwerking van=Is uitwerking van (Wikilinks, voeg https://www.noraonline.nl/wiki/ toe voor weblink)
|? Valt in normenkader
|? Valt in normenkader=Valt in normenkader (Wikilinks, voeg https://www.noraonline.nl/wiki/ toe voor weblink)
| ?-Heeft ouder=Is ouderpagina van
| ?-Heeft ouder=Is ouderpagina van (Wikilinks, voeg https://www.noraonline.nl/wiki/ toe voor weblink)
| ?-Realiseert=Wordt gerealiseerd door
| ?-Realiseert=Wordt gerealiseerd door (Wikilinks, voeg https://www.noraonline.nl/wiki/ toe voor weblink)
| ?-Beginpunt=Relaties met bindende afspraken NORA
| ?-Beginpunt=Relaties met bindende afspraken NORA (Wikilinks, voeg https://www.noraonline.nl/wiki/ toe voor weblink)
| sort=ID
| sort=ID
|format=csv
|format=csv
|limit=50
|limit=50
|headers=show
|headers=show
|mainlabel=URL
|mainlabel=-
|link=all
|link=all
|searchlabel=csv download
|searchlabel=csv download
|sep=,
|sep=,
}}
}}
en in [[De Privacy Baseline/overzichten|varianten met alleen specifieke eigenschappen]]</div>
en in [[De Privacy Baseline/overzichten|varianten met alleen specifieke eigenschappen]]
{{#ask: [[Valt in normenkader::De Privacy Baseline]]]]OR[[Valt in Normenkader::De Privacy Baseline]]
{{#ask: [[Heeft bron::De Privacy Baseline]]OR[[Valt in Normenkader::De Privacy Baseline]]
|?ID
|?ID
|?=Wikilink
|? Titel
|? Titel
|? Versieaanduiding
|? Versieaanduiding
Regel 61: Regel 63:
| sort=ID
| sort=ID
| format=sortable mediawiki
| format=sortable mediawiki
| mainlabel=link
| mainlabel=-
| limit=200
| limit=200
|default=er zijn geen gepubliceerde pagina's die aangeven binnen dit normenkader te vallen
|default=er zijn geen gepubliceerde pagina's die aangeven binnen dit normenkader te vallen
}}
}}
[[Categorie:ISOR]][[Categorie:Overzichten]]
[[Categorie:ISOR]][[Categorie:Overzichten]][[Categorie:Privacy]]

Huidige versie van 25 jan 2023 om 20:27


Privacy
Onderdeel van
Thema's
Contact
Patrick Dersjant
pdersjant@minszw.nl
Status
Actueel


In deze tabel staan alle Privacyprincipes uit De Privacy Baseline, met alle semantische eigenschappen van die principes. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen. Deze tabel is ook beschikbaar als csv download

en in varianten met alleen specifieke eigenschappen

IDWikilinkTitelVersieaanduidingGebruik in Nederlandse publieke sectorStatus actualiteitPracticeRedactionele wijzigingsdatumPublicatiedatumBeschrijvingCriteriumDoelstellingRisicoBeveiligingsaspectInvalshoekIs uitwerking van (specificatie)PlaatjeConformiteitsindicatorKent element met zelfde titelHeeft bronIs uitwerking vanValt in normenkaderIs ouderpagina vanWordt gerealiseerd doorRelaties met bindende afspraken NORA
PRIVDe Privacy BaselineDe Privacy Baseline3.3In ontwikkelingActueelCIP29 oktober 202016 oktober 2017De Privacy Baseline is een product van het CIP (Centrum Informatiebeveiliging en Privacybescherming) en een onderdeel van de documentenreeks 'Grip op privacy'. De Privacy Baseline is het kerndocument in de reeks 'Grip op Privacy'. De baseline vertaalt de Algemene Verordening Gegevensbescherming (AVG) in 13 rubrieken naar praktische aanwijzingen.


Het doel van deze documentenreeks is praktische handvatten bieden aan organisaties die privacy in beleid en uitvoering controleerbaar willen implementeren en borgen en - indirect - compliancy met de AVG.


Dit normenkader heeft betrekking op het onderwerp Privacy en bestaat uit privacyprincipes, onderliggende normen en begeleidende teksten. Deze wiki-versie is gebaseerd op en bedoeld als opvolger van versie 3.2; de overeenkomstige 'traditionele' publicatie vind je hier: Privacy Baseline versie 3.3.

De Privacy Baseline en ISOR

Voor de Privacy Baseline zijn de privacyprincipes uit de wet AVG gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat doorgaans gebruikt wordt voor Informatiebeveiliging. Omdat het normenkader tevens is gevormd naar de uitgangspunten van de SIVA-methodiek, is ervoor gekozen de Privacy Baseline ook in de ISOR (Information Security Object Repository) te plaatsen, zoveel mogelijk in hetzelfde format als de normenkaders voor Informatiebeveiliging. Dat gaat aan de oppervlakte goed, maar er is een verschil in ontstaansgeschiedenis en dat betreft de indeling van de principes en onderliggende normen in Invalshoeken. Dit is een belangrijk kernonderdeel van de SIVA-methode, voorafgaand aan het opstellen van de principes en normen, om lacunes in de objectenanalyse te ontdekken.
Het onderwerp van de Privacy Baseline is echter niet Privacy, maar de Privacywetgeving. De pretentie van de Privacy Baseline niet om de wet op volledigheid en consistentie te toetsen, doch om de gebruiker een handzame en geannoteerde set van toetsbare criteria mee te geven die hem helpen zich aan de wet te houden. In de Privacy Baseline zal daarom bij invalshoek 'Onbekend' staan.

De aspecten B, U en C binnen de Privacy Baseline

De aspecten B, U en C clusteren respectievelijk de principes, criteria en normen voor het Beleidsdomein, het Uitvoeringsdomein en het Control- of Beheerdomein.

Het beleidsdomein
Het uitvoeringsdomein
Het control- of beheerdomein
Via deze startpagina's kom je gemakkelijk bij de desbetreffende principes en normen door naar beneden te scrollen.		NeeDe Privacy Baseline
PRIV_010De Privacy Baseline/VoorwoordVoorwoord3.3Actueel17 februari 2022De Privacy Baseline
PRIV_011De Privacy Baseline/Inleiding en leeswijzerInleiding en leeswijzer3.3Actueel17 februari 2022De Privacy Baseline
PRIV_015De Privacy Baseline/Aanvullende informatieAanvullende informatie3.3Actueel23 april 2020De Privacy Baseline
PRIV_16De Privacy Baseline/Baseline formatBaseline format3.1De Privacy Baseline
PRIV_19De Privacy Baseline/Privacyprincipes en normen gesorteerd op conformiteitsindicatorPrivacyprincipes en normen gesorteerd op conformiteitsindicator3.323 april 2020De Privacy Baseline
PRIV_BPrivacy Beleid: het beleidsdomeinPrivacy Beleid: het beleidsdomein3.3In gebruikActueelCIP18 juni 202018 oktober 2017In dit onderdeel van de Privacy Baseline zijn de richtlijnen opgenomen voor het algemeen beleid rondom privacy. Met dit beleid geeft de organisatie zowel de eigen afdelingen als andere partijen duidelijkheid over de kaders waarbinnen de verwerkingen van persoonsgegevens plaatsvinden. Dit beleid beschrijft ook aan welke voorwaarden processen en systemen moeten voldoen en hoe dit beleid op naleving wordt gecontroleerd.De doelstelling van het beleidsdomein is ervoor te zorgen dat op strategisch niveau afdoende randvoorwaarden en condities aanwezig zijn om de persoonsgegevens verantwoord te verwerken en opdat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken doelstellingen.Door het ontbreken van een door het management uitgevaardigd beleid ontstaat het risico dat onvoldoende sturing wordt gegeven aan het verwerken van de persoonsgegevens. Doorgaans zal dit een negatieve impact hebben op het realiseren van organisatiedoelstellingen (en het voldoen aan de eisen van de AVG (Algemene Verordening Gegevensbescherming)).BeleidNeeDe Privacy Baseline
PRIV_B.01Privacy Beleid geeft duidelijkheid en sturingPrivacy Beleid geeft duidelijkheid en sturing3.3In gebruikActueelCIP26 juli 202116 oktober 2017Privacybeleid geeft op organisatie - en strategisch niveau duidelijkheid en daarmee sturing aan de inrichting van privacy.

Inhoud

Het privacybeleid geeft aan op welke wijze - door het treffen van maatregelen - voldaan wordt aan de van toepassing zijnde wet- en regelgeving. Omdat de wet- en regelgeving externe factoren zijn die kunnen veranderen, is periodieke review nodig om vast te stellen of het beleid nog voldoet. Maar ook interne factoren, zoals onvoldoende effectiviteit van het beleid en gewijzigde missie of visie, kunnen het nodig maken om te komen tot aanpassing van het beleid. Het volstaat dus niet om eenmalig beleid op te stellen en niet meer aan te passen. Door het beleidsproces cyclisch in te richten kan het beleid op de ontwikkelingen en de uitvoering afgestemd blijven.

Proces

De ontwikkeling van de organisatie tot een organisatie die aantoonbaar aan wet- en regelgeving voldoet (ofwel: 'compliant' is aan wet- en regelgeving), vraagt om een cyclisch proces. Dit houdt in dat er sprake is van een terugkoppelmechanisme waarbij - door inzicht in de uitvoering - het beleid kan worden bijgestuurd en gecorrigeerd. De Privacy Baseline is als cyclisch proces (Beleid, Uitvoering en Control) opgezet. Afspraken over hoe dit cyclische proces vormgegeven wordt maken onderdeel uit van het beleid.		De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegeven aan de wettelijke beginselen AVG Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'.Privacybeleid dient ervoor om op organisatie- en strategisch niveau duidelijkheid te geven over de inrichtingskeuzes van privacy en te waarborgen dat de verwerking van gegevens op een rechtmatige wijze plaatsvindt.Het ontbreken van een privacybeleid leidt ertoe dat de organisatie geen duidelijkheid heeft over wat precies wordt verwacht, waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden verwerkt (zoals: verzamelen, bewerken, inzien, etcetera).BeleidOnbekendprivacybeleidDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)		Invulling wettelijke beginselen; beschrijven van behoorlijke verwerking
Invulling wettelijke beginselen; beschrijven van garanties bij doorgifte
Invulling wettelijke beginselen; beschrijven van informeren bij inbreuk
Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevens
Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnen
Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerken
Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelen
Invulling wettelijke beginselen; beschrijven van transparante verwerking
Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelen
Invulling wettelijke beginselen; beschrijving van privacy by design
Privacybeleid i.r.t. gedragscode
Privacybeleid i.r.t. sectorspecifieke wetgeving.
Privacybeleid i.r.t. wet- en regelgeving
Privacybeleid; cyclisch proces
Privacybeleid; duidelijkheid over naleving en verantwoordingsplicht
Privacybeleid; vastgesteld en gecommuniceerd		Relatie PRIV B.01-AP05
Relatie PRIV B.01-AP31
Relatie PRIV B.01-AP32
Relatie PRIV B.01-AP33
PRIV_B.01.01.01Privacybeleid; duidelijkheid over naleving en verantwoordingsplichtPrivacybeleid; duidelijkheid over naleving en verantwoordingsplicht3.3In gebruikActueelCIP25 mei 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.01.02Privacybeleid; cyclisch procesPrivacybeleid; cyclisch proces3.3In gebruikActueelCIP8 april 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.01.03Privacybeleid; vastgesteld en gecommuniceerdPrivacybeleid; vastgesteld en gecommuniceerd3.3In gebruikActueelCIP9 april 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.01.04Privacybeleid i.r.t. wet- en regelgevingPrivacybeleid i.r.t. wet- en regelgeving3.3In gebruikActueelCIP18 mei 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.01.05Privacybeleid i.r.t. sectorspecifieke wetgeving.Privacybeleid i.r.t. sectorspecifieke wetgeving.3.3In gebruikActueelCIP9 april 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.01.06Privacybeleid i.r.t. gedragscodePrivacybeleid i.r.t. gedragscode3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.02.01Invulling wettelijke beginselen; beschrijving van privacy by designInvulling wettelijke beginselen; beschrijving van privacy by design3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.02Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelenInvulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelen3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.03Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerkenInvulling wettelijke beginselen; beschrijven van minimalisatie van verwerken3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.04Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevensInvulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevens3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.05Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelenInvulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelen3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.06Invulling wettelijke beginselen; beschrijven van transparante verwerkingInvulling wettelijke beginselen; beschrijven van transparante verwerking3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.07Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnenInvulling wettelijke beginselen; beschrijven van maximale bewaartermijnen3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.08Invulling wettelijke beginselen; beschrijven van garanties bij doorgifteInvulling wettelijke beginselen; beschrijven van garanties bij doorgifte3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.09Invulling wettelijke beginselen; beschrijven van behoorlijke verwerkingInvulling wettelijke beginselen; beschrijven van behoorlijke verwerking3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.10Invulling wettelijke beginselen; beschrijven van informeren bij inbreukInvulling wettelijke beginselen; beschrijven van informeren bij inbreuk3.3In gebruikActueelCIP9 april 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.02Organieke inbeddingOrganieke inbedding3.3In gebruikActueelCIP26 juli 202116 oktober 2017Het waarborgen van de privacy ligt niet bij één persoon. Een veelheid van personen binnen een organisatie is betrokken om aan de vereisten van de wet- en regelgeving te kunnen voldoen.De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.Het doel van een heldere verdeling van taken en bevoegdheden, van middelen en rapportagelijnen is waarborgen dat op de juiste wijze invulling wordt gegeven aan de eisen van het privacybeleid en de AVG.Door het ontbreken van een goede en inzichtelijke taakverdeling en de daarvoor benodigde middelen en rapportagelijnen is niet altijd duidelijk wie wat moet doen, waardoor de eisen van de AVG, de sectorspecifieke wetgeving en het privacybeleid niet effectief worden ingevuld.BeleidOnbekendverdeling van de taken en verantwoordelijkheden, benodigde middelen, rapportagelijnenDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)		Benodigde middelen
Functionaris Gegevensbescherming
Rapporteringslijnen
Verdeling taken en verantwoordelijkheden
Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix
Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten		Relatie PRIV B.02-AP32
PRIV_B.02.01.01Verdeling taken en verantwoordelijkhedenVerdeling taken en verantwoordelijkheden3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendverdeling van de taken en verantwoordelijkhedenDe Privacy Baseline
PRIV_B.02.01.02Functionaris GegevensbeschermingFunctionaris Gegevensbescherming3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendverdeling van de taken en verantwoordelijkhedenDe Privacy Baseline
PRIV_B.02.01.03Verdeling taken en verantwoordelijkheden i.r.t. overeenkomstenVerdeling taken en verantwoordelijkheden i.r.t. overeenkomsten3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendverdeling van de taken en verantwoordelijkhedenDe Privacy Baseline
PRIV_B.02.01.04Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrixVerdeling taken en verantwoordelijkheden i.r.t. TVB-matrix3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendverdeling van de taken en verantwoordelijkhedenDe Privacy Baseline
PRIV_B.02.02.01Benodigde middelenBenodigde middelen3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendbenodigde middelenDe Privacy Baseline
PRIV_B.02.03.01RapporteringslijnenRapporteringslijnen3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendrapporteringslijnenDe Privacy Baseline
PRIV_B.03Risicomanagement, Privacy by Design en de DPIARisicomanagement, Privacy by Design en de DPIA3.3In gebruikActueelCIP10 september 202016 oktober 2017Risicomanagement is een continu proces dat de privacyrisico's signaleert, beoordeelt en een passende behandeling daarvan bewaakt. Privacy-risicomanagement richt zich op het beheersen van privacyrisico's bij het verwerken, waaronder verzamelen, opslaan en doorgeven van persoonsgegevens. Door middel van privacy-risicomanagement worden, bij de ontwikkeling, de inrichting en de inzet van de gegevensverwerking voor de organisatie de privacyrisico's in lijn gebracht met het privacybeleid (zie: B01). Zo wordt voldaan aan de wet- en regelgeving en worden de belangen van de betrokkenen gewaarborgd.De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.Beoordeling van de privacyrisico's (de kans en hun potentiële omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht.Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de AVG voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt.BeleidOnbekendhet beoordelen van de privacyrisico's, passende maatregelen, aantonenDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Aantonen aanpak risicomanagement
Aantonen onderkende risico's en maatregelen
Aantonen privacy by design
Aantonen toepassen DPIA toetsmodel
Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten
Het beoordelen van de privacyrisico's, advies van FG
Het beoordelen van de privacyrisico's, bij wijzigingen
Het beoordelen van de privacyrisico's, hoog risico
Het beoordelen van de privacyrisico's, i.r.t. DPIA
Passende maatregelen i.r.t. de DPIA
Passende maatregelen, continuïteit
Passende maatregelen, passend
Passende maatregelen, technisch en organisatorisch		Relatie PRIV B.03-AP33
Relatie PRIV B.03-AP34
PRIV_B.03.01.01Het beoordelen van de privacyrisico's, hoog risicoHet beoordelen van de privacyrisico's, hoog risico3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendhet beoordelen van de privacyrisico'sDe Privacy Baseline
PRIV_B.03.01.02Het beoordelen van de privacyrisico's, advies van FGHet beoordelen van de privacyrisico's, advies van FG3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendhet beoordelen van de privacyrisico'sDe Privacy Baseline
PRIV_B.03.01.03Het beoordelen van de privacyrisico's, bij wijzigingenHet beoordelen van de privacyrisico's, bij wijzigingen3.3In gebruikActueelCIP16 oktober 201720 mei 2020BeleidOnbekendhet beoordelen van de privacyrisico'sDe Privacy Baseline
PRIV_B.03.01.04Het beoordelen van de privacyrisico's, i.r.t. DPIAHet beoordelen van de privacyrisico's, i.r.t. DPIA3.3In gebruikActueelCIP16 oktober 201720 mei 2020BeleidOnbekendhet beoordelen van de privacyrisico'sDe Privacy Baseline
PRIV_B.03.02.01Passende maatregelen, technisch en organisatorischPassende maatregelen, technisch en organisatorisch3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendpassende maatregelenDe Privacy Baseline
PRIV_B.03.02.02Passende maatregelen, passendPassende maatregelen, passend3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendpassende maatregelenDe Privacy Baseline
PRIV_B.03.02.03Passende maatregelen, continuïteitPassende maatregelen, continuïteit3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendpassende maatregelenDe Privacy Baseline
PRIV_B.03.02.04Passende maatregelen i.r.t. de DPIAPassende maatregelen i.r.t. de DPIA3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendpassende maatregelenDe Privacy Baseline
PRIV_B.03.03.01Aantonen onderkende risico's en maatregelenAantonen onderkende risico's en maatregelen3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendaantonenDe Privacy Baseline
PRIV_B.03.03.02Aantonen uitvoeren DPIA en opvolgen DPIA uitkomstenAantonen uitvoeren DPIA en opvolgen DPIA uitkomsten3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendaantonenDe Privacy Baseline
PRIV_B.03.03.03Aantonen aanpak risicomanagementAantonen aanpak risicomanagement3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendaantonenDe Privacy Baseline
PRIV_B.03.03.04Aantonen toepassen DPIA toetsmodelAantonen toepassen DPIA toetsmodel3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendaantonenDe Privacy Baseline
PRIV_B.03.03.05Aantonen privacy by designAantonen privacy by design3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendaantonenDe Privacy Baseline
PRIV_CPrivacy Control: het control- of beheerdomeinPrivacy Control: het control- of beheerdomein3.3In gebruikActueelCIP20 mei 202016 oktober 2017In dit hoofdstuk zijn richtlijnen opgenomen voor de specifieke beheeraspecten van de gegevensverwerking; dit houdt onder meer in dat een adequate technische- en organisatorische maatregelen moeten zijn ingericht, om de beheerprocessen vorm te geven.De doelstelling van de laag algemene control (beheersing) is te zorgen voor en/of vast te stellen dat maatregelen ter waarborging van de privacy afdoende zijn ingericht.Door het ontbreken van noodzakelijke maatregelen binnen het beheersingsdomein is het niet zeker dat de verwerking aan de vereisten voldoet en dat de governance van die omgeving toereikend is ingericht.ControlNeeDe Privacy Baseline
PRIV_C.01Intern toezichtIntern toezicht3.3In gebruikActueelCIP10 september 202016 oktober 2017Binnen de organisatie wordt toezicht gehouden op de rechtmatigheid van de gegevensverwerking. Een gegevensverwerking is rechtmatig als deze voldoet aan de eisen die de AVG, sectorspecifieke wetgeving en/of een (eventuele) Gedragscode stelt.Door of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond.Het doel van 'Intern toezicht' is het garanderen van een rechtmatige, behoorlijke en transparantie verwerking van persoonsgegevens, het garanderen van naleving van de AVG en van andere wet- en regelgeving betreffende de gegevensbescherming, en het garanderen en aantoonbaar maken van naleving van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens.Als de verwerking van persoonsgegevens niet voldoet aan de AVG, dan zijn de risico's tweeledig: de betrokkene loopt persoonlijke privacyrisico's en de verwerkingsverantwoordelijke wordt geconfronteerd met politiek-bestuurlijke en/of juridische maatregelen, verlies van vertrouwen en beschadiging van imago als gevolg van communicatieve of handhavende maatregelen van betrokkenen, derden en/of de toezichthoudende autoriteiten.ControlOnbekendinformatie en rechtmatigheid aangetoondDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Aantoonbaar behoorlijke verwerking
Aantoonbaar transparante verwerking
Compliancy en compleetheid aantonen met het gegevensregister
Compliancydossier
Evaluatierapportage bij niet voldoen
Gewaarborgde bescherming
Juiste en actuele gegevens
Planmatige controle op compliancy
Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte
Rechtmatigheid aangetoond, toereikende verwerking
Rechtmatigheid aantonen
Rechtmatigheid van de verwerking aantonen
Toezien op het voldoen aan de wettelijke verplichtingen		Relatie PRIV C.01-AP31
Relatie PRIV C.01-AP34
Relatie PRIV C.01-AP44
PRIV_C.01.01.01Toezien op het voldoen aan de wettelijke verplichtingenToezien op het voldoen aan de wettelijke verplichtingen3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendevaluatieDe Privacy Baseline
PRIV_C.01.01.02Evaluatierapportage bij niet voldoenEvaluatierapportage bij niet voldoen3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendevaluatieDe Privacy Baseline
PRIV_C.01.01.03Planmatige controle op compliancyPlanmatige controle op compliancy3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendevaluatieDe Privacy Baseline
PRIV_C.01.02.01Rechtmatigheid van de verwerking aantonenRechtmatigheid van de verwerking aantonen3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.02Rechtmatigheid aangetoond, toereikende verwerkingRechtmatigheid aangetoond, toereikende verwerking3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.03Rechtmatigheid aantonenRechtmatigheid aantonen3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.04Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifteRechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte3.3In gebruikActueelCIP11 november 20196 mei 2019Controlrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.05Gewaarborgde beschermingGewaarborgde bescherming3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.06Juiste en actuele gegevensJuiste en actuele gegevens3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.07Aantoonbaar behoorlijke verwerkingAantoonbaar behoorlijke verwerking3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.08Aantoonbaar transparante verwerkingAantoonbaar transparante verwerking3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.09CompliancydossierCompliancydossier3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.10Compliancy en compleetheid aantonen met het gegevensregisterCompliancy en compleetheid aantonen met het gegevensregister3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.02Toegang gegevensverwerking voor betrokkenenToegang gegevensverwerking voor betrokkenen3.3In gebruikActueelCIP10 september 202016 oktober 2017Iedere betrokkene heeft (binnen grenzen van redelijkheid) het recht te weten of, door wie, waarvoor en op welke wijze zijn persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke moet deze transparantie kunnen bieden. Deze transparantie is nodig om de betrokkene of diens wettelijke vertegenwoordiger in staat te stellen - indien nodig - zonder onevenredige kosten en/of moeite zijn gegevens te laten corrigeren of de verantwoordelijke (in rechte) aan te spreken bij onrechtmatigheid van een gegevensverwerking opdat deze onrechtmatigheid beëindigd wordt.
Voorafgaand aan de verwerking van de persoonsgegevens worden betrokkenen geïnformeerd over de verwerking conform PRIV_U.05: Bewaren van persoonsgegevens, en zijn binnen de verwerkingen voorzieningen getroffen waarmee de betrokkene controle over zijn gegevens kan houden, PRIV_U.03: Kwaliteitsmanagement.		De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG Art. 12, tenzij er een specifieke uitzonderingsgrond geldt.Het doel van 'Toegang gegevensverwerking voor betrokkene' is om zo nodig transparantie te bieden over de gegevensverwerking, zodat de betrokkene zijn rechten kan uitoefenen en zo de verantwoordelijke kan aanspreken bij onrechtmatigheid van een gegevensverwerking, opdat deze onrechtmatigheid beëindigd wordt.De organisatie is niet transparant, waardoor het inzicht in de rechtmatigheid van organisaties ontbreekt, waardoor het vertrouwen in een organisatie verloren gaat.ControlOnbekendinformatie over de verwerking van persoonsgegevens, tijdig, in een passende vorm, specifieke uitzonderingsgrondDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Geen afbreuk aan rechten en vrijheden van anderen
Gegevens ter identificatie van de betrokkene
Informatie aan betrokkene over de verwerking van persoonsgegevens
Informatie wordt schriftelijk en/of elektronisch verstrekt
Kosteloos, tenzij onredelijk
Mondelinge informatieverstrekking
Passende, begrijpelijke en toegankelijke wijze van informeren
Specifieke uitzonderingsgronden
Tijdig informeren bij geen gevolg aan verzoek van betrokkene
Tijdige verstrekking op verzoek van betrokkene
Welke informatie wordt verstrekt		Relatie PRIV C.02-AP26
Relatie PRIV C.02-AP30
Relatie PRIV C.02-AP34
PRIV_C.02.01.01Informatie aan betrokkene over de verwerking van persoonsgegevensInformatie aan betrokkene over de verwerking van persoonsgegevens3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendinformatie over de verwerking van persoonsgegevensDe Privacy Baseline
PRIV_C.02.01.02Welke informatie wordt verstrektWelke informatie wordt verstrekt3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendinformatie over de verwerking van persoonsgegevensDe Privacy Baseline
PRIV_C.02.01.03Geen afbreuk aan rechten en vrijheden van anderenGeen afbreuk aan rechten en vrijheden van anderen3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendinformatie over de verwerking van persoonsgegevensDe Privacy Baseline
PRIV_C.02.02.01Tijdige verstrekking op verzoek van betrokkeneTijdige verstrekking op verzoek van betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendtijdigDe Privacy Baseline
PRIV_C.02.02.02Tijdig informeren bij geen gevolg aan verzoek van betrokkeneTijdig informeren bij geen gevolg aan verzoek van betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendtijdigDe Privacy Baseline
PRIV_C.02.03.01Passende, begrijpelijke en toegankelijke wijze van informerenPassende, begrijpelijke en toegankelijke wijze van informeren3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendin een passende vormDe Privacy Baseline
PRIV_C.02.03.02Informatie wordt schriftelijk en/of elektronisch verstrektInformatie wordt schriftelijk en/of elektronisch verstrekt3.3In gebruikActueelCIP16 oktober 201716 oktober 2017Controlin een passende vormDe Privacy Baseline
PRIV_C.02.03.03Mondelinge informatieverstrekkingMondelinge informatieverstrekking3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendin een passende vormDe Privacy Baseline
PRIV_C.02.03.04Kosteloos, tenzij onredelijkKosteloos, tenzij onredelijk3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendin een passende vormDe Privacy Baseline
PRIV_C.02.03.05Gegevens ter identificatie van de betrokkeneGegevens ter identificatie van de betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendin een passende vormDe Privacy Baseline
PRIV_C.02.04.01Specifieke uitzonderingsgrondenSpecifieke uitzonderingsgronden3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendspecifieke uitzonderingsgrondDe Privacy Baseline
PRIV_C.03Meldplicht DatalekkenMeldplicht Datalekken3.3In gebruikActueelCIP26 juli 202116 oktober 2017Het bieden van inzicht in een datalek en de mogelijke gevolgen ervan, kan mogelijk (negatieve) consequenties voor de betrokkenen beperken. Een datalek is een "inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensAVG Art. 4.

NB: De Engelse tekst spreekt hier van "personal data breach".

De meldplicht datalekken wordt behandeld in AVG Art. 33 en 34. Zie ook AVG overweging 85. In de UAVG is niets over de meldplicht opgenomen, anders dan het uitsluiten van financiële ondernemingen als bedoeld in de Wet op het financieel toezicht (UAVG Art. 42).		De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de Autoriteit Persoonsgegevens, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.Het doel van 'Meldplicht datalekken' is negatieve consequenties van een datalek te beperken en waar mogelijk te voorkomen.Negatieve consequenties die de persoonlijke levenssfeer van de betrokkene treffen.ControlOnbekendmeldt een datalek, gestelde termijn, documenteert de inbreuk, uitzonderingDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)		Datalek melden aan betrokkene
Datalek melden aan de AP
Directe melding aan betrokkene
Duidelijke en eenvoudige taal
Eisen aan de melding aan AP
Eisen aan de melding aan betrokkene
Inbreuk melden aan verwerkingsverantwoordelijke
Kennisgeving vastleggen
Motivering bij vertraagde melding
Naleving controleren op basis van documentatie
Noodzakelijke gegevens in de documentatie
Registratie en documentatie van de inbreuken
Termijn voor melden aan AP
Uitzondering op meldplicht aan AP
Uitzondering op meldplicht aan betrokkene		Relatie PRIV C.03-AP30
PRIV_C.03.01.01Datalek melden aan de APDatalek melden aan de AP3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendmeldt een datalekDe Privacy Baseline
PRIV_C.03.01.02Eisen aan de melding aan APEisen aan de melding aan AP3.3In gebruikActueelCIP16 oktober 2017Controlmeldt een datalekDe Privacy Baseline
PRIV_C.03.01.03Datalek melden aan betrokkeneDatalek melden aan betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendmeldt een datalekDe Privacy Baseline
PRIV_C.03.01.04Eisen aan de melding aan betrokkeneEisen aan de melding aan betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendmeldt een datalekDe Privacy Baseline
PRIV_C.03.01.05Duidelijke en eenvoudige taalDuidelijke en eenvoudige taal3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendmeldt een datalekDe Privacy Baseline
PRIV_C.03.02.01Inbreuk melden aan verwerkingsverantwoordelijkeInbreuk melden aan verwerkingsverantwoordelijke3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendgestelde termijnDe Privacy Baseline
PRIV_C.03.02.02Termijn voor melden aan APTermijn voor melden aan AP3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendgestelde termijnDe Privacy Baseline
PRIV_C.03.02.03Motivering bij vertraagde meldingMotivering bij vertraagde melding3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendgestelde termijnDe Privacy Baseline
PRIV_C.03.02.04Directe melding aan betrokkeneDirecte melding aan betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendgestelde termijnDe Privacy Baseline
PRIV_C.03.03.01Registratie en documentatie van de inbreukenRegistratie en documentatie van de inbreuken3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenddocumenteert de inbreukDe Privacy Baseline
PRIV_C.03.03.02Naleving controleren op basis van documentatieNaleving controleren op basis van documentatie3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenddocumenteert de inbreukDe Privacy Baseline
PRIV_C.03.03.03Noodzakelijke gegevens in de documentatieNoodzakelijke gegevens in de documentatie3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenddocumenteert de inbreukDe Privacy Baseline
PRIV_C.03.03.04Kennisgeving vastleggenKennisgeving vastleggen3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenddocumenteert de inbreukDe Privacy Baseline
PRIV_C.03.04.01Uitzondering op meldplicht aan APUitzondering op meldplicht aan AP3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenduitzonderingDe Privacy Baseline
PRIV_C.03.04.02Uitzondering op meldplicht aan betrokkeneUitzondering op meldplicht aan betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenduitzonderingDe Privacy Baseline
PRIV_UPrivacy Uitvoering: het uitvoeringsdomeinPrivacy Uitvoering: het uitvoeringsdomein3.3In gebruikActueelCIP20 mei 202016 oktober 2017In dit onderdeel van de Privacy Baseline zijn de eisen opgenomen voor de uitvoering van de gegevensverwerking. Het beleid dat op de beleidslaag vanuit het hogere managementniveau is ontwikkeld en bekrachtigd, is leidend voor de invulling van de specifieke aspecten van de gegevensverwerking.In het uitvoeringsdomein worden persoonsgegevens verwerkt. De verantwoordelijke voor de verwerking moet hier de verwerking realiseren onder de condities en randvoorwaarden die in het beleidsdomein zijn gedefinieerd. Personen waarvan de persoonsgegevens worden verwerkt (betrokkenen) moeten de zekerheid kunnen krijgen dat de verwerking conform de wet- en regelgeving gebeurt.Wanneer richtlijnen voor de specifieke aspecten van de gegevensverwerking ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegeven aan de specifieke aspecten bij de verwerking van persoonlijke gegevens. Dit geeft onduidelijkheid bij de technische en organisatorische inrichting van de gegevensverwerkingen.UitvoeringNeeDe Privacy Baseline
PRIV_U.01Doelbinding gegevensverwerkingDoelbinding gegevensverwerking3.3In gebruikActueelCIP26 juli 202116 oktober 2017Het uitgangspunt van doelbinding is, dat gegevens worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doel. 'Welbepaald en uitdrukkelijk omschreven' houdt in dat men geen gegevens mag verzamelen zonder een precieze doelomschrijving. Het doel moet zijn bepaald alvorens men tot verzamelen overgaat. 'Welbepaald' houdt in dat deze doelomschrijving duidelijk moet zijn, niet zo vaag of ruim dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevens nodig zijn voor dat doel of niet. Het doel mag ook niet in de loop van het verzamelproces geformuleerd worden. 'Uitdrukkelijk omschreven' houdt in dat de verantwoordelijke het doel waarvoor hij verwerkt moet hebben omschreven.De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
  • De doeleinden, en:
  • De rechtvaardigingsgronden voor:
  1. De verdere verwerking op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
  2. De geautomatiseerde besluitvorming;
  3. De bijzondere categorieën persoonsgegevens;
  4. De persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten;
  5. Het nationaal identificerend nummer;
  6. De persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang.
Het doel van 'Doelbinding gegevensverwerking' is om te waarborgen dat persoonsgegevens alleen worden verzameld en (verder) verwerkt voor gerechtvaardigde doeleinden.Het ongeoorloofd en onrechtmatig verzamelen en (verder) verwerken van persoonsgegevens.UitvoeringOnbekendtijdig, welbepaald en uitdrukkelijk omschrevenDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)		Bijzondere categorieën persoonsgegevens, m.b.t. specifieke doeleinden met algemeen belang
Bijzondere categorieën persoonsgegevens; algemeen belang i.r.t volksgezondheid
Bijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belang
Bijzondere categorieën persoonsgegevens; gezondheidsgegevens
Bijzondere categorieën persoonsgegevens; i.r.t. rechtsvordering, gerechten
Bijzondere categorieën persoonsgegevens; ledenadministratie, gerechtvaardigde activiteiten
Bijzondere categorieën persoonsgegevens; noodzaak i.r.t verplichtingen en specifieke rechten
Bijzondere categorieën persoonsgegevens; noodzaak, vitale belangen, onmacht
Bijzondere categorieën persoonsgegevens; openbaar gemaakt door betrokkene
Bijzondere categorieën persoonsgegevens; uitdrukkelijke toestemming
Bijzondere categorieën persoonsgegevens; voorwaarden verwerking i.v.m. gezondheidszorg
Doeleinden; rechtmatigheid
Doeleinden; toereikend, ter zake dienend en beperkt
Doeleinden; transparant, behoorlijk en veilig
Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belang
Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens
Geautomatiseerde besluitvorming; niet, tenzij
Geautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangen
Het verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelen
Nationaal identificerend nummer
Persoonsgegevens van strafrechtelijke aard
Persoonsgegevens van strafrechtelijke aard; eisen aan de verwerking
Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR
Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking
Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt.
Tijdig, welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking
Tijdig, welbepaald en uitdrukkelijk omschreven; SMART
Tijdig, welbepaald en uitdrukkelijk omschreven; doeleinden en rechtmatigheid
Tijdig, welbepaald en uitdrukkelijk omschreven; noodzaak en verenigbaarheid
Verdere verwerking i.r.t. andere doelen
Vooraf in kennis stellen van (voornemen tot) verdere verwerking		Relatie PRIV U.01-AP15
Relatie PRIV U.01-AP27
PRIV_U.01.01.01Tijdig, welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerkingTijdig, welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendtijdig, welbepaald en uitdrukkelijk omschrevenDe Privacy Baseline
PRIV_U.01.01.02Tijdig, welbepaald en uitdrukkelijk omschreven; doeleinden en rechtmatigheidTijdig, welbepaald en uitdrukkelijk omschreven; doeleinden en rechtmatigheid3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendtijdig, welbepaald en uitdrukkelijk omschrevenDe Privacy Baseline
PRIV_U.01.01.03Tijdig, welbepaald en uitdrukkelijk omschreven; noodzaak en verenigbaarheidTijdig, welbepaald en uitdrukkelijk omschreven; noodzaak en verenigbaarheid3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendtijdig, welbepaald en uitdrukkelijk omschrevenDe Privacy Baseline
PRIV_U.01.01.04Tijdig, welbepaald en uitdrukkelijk omschreven; SMARTTijdig, welbepaald en uitdrukkelijk omschreven; SMART3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendtijdig, welbepaald en uitdrukkelijk omschrevenDe Privacy Baseline
PRIV_U.01.02.01Doeleinden; toereikend, ter zake dienend en beperktDoeleinden; toereikend, ter zake dienend en beperkt3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekenddoeleindenDe Privacy Baseline
PRIV_U.01.02.02Doeleinden; rechtmatigheidDoeleinden; rechtmatigheid3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekenddoeleindenDe Privacy Baseline
PRIV_U.01.02.03Doeleinden; transparant, behoorlijk en veiligDoeleinden; transparant, behoorlijk en veilig3.3In gebruikActueelCIP25 mei 202016 oktober 2017UitvoeringOnbekenddoeleindenDe Privacy Baseline
PRIV_U.01.03.01Verdere verwerking i.r.t. andere doelenVerdere verwerking i.r.t. andere doelen3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging verdere verwerkingDe Privacy Baseline
PRIV_U.01.03.02Vooraf in kennis stellen van (voornemen tot) verdere verwerkingVooraf in kennis stellen van (voornemen tot) verdere verwerking3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging verdere verwerkingDe Privacy Baseline
PRIV_U.01.04.01Bijzondere categorieën persoonsgegevens; uitdrukkelijke toestemmingBijzondere categorieën persoonsgegevens; uitdrukkelijke toestemming3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.02Bijzondere categorieën persoonsgegevens; noodzaak i.r.t verplichtingen en specifieke rechtenBijzondere categorieën persoonsgegevens; noodzaak i.r.t verplichtingen en specifieke rechten3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.03Bijzondere categorieën persoonsgegevens; noodzaak, vitale belangen, onmachtBijzondere categorieën persoonsgegevens; noodzaak, vitale belangen, onmacht3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.04Bijzondere categorieën persoonsgegevens; ledenadministratie, gerechtvaardigde activiteitenBijzondere categorieën persoonsgegevens; ledenadministratie, gerechtvaardigde activiteiten3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.05Bijzondere categorieën persoonsgegevens; openbaar gemaakt door betrokkeneBijzondere categorieën persoonsgegevens; openbaar gemaakt door betrokkene3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.06Bijzondere categorieën persoonsgegevens; i.r.t. rechtsvordering, gerechtenBijzondere categorieën persoonsgegevens; i.r.t. rechtsvordering, gerechten3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.07Bijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belangBijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belang3.3In gebruikActueelCIP17 februari 202216 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.08Bijzondere categorieën persoonsgegevens; gezondheidsgegevensBijzondere categorieën persoonsgegevens; gezondheidsgegevens3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.09Bijzondere categorieën persoonsgegevens; voorwaarden verwerking i.v.m. gezondheidszorgBijzondere categorieën persoonsgegevens; voorwaarden verwerking i.v.m. gezondheidszorg3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.10Bijzondere categorieën persoonsgegevens; algemeen belang i.r.t volksgezondheidBijzondere categorieën persoonsgegevens; algemeen belang i.r.t volksgezondheid3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.11Bijzondere categorieën persoonsgegevens, m.b.t. specifieke doeleinden met algemeen belangBijzondere categorieën persoonsgegevens, m.b.t. specifieke doeleinden met algemeen belang3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.05.01Persoonsgegevens van strafrechtelijke aardPersoonsgegevens van strafrechtelijke aard3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendstrafrechtelijke veroordelingen en strafbare feitenDe Privacy Baseline
PRIV_U.01.05.02Persoonsgegevens van strafrechtelijke aard; eisen aan de verwerkingPersoonsgegevens van strafrechtelijke aard; eisen aan de verwerking3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendstrafrechtelijke veroordelingen en strafbare feitenDe Privacy Baseline
PRIV_U.01.05.03Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de ORStrafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR3.1In gebruikVervangen
Uitgefaseerd		CIP16 oktober 2017Uitvoeringstrafrechtelijke veroordelingen en strafbare feitenDe Privacy Baseline
PRIV_U.01.05.04Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt.Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt.3.1In gebruikVervangen
Uitgefaseerd		CIP16 oktober 2017Uitvoeringstrafrechtelijke veroordelingen en strafbare feitenDe Privacy Baseline
PRIV_U.01.05.05Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerkingStrafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking3.1In gebruikVervangen
Uitgefaseerd		CIP16 oktober 2017Uitvoeringstrafrechtelijke veroordelingen en strafbare feitenDe Privacy Baseline
PRIV_U.01.06.01Nationaal identificerend nummerNationaal identificerend nummer3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendnationaal identificerend nummerDe Privacy Baseline
PRIV_U.01.07.01Geautomatiseerde besluitvorming; niet, tenzijGeautomatiseerde besluitvorming; niet, tenzij3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendgeautomatiseerde besluitvormingDe Privacy Baseline
PRIV_U.01.07.02Geautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangenGeautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangen3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendgeautomatiseerde besluitvormingDe Privacy Baseline
PRIV_U.01.07.03Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevensGeautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendgeautomatiseerde besluitvormingDe Privacy Baseline
PRIV_U.01.08.01Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belangEisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belang3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendwetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangDe Privacy Baseline
PRIV_U.01.08.02Het verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelenHet verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelen3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendwetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangDe Privacy Baseline
PRIV_U.02Register van verwerkingsactiviteitenRegister van verwerkingsactiviteiten3.3In gebruikActueelCIP10 september 202016 oktober 2017Om de naleving van de AVG aan te kunnen tonen dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevondenAVG overweging 82..
Binnen een organisatie kan dit via gegevensmanagement worden vastgelegd. De vastlegging maakt duidelijk hoe de verschillende organisatieonderdelen de bedrijfsprocessen ondersteunen en welke beveiligingsmaatregelen (op hoofdlijnen) zijn getroffen voor de verwerkingen en betrokkenen. Het register maakt toezicht op de verwerkingsactiviteiten mogelijk.		De verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens.Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens.Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen.UitvoeringOnbekendregister, actueel en samenhangend beeldDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Actueel beeld voor de AP
Beschrijving gegevensstromen
De registers geven een samenhangend beeld
Inhoud van het register van verwerkingsactiviteiten
Register van verwerker, categorieën van verwerkingsactiviteiten
Register van verwerker, in schriftelijke elektronische vorm
Register van verwerker, inhoud van het register
Register van verwerker, niet bijgehouden als …
Register van verwerkingsverantwoordelijke
Resultaten DPIA in register		Relatie PRIV U.02-AP16
Relatie PRIV U.02-AP17
PRIV_U.02.01.01Register van verwerkingsverantwoordelijkeRegister van verwerkingsverantwoordelijke3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.01.02Inhoud van het register van verwerkingsactiviteitenInhoud van het register van verwerkingsactiviteiten3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.01.03Register van verwerker, categorieën van verwerkingsactiviteitenRegister van verwerker, categorieën van verwerkingsactiviteiten3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.01.04Register van verwerker, inhoud van het registerRegister van verwerker, inhoud van het register3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.01.05Register van verwerker, in schriftelijke elektronische vormRegister van verwerker, in schriftelijke elektronische vorm3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.01.06Register van verwerker, niet bijgehouden als …Register van verwerker, niet bijgehouden als …3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.02.01De registers geven een samenhangend beeldDe registers geven een samenhangend beeld3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendactueel en samenhangend beeldDe Privacy Baseline
PRIV_U.02.02.02Actueel beeld voor de APActueel beeld voor de AP3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendactueel en samenhangend beeldDe Privacy Baseline
PRIV_U.02.02.03Beschrijving gegevensstromenBeschrijving gegevensstromen3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendactueel en samenhangend beeldDe Privacy Baseline
PRIV_U.02.02.04Resultaten DPIA in registerResultaten DPIA in register3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendactueel en samenhangend beeldDe Privacy Baseline
PRIV_U.03KwaliteitsmanagementKwaliteitsmanagement3.3In gebruikActueelCIP10 september 202016 oktober 2017Kwaliteitsmanagement zorgt voor de processen die bij onjuistheid en onnauwkeurigheid van de gegevens of bij ongewenste verwerking de gegevens rectificeren, volledig maken, wissen, de verwerking beperken of toestemming tot verwerking intrekken.De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit gebeurt op verzoek van betrokkene dan wordt deze over de status van de afhandeling geïnformeerd.'Kwaliteitsmanagement' moet ervoor zorgen dat een gegevensverwerking correct en in overeenstemming met de wens van betrokkenen is.Wanneer de gegevens onjuist of onnauwkeurig zijn ingevoerd of gecorrumpeerd raken, worden verkeerde conclusies over de betrokkene getrokken met negatieve consequenties of naar het oordeel van betrokkene ongewenste verwerking van zijn of haar persoonsgegevens tot gevolg.UitvoeringOnbekendjuistheid en nauwkeurigheid, gecorrigeerd, gestaakt of overgedragen, geïnformeerdDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Aanvulling op verzoek van betrokkene
Beperking van de verwerking op verzoek van de betrokkene
Controle op juistheid en nauwkeurigheid
Elektronische verwerking van het verzoek
Gegevens wissen op verzoek van de betrokkene
Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt
Geïnformeerd, schriftelijk of op andere wijze
Identificatie van betrokkene
Informatie over afwikkeling correctieverzoek
Informatie over geen gevolg geven aan het correctieverzoek
Maatregelen i.r.t. juistheid en nauwkeurigheid
Maatregelen na openbaarmaking van persoonsgegevens
Notificatie bij rectificatie, gegevenswissing of verwerkingsbeperking
Recht op ongehinderde overdracht van gegevens
Rechtstreekse overdracht
Rectificatie op verzoek van betrokkene
Staken van de verwerking op verzoek van betrokkene		Relatie PRIV U.03-AP25
Relatie PRIV U.03-AP26
Relatie PRIV U.03-AP33
Relatie PRIV U.03-AP44
PRIV_U.03.01.01Maatregelen i.r.t. juistheid en nauwkeurigheidMaatregelen i.r.t. juistheid en nauwkeurigheid3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendjuistheid en nauwkeurigheidDe Privacy Baseline
PRIV_U.03.01.02Controle op juistheid en nauwkeurigheidControle op juistheid en nauwkeurigheid3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendjuistheid en nauwkeurigheidDe Privacy Baseline
PRIV_U.03.02.01Rectificatie op verzoek van betrokkeneRectificatie op verzoek van betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.02Aanvulling op verzoek van betrokkeneAanvulling op verzoek van betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.03Gegevens wissen op verzoek van de betrokkeneGegevens wissen op verzoek van de betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.04Staken van de verwerking op verzoek van betrokkeneStaken van de verwerking op verzoek van betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.05Maatregelen na openbaarmaking van persoonsgegevensMaatregelen na openbaarmaking van persoonsgegevens3.3In gebruikActueelCIP16 oktober 201713 juni 2020UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.06Beperking van de verwerking op verzoek van de betrokkeneBeperking van de verwerking op verzoek van de betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.07Recht op ongehinderde overdracht van gegevensRecht op ongehinderde overdracht van gegevens3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.08Rechtstreekse overdrachtRechtstreekse overdracht3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.03.01Notificatie bij rectificatie, gegevenswissing of verwerkingsbeperkingNotificatie bij rectificatie, gegevenswissing of verwerkingsbeperking3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.03.03.02Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrektGeïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt3.3In gebruikVervangen
Uitgefaseerd		CIP13 juni 202016 oktober 2017geïnformeerdDe Privacy Baseline
PRIV_U.03.03.03Informatie over afwikkeling correctieverzoekInformatie over afwikkeling correctieverzoek3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.03.03.04Elektronische verwerking van het verzoekElektronische verwerking van het verzoek3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.03.03.05Geïnformeerd, schriftelijk of op andere wijzeGeïnformeerd, schriftelijk of op andere wijze3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.03.03.06Informatie over geen gevolg geven aan het correctieverzoekInformatie over geen gevolg geven aan het correctieverzoek3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.03.03.07Identificatie van betrokkeneIdentificatie van betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.04Beveiligen van de verwerking van persoonsgegevensBeveiligen van de verwerking van persoonsgegevens3.3In gebruikActueelCIP26 juli 202116 oktober 2017Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder - in het geval van persoonsgegevens - ook de AVG).De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen voor verwerking van persoonsgegevens op een passend beveiligingsniveauAVG Art. 32.Het doel van 'beveiligen van de verwerking van persoonsgegevens' is persoonsgegevens te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking.Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevens.UitvoeringOnbekendtechnische en organisatorische maatregelen, een passend beveiligingsniveauDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)		Fysieke beveiliging, wijze van verzamelen
Gedragscode, certificering
Organisatorische beveiliging, planmatig, aantoonbaar
Passend beschermingsniveau, proportioneel en subsidiair
Passend beveiligingsniveau
Risicoanalyse
Toegang wordt beperkt		Relatie PRIV U.04-AP19
Relatie PRIV U.04-AP29
Relatie PRIV U.04-AP30
Relatie PRIV U.04-AP33
PRIV_U.04.01.01Toegang wordt beperktToegang wordt beperkt3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendtechnische en organisatorische maatregelenDe Privacy Baseline
PRIV_U.04.01.02Fysieke beveiliging, wijze van verzamelenFysieke beveiliging, wijze van verzamelen3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendtechnische en organisatorische maatregelenDe Privacy Baseline
PRIV_U.04.01.03Organisatorische beveiliging, planmatig, aantoonbaarOrganisatorische beveiliging, planmatig, aantoonbaar3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendtechnische en organisatorische maatregelenDe Privacy Baseline
PRIV_U.04.01.04Passend beveiligingsniveauPassend beveiligingsniveau3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendtechnische en organisatorische maatregelenDe Privacy Baseline
PRIV_U.04.02.01Passend beschermingsniveau, proportioneel en subsidiairPassend beschermingsniveau, proportioneel en subsidiair3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendDe Privacy Baseline
PRIV_U.04.02.02RisicoanalyseRisicoanalyse3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendeen passend beveiligingsniveauDe Privacy Baseline
PRIV_U.04.02.03Gedragscode, certificeringGedragscode, certificering3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendeen passend beveiligingsniveauDe Privacy Baseline
PRIV_U.05Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensInformatieverstrekking aan betrokkene bij verzameling persoonsgegevens3.3In gebruikActueelCIP26 juli 202116 oktober 2017Wie persoonsgegevens verstrekt aan een organisatie heeft het recht te weten waarvoor, op welke wijze en door wie deze gegevens worden gebruikt. De organisatie heeft hiertoe een informatieplicht. Deze informatieplicht geldt ook wanneer persoonsgegevens van anderen worden ontvangen.De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG Art. 14.Het doel van 'Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens' is om transparantie aan betrokkene te garanderen over de gegevensverzameling en de verwerking, zodat de betrokkene zijn rechten kan uitoefenen overeenkomstig de beginselen van behoorlijke en transparante verwerkingAVG Art. 12 en overweging 60.De organisatie is niet transparant, waardoor de organisatie niet kan verantwoorden dat de gegevensverwerking voldoet aan de beginselen van behoorlijke en transparante verwerking, met mogelijk hoge kosten tot gevolg.UitvoeringOnbekendtijdig, informatie, toestemming, uitzonderingDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)		Informatie aan betrokkene
Informatie aan betrokkene indien andere bron
Informatie over niet van betrokkene verkregen persoonsgegevens
Informatievereisten bij verzoek om toestemming
Informeren bij toestemming soms niet verplicht
Toestemming indien kind jonger is dan 16 jaar
Toestemming van de betrokkene vooraf
Toestemming vrijelijk gegeven		Relatie PRIV U.05-AP05
Relatie PRIV U.05-AP20
PRIV_U.05.01.01Toestemming van de betrokkene voorafToestemming van de betrokkene vooraf3.3In gebruikActueelCIP14 juni 202016 oktober 2017UitvoeringOnbekendtijdigDe Privacy Baseline
PRIV_U.05.01.02Informatie over niet van betrokkene verkregen persoonsgegevensInformatie over niet van betrokkene verkregen persoonsgegevens3.3In gebruikActueelCIP14 juni 202016 oktober 2017UitvoeringOnbekendtijdigDe Privacy Baseline
PRIV_U.05.02.01Informatievereisten bij verzoek om toestemmingInformatievereisten bij verzoek om toestemming3.3In gebruikActueelCIP14 juni 202016 oktober 2017UitvoeringOnbekendinformatieDe Privacy Baseline
PRIV_U.05.02.02Informatie aan betrokkeneInformatie aan betrokkene3.3In gebruikActueelCIP14 juni 202016 oktober 2017UitvoeringOnbekendinformatieDe Privacy Baseline
PRIV_U.05.02.03Informatie aan betrokkene indien andere bronInformatie aan betrokkene indien andere bron3.3In gebruikActueelCIP14 juni 202016 oktober 2017UitvoeringOnbekendinformatieDe Privacy Baseline
PRIV_U.05.03.01Informeren bij toestemming soms niet verplichtInformeren bij toestemming soms niet verplicht3.3In gebruikActueelCIP15 juni 202016 oktober 2017UitvoeringOnbekenduitzonderingDe Privacy Baseline
PRIV_U.05.04.01Toestemming vrijelijk gegevenToestemming vrijelijk gegeven3.3In gebruikActueelCIP15 juni 202016 oktober 2017UitvoeringOnbekendtoestemmingDe Privacy Baseline
PRIV_U.05.04.02Toestemming indien kind jonger is dan 16 jaarToestemming indien kind jonger is dan 16 jaar3.3In gebruikActueelCIP15 juni 202016 oktober 2017UitvoeringOnbekendtoestemmingDe Privacy Baseline
PRIV_U.06Bewaren van persoonsgegevensBewaren van persoonsgegevens3.3In gebruikActueelCIP26 juli 202116 oktober 2017Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld of niet langer dan de bewaartermijn die sectorspecifieke wetgeving stelt. De bewaartermijn kan worden beëindigd door actieve verwijdering van de gegevens of door anonimisering van de persoonsgegevens. Bij anonimisering zijn de gegevens niet meer herleidbaar tot de betrokkenen.
NB: De AVG is niet van toepassing op de persoonsgegevens van overleden personenAVG overweging 27: "De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen.".		Door het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden.Het doel van 'Bewaren van persoonsgegevens' is te borgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het te bereiken doel.Onnodig bewaarde persoonsgegevens kunnen worden verwerkt voor andere dan de oorspronkelijke doelen.UitvoeringOnbekendbewaartermijn, nodige maatregelenDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
UAVG (Uitvoeringswet AVG)		Bewaartermijnen worden vastgesteld en bekrachtigd
Bewaking van de noodzaak tot bewaren
Langere opslagperiode voor specifieke doelen (onderzoek, statistiek)
Maatregelen na verlopen bewaartermijn
Maximale bewaartermijn
Sectorspecifieke bewaartermijnen		Relatie PRIV U.06-AP30
Relatie PRIV U.06-AP33
Relatie PRIV U.06-AP44
PRIV_U.06.01.01Maatregelen na verlopen bewaartermijnMaatregelen na verlopen bewaartermijn3.3In gebruikActueelCIP29 oktober 202016 oktober 2017UitvoeringOnbekendnodige maatregelenDe Privacy Baseline
PRIV_U.06.01.02Bewaking van de noodzaak tot bewarenBewaking van de noodzaak tot bewaren3.3In gebruikActueelCIP29 oktober 202016 oktober 2017UitvoeringOnbekendnodige maatregelenDe Privacy Baseline
PRIV_U.06.02.01Bewaartermijnen worden vastgesteld en bekrachtigdBewaartermijnen worden vastgesteld en bekrachtigd3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendbewaartermijnDe Privacy Baseline
PRIV_U.06.02.02Maximale bewaartermijnMaximale bewaartermijn3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendbewaartermijnDe Privacy Baseline
PRIV_U.06.02.03Sectorspecifieke bewaartermijnenSectorspecifieke bewaartermijnen3.3In gebruikActueelCIP16 oktober 201716 oktober 2017UitvoeringbewaartermijnDe Privacy Baseline
PRIV_U.06.02.04Langere opslagperiode voor specifieke doelen (onderzoek, statistiek)Langere opslagperiode voor specifieke doelen (onderzoek, statistiek)3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendbewaartermijnDe Privacy Baseline
PRIV_U.07Doorgifte persoonsgegevensDoorgifte persoonsgegevens3.3In gebruikActueelCIP10 september 202016 oktober 2017Doorgifte kan plaatsvinden aan verwerker(s) en aan andere verwerkingsverantwoordelijke(n). Een verwerker verricht de verwerking namens een verwerkingsverantwoordelijkeAVG Art. 28 lid 1.

NB: indien een verwerker in strijd met de Avg handelt, wordt die verwerker als verwerkingsverantwoordelijke beschouwdAVG Art. 28 lid 10.
Waar sprake is van meerdere verwerkingsverantwoordelijken, bepalen zij gezamenlijk de doelstellingen en middelen voor de verwerking en zijn zij gezamenlijke verwerkingsverantwoordelijkenAVG art. 27 lid 1.

Bij de doorgifte wordt onderscheid gemaakt tussen doorgifte binnen de EU, waar de AVG geldt, en doorgifte naar buiten de EU. Als doorgifte naar buiten de EU plaatsvindt, dan spreekt de AVG van doorgifte aan derde landen en internationale organisaties.		Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

Bij de doorgifte naar buiten de EU:

  • Is er een vertegenwoordiger, en:
  • Is geen sprake van uitzonderingsgronden, en:
  • Geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
  • Zijn er passende waarborgenAVG Art. 44, of:
  • Geldt een afwijking voor een specifieke situatie.
Het doel van de vereisten bij 'Doorgifte persoonsgegevens' is te waarborgen dat persoonsgegevens op een rechtmatige manier worden doorgegeven, op een juiste manier worden gebruikt en dat de verantwoordelijkheid voor deze rechtmatigheid en juistheid ingeregeld blijft.Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.UitvoeringOnbekendonderlinge verantwoordelijkheden, afdoende garantiesDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Adequaatheidsbesluit
Afdoende garanties formeel vastgelegd
Afdoende garanties voor passende maatregelen
Afwijking voor een specifieke situatie
Bepalingen overeengekomen met de verwerker
De onderlinge verantwoordelijkheden
Passende waarborgen bij aanwezigheid adequaatheidsbesluit
Passende waarborgen bij afwezigheid adequaatheidsbesluit
Passende waarborgen, beëindigen van doorgifte en informeren van betrokkene
Schriftelijk vastleggen
Toestemming voor het door een andere verwerker laten uitvoeren van de verwerking
Uitzonderingsgrond voor de verwerking
Uitzonderingsgrond voor doorgifte
Vertegenwoordiger in de EU		Relatie PRIV U.07-AP15
Relatie PRIV U.07-AP17
Relatie PRIV U.07-AP20
Relatie PRIV U.07-AP27
Relatie PRIV U.07-AP28
PRIV_U.07.01.01De onderlinge verantwoordelijkhedenDe onderlinge verantwoordelijkheden3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendonderlinge verantwoordelijkhedenDe Privacy Baseline
PRIV_U.07.02.01Afdoende garanties formeel vastgelegdAfdoende garanties formeel vastgelegd3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendafdoende garantiesDe Privacy Baseline
PRIV_U.07.02.02Bepalingen overeengekomen met de verwerkerBepalingen overeengekomen met de verwerker3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendafdoende garantiesDe Privacy Baseline
PRIV_U.07.02.03Schriftelijk vastleggenSchriftelijk vastleggen3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendafdoende garantiesDe Privacy Baseline
PRIV_U.07.03.01Vertegenwoordiger in de EUVertegenwoordiger in de EU3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendvertegenwoordigerDe Privacy Baseline
PRIV_U.07.03.02Afdoende garanties voor passende maatregelenAfdoende garanties voor passende maatregelen3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendvertegenwoordigerDe Privacy Baseline
PRIV_U.07.03.03Toestemming voor het door een andere verwerker laten uitvoeren van de verwerkingToestemming voor het door een andere verwerker laten uitvoeren van de verwerking3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendvertegenwoordigerDe Privacy Baseline
PRIV_U.07.04.01Uitzonderingsgrond voor de verwerkingUitzonderingsgrond voor de verwerking3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekenduitzonderingsgrondDe Privacy Baseline
PRIV_U.07.04.02Uitzonderingsgrond voor doorgifteUitzonderingsgrond voor doorgifte3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekenduitzonderingsgrondDe Privacy Baseline
PRIV_U.07.05.01AdequaatheidsbesluitAdequaatheidsbesluit3.3In gebruikActueelCIP17 februari 202216 oktober 2017UitvoeringOnbekendadequaatheidsbesluitDe Privacy Baseline
PRIV_U.07.06.01Passende waarborgen bij afwezigheid adequaatheidsbesluitPassende waarborgen bij afwezigheid adequaatheidsbesluit3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendpassende waarborgenDe Privacy Baseline
PRIV_U.07.06.02Passende waarborgen bij aanwezigheid adequaatheidsbesluitPassende waarborgen bij aanwezigheid adequaatheidsbesluit3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendpassende waarborgenDe Privacy Baseline
PRIV_U.07.06.03Passende waarborgen, beëindigen van doorgifte en informeren van betrokkenePassende waarborgen, beëindigen van doorgifte en informeren van betrokkene3.1In gebruikActueelCIP16 oktober 2017Uitvoeringpassende waarborgenDe Privacy Baseline
PRIV_U.07.07.01Afwijking voor een specifieke situatieAfwijking voor een specifieke situatie3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendafwijking voor een specifieke situatieDe Privacy Baseline

Betekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Inzicht in de werkwijze die de overheid hanteert.

Betekenisvolle gegevens.

Betekenisvolle gegevens.

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Overgenomen van "https://www.noraonline.nl/index.php?title=De_Privacy_Baseline/alle_principes_alle_eigenschappen&oldid=66960"