ISOR/totaaltabel

Uit NORA Online
Ga naar: navigatie, zoeken
Tabel met alle elementen in het normenkader De_Privacy_Baseline.
Een element kan zijn: Beveiligingsprincipe, Hoofdstuk normenkader, Norm, Normenkader, Normenkader-aspect, Privacyprincipe
Tip: klik op het pijltje naast 'ID' voor een logische volgorde.
TitelIDElementtypeVersieaanduidingStatus actualiteitRedactionele wijzigingsdatumPublicatiedatumBeschrijvingToelichtingConformiteitsindicatorCriteriumDoelstellingRisicoBeveiligingsaspectInvalshoekGrondslagStellingGrondslag opmerkingenRealiseertAfbeeldingOnderschriftPxAlt-tekstWijzigingsdatum
"Wijzigingsdatum (Modification date)" is a predefined property that corresponds to the date of the last modification of a subject and is provided by Semantic MediaWiki.
 
Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belangPRIV_U.01.08.01Norm3.3Actueel4 juni 202016 oktober 2017
Toelichting
  • Verwerkingen ten behoeve van wetenschappelijk of historisch onderzoek of met een statistisch oogmerk worden op meerdere plaatsen in de AVG geadresseerd. Allereerst worden verdere verwerkingen ten behoeve van wetenschappelijk onderzoek niet als onverenigbaar beschouwd met het vereiste van doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.. Ook mogen persoonsgegevens ten behoeve van wetenschappelijk onderzoek langer worden opgeslagen, mits passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermenAVG Art. 5 lid 1b en 1e.. Deze bepalingen werken rechtstreeks in de Nederlandse rechtsorde en behoeven geen omzetting naar Nederlands recht.
  • Voor de verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek of statistische doeleinden staan twee wegen open.
    In de eerste plaats is verwerking mogelijk op basis van uitdrukkelijke toestemming van de betrokkene. Ten aanzien van verwerkingen voor wetenschappelijk onderzoek geldt dat uitdrukkelijke toestemming van de betrokkenen een eigen, specifieke betekenis heeft. Het is vaak niet mogelijk op het ogenblik waarop de persoonsgegevens worden verzameld het doel van de gegevensverwerking voor wetenschappelijke onderzoeksdoeleinden volledig te omschrijven. Daarom moet de betrokkene worden toegestaan toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek waarbij erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen. De betrokkene moet de gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat.
    De tweede mogelijkheid betreft de situatie waarin de uitdrukkelijke toestemming van de betrokkene niet kan worden verkregen of een onevenredige inspanning kost. Dan kan de verwerking alsnog plaatsvinden mits aan de overige voorwaarden genoemd in artikel 24 van de UAVG wordt voldaanAVG Art. 27.. De verwerking moet dan vanzelfsprekend ook voldoen aan de overige van toepassing zijnde voorwaarden van de AVG en UAVG.
wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangUitvoeringOnbekendDe verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats voor zover deze aan de vereisen uit /04.11 voldoenUAVG Art. 24 ; AVG Art. 9 lid 2j.Doelbinding gegevensverwerking12 juni 2020 21:23:59ISOR:Eisen aan het verwerken van (bijzondere) persoonsgegevens
Inbreuk melden aan verwerkingsverantwoordelijkePRIV_C.03.02.01Norm3.3Actueel19 juni 202016 oktober 2017
Toelichting
Als en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, dan kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
gestelde termijnControlOnbekendEen verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.Meldplicht Datalekken19 juni 2020 06:28:44ISOR:Termijn melden aan verwerkingsverantwoordelijke
Welke informatie wordt verstrektPRIV_C.02.01.02Norm3.3Actueel19 juni 202016 oktober 2017informatie over de verwerking van persoonsgegevensControlOnbekendDe inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG Art. 15:
  1. De verwerkingsdoeleinden;
  2. De betrokken categorieën persoonsgegevens;
  3. De ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
  4. Indien mogelijk: de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of, als dat niet mogelijk is, de criteria om die termijn te bepalen;
  5. Dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat zijn persoonsgegevens te rectificeren of te wissen of de verwerking van de hem betreffende persoonsgegevens te beperken, alsmede het recht tegen die verwerking bezwaar te maken;
  6. Dat de betrokkene het recht heeft klacht in te dienen bij de AP;
  7. Wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
  8. Het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, inclusief nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
  9. Bij doorgifte aan een derde land of een internationale organisatie en op verzoek van betrokkene de informatie over van de passende waarborgen;
  10. Op verzoek van betrokkene een kopie van de persoonsgegevens die worden verwerkt.
Toegang gegevensverwerking voor betrokkenen19 juni 2020 03:12:17ISOR:InformatieBetekenisvolle gegevens. over de verwerking van persoonsgegevens- inhoudelijkheid
Mondelinge informatieverstrekkingPRIV_C.02.03.03Norm3.3Actueel19 juni 202016 oktober 2017in een passende vormControlOnbekendOp verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.Toegang gegevensverwerking voor betrokkenen19 juni 2020 03:45:32ISOR:Passende vorm bij mondelinge verstrekking
Gegevens wissen op verzoek van de betrokkenePRIV_U.03.02.03Norm3.3Actueel13 juni 202016 oktober 2017
Toelichting
Het recht op gegevenswissing ('recht op vergetelheid') is niet van toepassing voor zover verwerking nodig is:
  • Voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
  • Voor het nakomen van een in een het wettelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
  • Om redenen van algemeen belang op het gebied van volksgezondheid;
  • Met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, voor zover het recht op gegevenswissing de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;
  • Voor de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG Art. 17 lid 3.
  • gecorrigeerd, gestaakt of overgedragenUitvoeringOnbekendOp verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG Art. 17 lid 1:
  • De persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
  • De betrokkene trekt de toestemming waarop de verwerking berust in en er is geen andere rechtsgrond voor de verwerking;
  • De betrokkene maakt bezwaar tegen de verwerking en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking.
  • De persoonsgegevens zijn onrechtmatig verwerkt;
  • De persoonsgegevens moeten worden gewist om te voldoen aan een in het wettelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • De persoonsgegevens van kinderen jonger dan 16 jaar zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij.
  • Kwaliteitsmanagement13 juni 2020 14:53:36ISOR:Gecorrigeerd- gestaakt of overgedragen- wissen op verzoek van betrokkene
    Aantonen aanpak risicomanagementPRIV_B.03.03.03Norm3.3Actueel20 mei 202016 oktober 2017
    Toelichting
    • T.b.v. het aantonen van het passend zijn van de maatregelen kan gebruik gemaakt worden van een goedgekeurde gedragscodeAVG Art. 24 lid 3..
    • Het beschikken over passende maatregelen kan worden aangetoond met behulp van certificering van de verwerkingAVG Art. 42..
    aantonenBeleidOnbekendDe risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's.Risicomanagement, Privacy by Design en de DPIA4 juni 2020 21:15:18ISOR:Aantonen aanpak risicomanagement
    Tijdig, welbepaald en uitdrukkelijk omschreven; noodzaak en verenigbaarheidPRIV_U.01.01.03Norm3.3Actueel3 juni 202016 oktober 2017tijdig, welbepaald en uitdrukkelijk omschrevenUitvoeringOnbekendHet doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevens noodzakelijk zijn voor het doel en bij verdere verwerking of de verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verstrektAVG Art. 6 lid 4.Doelbinding gegevensverwerking12 juni 2020 20:45:18ISOR:Tijdig welbepaald en uitdrukkelijk omschreven verenigbaarheid met oorspronkelijke doel
    Nationaal identificerend nummerPRIV_U.01.06.01Norm3.3Actueel4 juni 202016 oktober 2017
    Toelichting
  • AVG Art. 87 geeft een grondslag om bij lidstatelijk recht specifieke voorwaarden te stellen aan de verwerking van een nationaal identificatienummer. UAVG Art. 46 regelt het gebruik van wettelijk voorgeschreven nummers. Dit artikel bepaalt dat een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. In feite is dit een kapstokbepaling op basis waarvan in andere wetten invulling kan worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan dergelijke nummers.
  • De Mvt zegt erover: "Aldus is een afweging op het niveau van de formele wet in beginsel gegarandeerd. Er is met andere woorden voor gekozen om op dit punt geen delegatie door de formele wetgever toe te staan en eventuele andere gebruiksdoeleinden dienen derhalve door de formele wetgever zelf te worden vastgesteld. Wel is het op grond van het tweede lid mogelijk om bij algemene maatregel van bestuur andere gevallen aan te wijzen waarin een persoonsnummer mag worden gebruikt. Ook bestaat hier voor verdere verwerking van een dergelijk nummer dus geen ruimte voor een eigen afweging van de verwerkingsverantwoordelijke." Mvt UAVG toelichting bij Art 46. En: "Uit een oogpunt van bescherming van de persoonlijke levenssfeer is het noodzakelijk geacht om aan het gebruik van identificatienummers beperkingen te stellen. Vast staat immers dat persoonsnummers de koppeling van verschillende bestanden aanzienlijk vergemakkelijken en daarmee een extra bedreiging voor de persoonlijke levenssfeer vormen".
  • Mvt bij de Gdi, pag. 15, onder Verwerking persoonsgegevens: "Wettelijke grondslag is tenslotte noodzakelijk vanwege het feit, dat in het kader van authenticatie sprake is van de verwerking van persoonsgegevens, waaronder het bsn, door publieke en private partijen". Het wetsvoorstel voorziet in de benoeming van 'bij authenticatie betrokken erkende diensten' die werkzaamheden uitoefenen die verband houden met een veilige en betrouwbare authenticatie in het publieke domein https://www.tweedekamer.nl/kamerstukken/wetsvoorstellen/detail?cfg=wetsvoorsteldetails&qry=wetsvoorstel%3A34972.
  • Voor de overheid is het gebruik van een uniek persoonsnummer, het burgerservicenummer (BSN), geregeld in Wabb Art. 10. Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak gebruik maken van het burgerservicenummer zonder dat daarvoor nadere regelgeving vereist is. Voor instellingen die geen beroep kunnen doen op Wabb Art. 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving. Zo geldt bijvoorbeeld voor de zorgsector de Wet gebruik burgerservicenummer in de Zorg en moeten banken het BSN gebruiken voor uitwisseling van gegevens met de Belastingdienst. Daarnaast zijn andere identificerende nummers in gebruik, bijvoorbeeld het onderwijsnummer, dat overeenkomt met het burgerservicenummer tenzij de deelnemer geen burgerservicenummer heeft.
  • nationaal identificerend nummerUitvoeringOnbekendHet bepalen van een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet zijn bepaaldUAVG Art. 46:
  • Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak (dus met een specifieke wettelijke grondslag) gebruik maken van het burgerservicenummer (BSN), zonder dat daarvoor nadere regelgeving vereist is.
  • Voor instellingen die geen beroep kunnen doen op Wabb Art. 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving.
  • De (anno 2019) in de maak zijnde wet Digitale overheid (voorheen: Wet generieke digitale infrastructuur - GDI) maakt het noodzakelijk dat er ook voor private partijen een wettelijke grondslag komt voor het verwerken van het BSN in het kader van authenticatieMvt bij de GDI pag. 15.
  • Doelbinding gegevensverwerking19 juni 2020 08:39:01ISOR:Nationaal identificerend nummer
    Aantonen toepassen DPIA toetsmodelPRIV_B.03.03.04Norm3.3Actueel20 mei 202016 oktober 2017aantonenBeleidOnbekendEen tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.Risicomanagement, Privacy by Design en de DPIA20 mei 2020 11:58:06ISOR:Aantonen toepassen GEB toetsmodel
    De registers geven een samenhangend beeldPRIV_U.02.02.01Norm3.3Actueel12 juni 202016 oktober 2017
    Toelichting
    De onderlinge samenhang en afhankelijkheden tussen alle in elkaar grijpende componenten, die betrokken zijn bij de verwerking van de persoonsgegevens, zijn benoemd en beschreven.
    actueel en samenhangend beeldUitvoeringOnbekendDe registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld.Register van verwerkingsactiviteiten12 juni 2020 19:54:11ISOR:Op verzoek van AP wordt middels de registers een actueel en samenhangend beeld
    Doeleinden; toereikend, ter zake dienend en beperktPRIV_U.01.02.01Norm3.3Actueel3 juni 202016 oktober 2017
    Toelichting
    Ook een verwerking die noodzakelijk is in het kader van een overeenkomst of een voorgenomen overeenkomst, dient rechtmatig te zijnAVG overweging 44 en daarmee aan de vereisten van /02 voldoen.
    doeleindenUitvoeringOnbekendDe persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel dataminimalisatie genoemd).Doelbinding gegevensverwerking4 juni 2020 20:41:01ISOR:Doeleinden- toereikend- ter zake dienend en beperkt
    Afdoende garanties voor passende maatregelenPRIV_U.07.03.02Norm3.3Actueel16 juni 202016 oktober 2017vertegenwoordigerUitvoeringOnbekendDe verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA), door de verwerker.Doorgifte persoonsgegevens16 juni 2020 20:53:33ISOR:Vertegenwoordiger i.r.t. afdoende garanties over het toepassen van passende technische en organisatorische maatregelen
    Uitzondering op meldplicht aan betrokkenePRIV_C.03.04.02Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    • Telecommunicatiewet: heeft eigen meldingsverplichting bij datalekkenTelecommunicatiewet Art. 11.3a.
    • UAVG 42 luidt "Artikel 34 van de verordening is niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht". AVG Art. 34 betreft de meldplicht aan betrokkenen. Financiële ondernemingen moeten dus wél aan AP melden maar niet aan de betrokkenen. De financiële sector kent een eigen zorgplicht jegens betrokkenen.
    • De volgende specifieke uitzonderingsgronden worden gesteldAVG Art. 23 lid 1:
      1. De nationale veiligheid;
      2. De landsverdediging;
      3. De openbare veiligheid;
      4. De voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
      5. Andere belangrijke doelstellingen van algemeen belang van de EU of van een lidstaat, met name een belangrijk economisch of financieel belang van de EU of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
      6. De bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
      7. De voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
      8. Een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten (a) tot en met (e) en punt (g) bedoelde gevallen;
      9. De bescherming van de betrokkene of van de rechten en vrijheden van anderen;
      10. De inning van civielrechtelijke vorderingen.
    • De wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minsteAVG Art. 23 lid 2:
      1. De doeleinden van de verwerking of van de categorieën van verwerking;
      2. De categorieën persoonsgegevens;
      3. Het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de ingevoerde beperkingen;
      4. De waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;
      5. De specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken;
      6. De opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking;
      7. De risico's voor de rechten en vrijheden van de betrokkenen, en:
      8. Het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.
    • De AVG geldt ook voor verwerkingsverantwoordelijken en verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.
    • Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteitenAVG overweging 18.
    uitzonderingControlOnbekendDe verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
  • Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of:
  • De verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of:
  • De verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of:
  • De mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of:
  • Het een verwerking is die berust op een andere wettelijke bepaling waarvoor een specifieke meldplicht geldt AVG Art. 23; UAVG Art. 42, of:
  • De organisatie een financiële onderneming is in de zin van de Wet op het financieel toezichtUAVG Art. 42.
  • De verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteitAVG overweging 18.
  • Meldplicht Datalekken19 juni 2020 06:18:14ISOR:Uitzondering op melden van datalek aan betrokkene
    Eisen aan de melding aan APPRIV_C.03.01.02Norm3.3Actueel16 oktober 2017
    Toelichting
    Het gaat in de AVG om twee verschillende meldplichten: er is een meldplicht aan de AP, en een meldplicht aan de betrokkene, op wiens persoonsgegevens een inbreuk is gemaakt.
    meldt een datalekControlDe melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
    1. De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
    2. De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
    3. De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
    4. De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
    Meldplicht Datalekken19 juni 2020 05:10:21ISOR:Meldt een datalek- eisen aan de melding aan AP
    Geïnformeerd, schriftelijk of op andere wijzePRIV_U.03.03.05Norm3.3Actueel13 juni 202016 oktober 2017NB: ID aangepast naar PRIV_U.03.03.05 was PRIV_U.03.03.06geïnformeerdUitvoeringOnbekendDe verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG Art. 12 lid 1.Kwaliteitsmanagement13 juni 2020 19:54:50ISOR:Geïnformeerd- informeren bij geen gevolg geven aan het verzoek
    Registratie en documentatie van de inbreukenPRIV_C.03.03.01Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    De documentatie bevat de noodzakelijke gegevens van alle datalekken, ook die welke niet gemeld zijn.
    documenteert de inbreukControlOnbekendDe verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.Meldplicht Datalekken19 juni 2020 07:02:38ISOR:Documenteert de inbreuk- eisen aan de registratie
    Afwijking voor een specifieke situatiePRIV_U.07.07.01Norm3.3Actueel16 juni 202016 oktober 2017afwijking voor een specifieke situatieUitvoeringOnbekendDe doorgifte mag ook plaatsvinden alsAVG Art. 49:
    1. De betrokkene uitdrukkelijk heeft ingestemd met de voorgestelde doorgifte, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen, tenzij dit door een overheidsinstantie ten behoeve van een openbare bevoegdheid wordt verricht;
    2. De doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht;
    3. De doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht;
    4. De doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang, dat is erkend bij de wet- en regelgeving;
    5. De doorgifte noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
    6. De doorgifte noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene of van andere personen, als de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven;
    7. De doorgifte verricht is vanuit een register dat volgens het Wettelijk recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in het wettelijk recht vastgestelde voorwaarden voor raadpleging;
    8. De doorgifte aan derde landen of internationale organisaties is gebaseerd op internationale overeenkomsten die door de lidstaten zijn gesloten vóór 24 mei 2016 en die overeenkomsten in overeenstemming zijn met het vóór die datum toepasselijke Unierecht en nog niet is gewijzigd, vervangen of ingetrokkenAVG Art. 96.
    Doorgifte persoonsgegevens16 juni 2020 21:56:04ISOR:Afwijking voor een specifieke situatie
    Afdoende garanties formeel vastgelegdPRIV_U.07.02.01Norm3.3Actueel16 juni 202016 oktober 2017
    Toelichting
    • Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurd certificeringmechanisme kan worden gebruikt als element om aan te tonen dat voldoende garanties worden geboden.
    • Deze vereisten in de overeenkomst gelden ook voor door de verwerker ingehuurde verwerkers.
    afdoende garantiesUitvoeringOnbekendDe verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegdAVG Art. 28 lid 2, met daarin:
    1. Het onderwerp en de duur van de verwerking.
    2. De aard en het doel van de verwerking waarvoor de persoonsgegevens worden verstrekt, inclusief:
      1. Welke persoonsgegevens worden verstrekt aan de verwerker;
      2. Hoe dataminimalisatie is toegepast;
    3. Het soort persoonsgegevens, inclusief de classificatie van de persoonsgegevens;
    4. De categorieën van betrokkenen, en:
    5. De rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.
    Doorgifte persoonsgegevens16 juni 2020 15:07:40ISOR:Afdoende garanties door verwerker in een overeenkomst of andere rechtshandeling vastgelegd
    Informatie wordt schriftelijk en/of elektronisch verstrektPRIV_C.02.03.02Norm3.3Actueel16 oktober 201716 oktober 2017
    Toelichting
    Als de betrokkene om bijkomende kopieën verzoekt, dan kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient en niet om een andere regeling verzoekt, dan wordt de informatie in een gangbare elektronische vorm verstrekt.
    in een passende vormControlDe informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt.Toegang gegevensverwerking voor betrokkenen19 juni 2020 03:41:10ISOR:Passende vorm- gekozen van medium
    Privacybeleid i.r.t. gedragscodePRIV_B.01.01.06Norm3.3Actueel19 mei 202016 oktober 2017
    Toelichting
    • De organisatie kan ervoor kiezen om een Gedragscode op te stellenAVG Art. 40. In een Gedragscode worden de eisen van de AVG voor een specifieke branche of organisatie uitgewerkt tot concreet te nemen maatregelen om aan de AVG te voldoen. Een dergelijke Gedragscode moet voldoen aan eisen:
    1. elke bepaling heeft een toelichting waarom die is opgenomen;
    2. als de bepaling een uitwerking is van de wet, is aangegeven waarom de wet op die specifieke manier is vertaald;
    3. de aanvrager van de gedragscode is voldoende representatief voor de betrokken sector en de betrokken sector is voldoende nauwkeurig omschreven in de Gedragscode;
    4. de Gedragscode is concreter dan de AVG;
    5. de Gedragscode vormt een juiste uitwerking van de AVG of van andere wettelijke bepalingen voor de verwerking van persoonsgegevens;
    6. als een bepaling uit de Gedragscode uit een gedeelte of een parafrasering van een wettelijke bepaling bestaat, dan is deze afwijking gemotiveerd;
    7. de AP of (indien aangesteld) de FG kan verzocht worden om de gedragscode op juistheid te controleren.
    • Als een Gedragscode voorziet in het beslechten van geschillen over de naleving ervan, dan kan de AP de verklaring slechts afgeven als er waarborgen zijn voor de onafhankelijkheid van de geschilbeslechting.

    NB: Zie ook: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/avg-gedragscode en:

    https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/avg-gedragscode#aan-welke-eisen-moet-een-gedragscode-voldoen-6576
    privacybeleidBeleidOnbekendIn het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)AVG Art. 25 en Art. 64 lid 2.Privacy Beleid geeft duidelijkheid en sturing12 juni 2020 21:57:01ISOR:Privacybeleid i.r.t. gedragscode
    Informatie aan betrokkene over de verwerking van persoonsgegevensPRIV_C.02.01.01Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    Er kan behoefte zijn aan informatie over de logica die ten grondslag ligt aan de geautomatiseerde verwerking van de persoonsgegevens als bijvoorbeeld bijzondere computerprogrammatuur een wijze van verwerking mogelijk maakt die de betrokkene op het eerste gezicht niet geheel duidelijk is. Deze mededeling hoeft niet zo ver te gaan dat het Auteursrecht en/of Intellectuele Eigendomsrecht dat de software beschermt of het bedrijfsgeheim geschonden wordt.
    informatie over de verwerking van persoonsgegevensControlOnbekendDe betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens.Toegang gegevensverwerking voor betrokkenen19 juni 2020 03:06:51ISOR:InformatieBetekenisvolle gegevens. over de verwerking van persoonsgegevens aan betrokkene
    Maatregelen na openbaarmaking van persoonsgegevensPRIV_U.03.02.05Norm3.3Actueel16 oktober 201713 juni 2020gecorrigeerd, gestaakt of overgedragenUitvoeringOnbekendWanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van die persoonsgegevens te wissenAVG Art. 17 lid 2.Kwaliteitsmanagement13 juni 2020 15:09:52ISOR:Gecorrigeerd- gestaakt of overgedragen redelijke maatregelen na openbaarmaking van persoonsgegevens
    Specifieke uitzonderingsgrondenPRIV_C.02.04.01Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    • De volgende specifieke uitzonderingsgronden worden gesteld AVG Art. 23 lid 2 en UAVG Art. 41 lid 1:
    1. De nationale veiligheid;
    2. De landsverdediging;
    3. De openbare veiligheid;
    4. De voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
    5. Andere belangrijke doelstellingen van algemeen belang van de EU of van een lidstaat, met name een belangrijk economisch of financieel belang van de EU of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
    6. De bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
    7. De voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
    8. Een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten (1) tot en met (5) en punt (7) bedoelde gevallen;
    9. De bescherming van de betrokkene of van de rechten en vrijheden van anderen;
    10. De inning van civielrechtelijke vorderingen.
    • Bij de toepassing van de uitzonderingsgronden houdt de verwerkingsverantwoordelijke rekening met in ieder geval, voor zover van toepassing :
    1. De doeleinden van de verwerking of van de categorieën van verwerking;
    2. De categorieën persoonsgegevens;
    3. Het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de ingevoerde beperkingen;
    4. De waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;
    5. De specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken;
    6. De opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking;
    7. De risico's voor de rechten en vrijheden van de betrokkenen; en
    8. Het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.
    • Indien een verwerking wordt verricht door instellingen of diensten voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor statistische of wetenschappelijke doeleinden kunnen worden gebruikt, kan de verwerkingsverantwoordelijke het recht op inzage buiten toepassing laten.
    specifieke uitzonderingsgrondControlOnbekendDe verantwoordelijke verstrekt geen informatie als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG Art. 23.Toegang gegevensverwerking voor betrokkenen19 juni 2020 04:14:36ISOR:Specifieke uitzonderingsgrond
    Kennisgeving vastleggenPRIV_C.03.03.04Norm3.3Actueel19 juni 202016 oktober 2017documenteert de inbreukControlOnbekendHet feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87.Meldplicht Datalekken19 juni 2020 07:26:29ISOR:Documenteert de inbreuk- m.b.t. kennisgeving
    Privacybeleid; cyclisch procesPRIV_B.01.01.02Norm3.3Actueel8 april 202016 oktober 2017
    Toelichting
  • De ontwikkeling van het beleid komt cyclisch tot stand, zodat het beleid kan worden bijgestuurd en gecorrigeerd. Bekende voorbeelden van cyclische processen zijn Plan-Do-Check-Act (PDCA) of Observe-Orient-Do-Act (OODA).
  • Het tot stand komen van het beleid langs een cyclisch proces betekent vooral dat de effectiviteit van het beleid gemeten wordt. Wanneer de maatregelen die uit het beleid voortvloeien onvoldoende blijken bij te dragen aan de doelstellingen van het beleid, dan worden zowel de getroffen maatregelen als het beleid zelf onderzocht op lacunes. Zo worden mogelijke aanvullingen en correcties geïdentificeerd, die na validatie worden opgenomen. Daarmee is het beleid en/of de onderliggende uitvoering aangepast.
  • privacybeleidBeleidOnbekendHet privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren.Privacy Beleid geeft duidelijkheid en sturing4 juni 2020 20:27:11ISOR:Privacybeleid als cyclisch proces
    Bijzondere categorieën persoonsgegevens; noodzaak, vitale belangen, onmachtPRIV_U.01.04.03Norm3.3Actueel4 juni 202016 oktober 2017rechtvaardiging bijzondere categorieën persoonsgegevensUitvoeringOnbekendDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te gevenUAVG art. 22 lid 2b ; AVG Art. 9 lid 2c.Doelbinding gegevensverwerking12 juni 2020 20:58:45ISOR:Bijzondere persoonsgegevens- m.b.t. religieuze of levensbeschouwende overtuigingen
    Passend beschermingsniveau, proportioneel en subsidiairPRIV_U.04.02.01Norm3.3Actueel13 juni 202016 oktober 2017
    Toelichting
  • Bij het bepalen van het passende niveau dient rekening gehouden te worden met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevensAVG overweging 83.
  • Een verwerkingsverantwoordelijke maakt alleen gebruik van diensten van verwerkers die afdoende garanties bieden voor het toepassen van de vereiste technische en organisatorische maatregelenAVG Art. 28 lid 1.
  • Er hoeft niet voor de zwaarste technische beveiliging gekozen te worden, maar voor de meest adequate. De NEN-ISO 27001/27002 en daaraan gerelateerde overheidsnormen - zoals de Baseline Informatieveiligheid Overheid (BIO) - zijn momenteel de standaard baselines om te komen tot een 'adequate' beveiliging Zwenne, G.J. en Knol. PC., Tekst en Commentaar Telecommunicatie- en Privacyrecht, Kluwer, Deventer, 2013, p.726..
  • Voor de BIO geldt daarbij dat een 'verklaring van toepasselijkheid' moet worden opgesteld. Een VvT of SOA (statement of applicability) is een document waarmee een organisatie vastlegt welke Beheersmaatregelen zijn geïmplementeerd op het gebied van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.. De ISO27001 zegt er in hoofdstuk 6.1.3, lid d het volgende over: "(…)een verklaring van toepasselijkheid op te stellen die de benodigde beheersmaatregelen bevat, een rechtvaardiging voor het opnemen ervan, de informatie of ze zijn geïmplementeerd of niet, en de rechtvaardiging om beheersmaatregelen van bijlage A uit te sluiten". Zie: https://www.informatiebeveiligingdoejezo.nl/verklaring-van-toepasselijkheid-nuttig-noodzakelijk-kwaad/.
  • Om aan de hand van de risicoanalyse het passend beschermingsniveau vast te stellen wordt voldaan aan de volgende kwaliteitseisen Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010, pag. 117 en CBP, Richtsnoeren voor het beveiligen van persoonsgegevens, Den Haag, 2013, pag. 13:
    1. Beschikbaarheid (de ongestoorde voortgang van de gegevensverwerking): de persoonsgegevens en de daarvan afgeleide informatie moeten zonder belemmeringen beschikbaar zijn overeenkomstig de daarvoor gemaakte afspraken en de wettelijke voorschriften.
    2. Integriteit (de juistheid van de gegevens): de persoonsgegevens moeten in overeenstemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn verdwenen.
    3. Vertrouwelijkheid (ook wel: Exclusiviteit van de gegevens): uitsluitend bevoegde personen hebben toegang tot de persoonsgegevens.
    4. Controleerbaarheid (het achteraf kunnen verifiëren of aan bovenstaande kwaliteitseisen is voldaan): de mate waarin het mogelijk is om te achterhalen dat de verwerking van persoonsgegevens overeenkomstig de hiervoor genoemde kwaliteitsaspecten is uitgevoerd.
    • De verwerkingsverantwoordelijke kan de maatregelen aantonen door beleidsmaatregelen te nemen en maatregelen toe te passen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA
    • Als met geringe extra kosten meer beveiliging kan worden bewerkstelligd, dan moeten deze als 'passend' worden beschouwd terwijl kosten, die disproportioneel zijn in verhouding tot de extra beveiliging die daardoor zou worden verkregen, niet worden vereist.
    UitvoeringOnbekendDe technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.Beveiligen van de verwerking van persoonsgegevens13 juni 2020 22:31:48ISOR:Passend niveau- technische- organisatorische en fysieke beveiligingsmaatregelen
    Toestemming voor het door een andere verwerker laten uitvoeren van de verwerkingPRIV_U.07.03.03Norm3.3Actueel16 juni 202016 oktober 2017
    Toelichting
    In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
    vertegenwoordigerUitvoeringOnbekendEen verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG Art. 28 lid 1.Doorgifte persoonsgegevens16 juni 2020 20:59:57ISOR:Vertegenwoordiger i.r.t. het door een andere verwerker uitvoeren van de verwerking
    Tijdig, welbepaald en uitdrukkelijk omschreven; doeleinden en rechtmatigheidPRIV_U.01.01.02Norm3.3Actueel3 juni 202016 oktober 2017tijdig, welbepaald en uitdrukkelijk omschrevenUitvoeringOnbekendVan alle gegevens zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG Art. 5 lid 1b.Doelbinding gegevensverwerking12 juni 2020 20:42:53ISOR:Tijdig welbepaald en uitdrukkelijk omschreven- rechtmatigheid en doelmatigheid
    Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerkingPRIV_U.01.05.05Norm3.1Vervangen16 oktober 2017Opsporingsinstanties dienen eerst na te gaan of Richtlijn (EU) 2016/680 van 27 april 2016 van toepassing is inzage de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen en betreffende het vrije verkeer van die gegevens.

    De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid en het vrije verkeer van die gegevens wordt geregeld in een specifieke rechtshandeling van de Unie. De Avg mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Overeenkomstig de Avg door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad. De lidstaten kunnen bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de Avg valt, voor zover zij binnen het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de Uniewetgeving valtAVG overweging 19..

    Het aanwijzen van mogelijke strafbare feiten of gevaren voor de openbare veiligheid door de verwerkingsverantwoordelijke en de doorzending van de desbetreffende persoonsgegevens in individuele zaken of in verschillende zaken die met hetzelfde strafbare feit of dezelfde gevaren voor de openbare veiligheid te maken hebben, aan een bevoegde instantie moeten worden beschouwd als zijnde in het gerechtvaardigde belang van de verwerkingsverantwoordelijke. De doorgifte in het gerechtvaardigde belang van de verwerkingsverantwoordelijke of de verdere verwerking van persoonsgegevens moeten evenwel worden verboden wanneer de verwerking niet verenigbaar is met een wettelijke, beroepsmatige of anderszins bindende geheimhoudingsplichtAVG overweging 50..
    strafrechtelijke veroordelingen en strafbare feitenUitvoeringDe verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen is toegestaan indien dit geschied door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken indien de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaadUitvoeringswet AVG art. 31 lid 4..Doelbinding gegevensverwerking5 juni 2020 01:30:37ISOR:Strafrechtelijke veroordelingen en strafbare feiten- t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking
    Planmatige controle op compliancyPRIV_C.01.01.03Norm3.3Actueel18 juni 202016 oktober 2017evaluatieControlOnbekendEr is een planning van activiteiten in het kader van het beoordelen van de compliancy.Intern toezicht18 juni 2020 14:07:00ISOR:Evaluatie- planning en compliancy
    Toegang wordt beperktPRIV_U.04.01.01Norm3.3Actueel13 juni 202016 oktober 2017
    Toelichting
    • Maatregelen ter beperking van de toegang kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevensAVG overweging 78. Technische maatregelen zijn maatregelen in en rondom informatiesystemen, zoals toegangscontroles, vastlegging van gebruik en back-up, wachtwoordbescherming en encryptie. De beveiliging is niet beperkt tot de eigen informatiesystemen, maar strekt zich uit tot extern geplaatste back-up en de opslag en verwerking bij en door derden (het ontvangen van een back-up en de opslag van persoonsgegevens zijn 'verwerkingen' van persoonsgegevens).
    • Fysieke persoonsgegevens worden ook fysiek beschermd, denk hierbij aan bijvoorbeeld gebouwzonering en sloten op kasten.
    technische en organisatorische maatregelenUitvoeringOnbekendDe verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG Art. 32 lid 3.Beveiligen van de verwerking van persoonsgegevens13 juni 2020 20:51:25ISOR:Technische en organisatorische maatregelen- beperkte toegang
    Doeleinden; transparant, behoorlijk en veiligPRIV_U.01.02.03Norm3.3Actueel25 mei 202016 oktober 2017doeleindenUitvoeringOnbekendPersoonsgegevens moeten ten opzichte van de betrokkene behoorlijk en transparant worden verwerktAVG Art. 5.

    Hiertoe moet/moeten:

    1. De gegevensverwerking transparant te zijn (PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens).
    2. De gegevens juist te zijn en zo nodig te worden bijgewerkt (PRIV_U.03: Kwaliteitsmanagement).
    3. De gegevens passend te worden beveiligd (PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens).
    4. De gegevens niet langer dan noodzakelijk te worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren is (PRIV_U.06: Bewaren van persoonsgegevens).
    Nota Bene: De AVG is niet van toepassing op de persoonsgegevens van overleden personen AVG overweging 27.
    Doelbinding gegevensverwerking19 juni 2020 08:32:13ISOR:Doeleinden- behoorlijk en transparant
    Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelenPRIV_B.01.02.02Norm3.3Actueel4 juni 202016 oktober 2017
    • De ontwikkeling van het beleid komt cyclisch tot stand, zodat het beleid kan worden bijgestuurd en gecorrigeerd. Bekende voorbeelden van cyclische processen zijn Plan-Do-Check-Act (PDCA) of Observe-Orient-Do-Act (OODA).
    • Het tot stand komen van het beleid langs een cyclisch proces betekent vooral dat de effectiviteit van het beleid gemeten wordt. Wanneer de maatregelen die uit het beleid voortvloeien onvoldoende blijken bij te dragen aan de doelstellingen van het beleid, dan worden zowel de getroffen maatregelen als het beleid zelf onderzocht op lacunes. Zo worden mogelijke aanvullingen en correcties geïdentificeerd, die na validatie worden opgenomen. Daarmee is het beleid en/of de onderliggende uitvoering aangepast.
    wettelijke beginselenBeleidOnbekendBeschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt.Privacy Beleid geeft duidelijkheid en sturing19 juni 2020 07:36:31ISOR:Invulling geven aan de wettelijke beginselen - beschrijving van de doeleinden voor het verzamelen
    Register van verwerker, categorieën van verwerkingsactiviteitenPRIV_U.02.01.03Norm3.3Actueel12 juni 202016 oktober 2017
    Toelichting
    Zie ook de toelichting bij PRIV_U.02.01.02 Register van verwerkingsverantwoordelijke.
    registerUitvoeringOnbekendDe verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker.Register van verwerkingsactiviteiten19 juni 2020 08:59:24ISOR:Register van verwerker- categorieën van verwerkingsactiviteiten
    Compliancy en compleetheid aantonen met het gegevensregisterPRIV_C.01.02.10Norm3.3Actueel18 juni 202016 oktober 2017rechtmatigheid aangetoondControlOnbekendBij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register (PRIV_U.02: Register van verwerkingsactiviteiten).Intern toezicht18 juni 2020 15:19:20ISOR:Rechtmatigheid aangetoond- gebruik van gegevensregister
    Bijzondere categorieën persoonsgegevens, m.b.t. specifieke doeleinden met algemeen belangPRIV_U.01.04.11Norm3.3Actueel4 juni 202016 oktober 2017rechtvaardiging bijzondere categorieën persoonsgegevensUitvoeringOnbekendDe verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig AVG art. 89, lid 1, waarbijAVG Art. 9 lid 2j ; UAVG Art.24:
    1. Het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; en
    2. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
    De definitie van 'wetenschappelijk of historisch onderzoek' is te vinden in AVG overweging 159.
    Doelbinding gegevensverwerking12 juni 2020 21:10:19ISOR:Bijzondere persoonsgegevens- m.b.t. verplichtingen of algemeen belang
    Beschrijving gegevensstromenPRIV_U.02.02.03Norm3.3Actueel12 juni 202016 oktober 2017
    Toelichting
    Er kan behoefte zijn aan informatie over de logica die ten grondslag ligt aan de geautomatiseerde verwerking van de persoonsgegevens als bijvoorbeeld bijzondere computerprogrammatuur een wijze van verwerking mogelijk maakt die de betrokkene op het eerste gezicht niet geheel duidelijk is. Dit hoeft niet zo ver te gaan dat het Auteursrecht en/of het Intellectuele Eigendomsrecht, dat de software beschermt, of het bedrijfsgeheim geschonden wordt.
    actueel en samenhangend beeldUitvoeringOnbekendDe onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:
    1. De bedrijfsprocessen;
    2. Organisaties en organisatieonderdelen;
    3. De verwerkingen;
    4. De locaties waar persoonsgegevens worden opgeslagen;
    5. De gegevensuitwisselingen (binnen en buiten de eigen organisatie);
    6. De systemen.
    Register van verwerkingsactiviteiten12 juni 2020 20:02:22ISOR:Actueel en samenhangend beeld t.a.v. gegevensstromen
    Eisen aan de melding aan betrokkenePRIV_C.03.01.04Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    Het gaat in de AVG om twee verschillende meldplichten: er is een meldplicht aan de AP, en een meldplicht aan de betrokkene, op wiens persoonsgegevens een inbreuk is gemaakt.
    meldt een datalekControlOnbekendIn de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
    1. De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
    2. De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
    3. De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
    Meldplicht Datalekken19 juni 2020 05:25:07ISOR:Meldt een datalek- eisen aan de melding aan betrokkene
    Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerkenPRIV_B.01.02.03Norm3.3Actueel4 juni 202016 oktober 2017wettelijke beginselenBeleidOnbekendBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt.Privacy Beleid geeft duidelijkheid en sturing19 juni 2020 07:38:07ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van minimalisatie van verwerken
    Passende waarborgen bij aanwezigheid adequaatheidsbesluitPRIV_U.07.06.02Norm3.3Actueel16 juni 202016 oktober 2017passende waarborgenUitvoeringOnbekendAls bindende bedrijfsvoorschriften worden gebruikt om passende waarborgen te bieden, dan:
  • Zijn die juridisch bindend of van toepassing en worden deze gehandhaafd door alle betrokken leden van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen; met inbegrip van hun werknemers;
  • Kunnen betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens, en:
  • Zijn de hier beknopt weergegeven elementen vastgelegd zie voor de volledige weergave AVG Art. 47 lid 1:
    1. De structuur en de contactgegevens;
    2. De toepassing van de algemene beginselen inzake gegevensbescherming;
    3. De rechten van betrokkenen;
    4. De aanvaarding van aansprakelijkheid voor alle inbreuken;
    5. De wijze waarop informatie wordt verschaft over de bindende bedrijfsvoorschriften;
    6. De taken van elke Functionaris voor gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op:
    7. De naleving van de bindende bedrijfsvoorschriften binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen,
      1. Opleiding, en:
      2. De behandeling van klachten;
  • De klachtenprocedures;
  • De bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd;
  • De procedures om die veranderingen in de regels te melden, te registreren en aan de AP te melden;
  • De procedure voor samenwerking met de AP;
  • De procedures om eventuele wettelijke voorschriften aan de AP te melden, en:
  • De passende opleiding inzake gegevensbescherming voor personeel.
  • Doorgifte persoonsgegevens16 juni 2020 21:46:03ISOR:Passende waarborgen bij aanwezigheid adequaatheidsbesluit
    Evaluatierapportage bij niet voldoenPRIV_C.01.01.02Norm3.3Actueel18 juni 202016 oktober 2017evaluatieControlOnbekendAls blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management.Intern toezicht18 juni 2020 14:03:00ISOR:Evaluatie- rapportage bij niet voldoen
    Maatregelen i.r.t. juistheid en nauwkeurigheidPRIV_U.03.01.01Norm3.3Actueel13 juni 202016 oktober 2017Toelichting
    • De 'nodige maatregelen' zijn die maatregelen die in redelijkheid van de verwerkingsverantwoordelijke kunnen worden verwacht. Wat in redelijkheid kan worden verwacht hangt af van de soort gegevens, de stand van de techniek en de kosten die met de maatregelen gepaard gaan. Het zorg dragen voor juistheid en nauwkeurigheid van de persoonsgegevens is daarmee een inspanningsverplichting voor de verwerkingsverantwoordelijke en geen resultaatverplichting. Van de genomen maatregelen is aangetoond dat onderzocht en beoordeeld is dat deze maatregelen toereikend zijn. Voorbeelden van nodige maatregelen zijn:
    1. Het inregelen van de (technische) mogelijkheid om te kunnen corrigeren;
    2. Het vaststellen en bekrachtigen wanneer en door wie de periodieke controles op de juistheid, nauwkeurigheid, actualiteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en correct gebruik van de gegevens plaatsvinden en door wie de persoonsgegevens - indien nodig - gecorrigeerd worden;
    3. Het identificeren en beperken van personen en afdelingen die toegang hebben tot de persoonsgegevens, waarbij tevens zekerheid wordt verkregen over de wijze waarop de juistheid van gegevens bij toegang is gewaarborgd en dat de gegevens niet voor andere doeleinden worden gebruikt dan voor de vereiste doelstelling;
    4. Het identificeren en beperken van partijen aan wie persoonsgegevens mogen worden verstrekt, waarbij tevens zekerheid wordt verkregen over de wijze waarop de juistheid van de gegevens bij verstrekking is gewaarborgd en dat de gegevens niet voor andere doeleinden worden gebruikt dan de vereiste doelstelling;
    5. Het identificeren van de gevolgen van het onjuist gebruik van persoonsgegevens en of hoe deze gevolgen kunnen worden ondervangen;
    6. Het bij aanstellen van een verwerker:
      1. Aantonen dat is onderzocht en beoordeeld dat de desbetreffende verwerker, gelet op de aard van de werkzaamheden en de daaraan gekoppelde privacyrisico's, voldoende kwaliteit biedt;
      2. De geheimhoudingsplicht is geborgd, door deze vast te stellen en vast te leggen in de verwerkersovereenkomst.
    • Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, dan mag de verwerkingsverantwoordelijke een redelijke vergoeding aanrekenen, in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan, of: weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonenAVG Art. 12 lid 5..
    juistheid en nauwkeurigheidUitvoeringOnbekendDe verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen..Kwaliteitsmanagement13 juni 2020 14:05:03ISOR:Maatregelen i.r.t. juistheid en nauwkeurigheid
    Noodzakelijke gegevens in de documentatiePRIV_C.03.03.03Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
  • De documentatie is actueel en accuraat en kan op verzoek onmiddellijk worden overlegd. De documentatie bevat zelf geen persoonsgegevens.
  • Bij het documenteren wordt gebruik gemaakt van de registratie van verwerkingsactiviteiten zoals bedoeld in PRIV_U.02: Register van verwerkingsactiviteiten). Het advies is om de documentatie van datalekken binnen deze registratie bij te houden. Hiermee wordt dubbele opslag en dubbel beheer van informatie over de gegevensverwerkingen voorkomen.
  • documenteert de inbreukControlOnbekendDe documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.Meldplicht Datalekken19 juni 2020 07:20:41ISOR:Documenteert de inbreuk- noodzakelijke gegevens
    Schriftelijk vastleggenPRIV_U.07.02.03Norm3.3Actueel16 juni 202016 oktober 2017
    Toelichting
    Deze vereiste geldt ook voor door de verwerker ingehuurde verwerkers.
    afdoende garantiesUitvoeringOnbekendDe overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld.Doorgifte persoonsgegevens16 juni 2020 16:06:28ISOR:Afdoende garanties
    Bijzondere categorieën persoonsgegevens; openbaar gemaakt door betrokkenePRIV_U.01.04.05Norm3.3Actueel4 juni 202016 oktober 2017rechtvaardiging bijzondere categorieën persoonsgegevensUitvoeringOnbekendDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaaktUAVG Art. 22 lid 2d (ofwel: AVG Art. 9 lid 2e).Doelbinding gegevensverwerking12 juni 2020 21:00:34ISOR:Bijzondere persoonsgegevens- m.b.t. genetische gegevens
    Het beoordelen van de privacyrisico's, i.r.t. DPIAPRIV_B.03.01.04Norm3.3Actueel16 oktober 201720 mei 2020
    Toelichting

    Wanneer de verwerkingsverantwoordelijke de AP raadpleegt, verstrekt hij informatie overAVG Art. 36 lid 3.:

    1. Voor zover van toepassing: de respectieve verantwoordelijkheden van de verwerkingsverantwoor-delijke, bij de verwerking betrokken gezamenlijke verwerkingsverantwoordelijken en verwerkers, in het bijzonder voor verwerking binnen een concern;
    2. De doeleinden en de middelen van de voorgenomen verwerking;
    3. De maatregelen en waarborgen die worden geboden ter bescherming van de rechten en vrijheden van betrokkenen uit hoofde van de AVG;
    4. Voor zover van toepassing: de contactgegevens van de FG;
    5. De DPIA, en:
    6. Alle andere informatie waar de AP om verzoekt.
    het beoordelen van de privacyrisico'sBeleidOnbekendWanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36..Risicomanagement, Privacy by Design en de DPIA4 juni 2020 21:06:28ISOR:Het beoordelen van de privacyrisico's- i.r.t. de GEB
    Passende maatregelen i.r.t. de DPIAPRIV_B.03.02.04Norm3.3Actueel20 mei 202016 oktober 2017passende maatregelenBeleidOnbekendDe resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.Risicomanagement, Privacy by Design en de DPIA20 mei 2020 11:40:42ISOR:Passende maatregelen- i.r.t. de GEB
    Informatie over geen gevolg geven aan het correctieverzoekPRIV_U.03.03.06Norm3.3Actueel13 juni 202016 oktober 2017NB: ID aangepast naar PRIV_U.03.03.06 was PRIV_U.03.03.07geïnformeerdUitvoeringOnbekendWanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 12 lid 4.Kwaliteitsmanagement13 juni 2020 19:55:53ISOR:Geïnformeerd- schriftelijk of op andere wijze
    Bijzondere categorieën persoonsgegevens; noodzaak i.r.t verplichtingen en specifieke rechtenPRIV_U.01.04.02Norm3.3Actueel4 juni 202016 oktober 2017
    Toelichting
    • Als het bij verkiezingsactiviteiten voor de goede werking van de democratie in een lidstaat vereist is dat politieke partijen persoonsgegevens over de politieke opvattingen van personen verzamelen, kan de verwerking van zulke gegevens op grond van een algemeen belang worden toegestaan mits passende waarborgen worden vastgesteldAVG overweging 56.
    • Bovendien vindt de verwerking van persoonsgegevens door overheidsinstanties ter verwezenlijking van in het constitutionele recht of in het volkenrecht vastgelegde doelstellingen van officieel erkende religieuze verenigingen plaats op grond van een algemeen belangAVG overweging 55.
    rechtvaardiging bijzondere categorieën persoonsgegevensUitvoeringOnbekendDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedtAVG Art. 9 lid 2b.

    Tevens geldt hierbij dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk isUAVG Art 30 lid 1 voor:

    • Een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene; of
    • De reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.

    Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.



    NB: bij algemene maatregel van bestuur kunnen nadere regels worden gesteld (UAVG Art 30 lid 6).
    Doelbinding gegevensverwerking12 juni 2020 20:57:31ISOR:Bijzondere persoonsgegevens- m.b.t. politieke opvattingen
    Beperking van de verwerking op verzoek van de betrokkenePRIV_U.03.02.06Norm3.3Actueel13 juni 202016 oktober 2017
    Toelichting

    Het recht de verwerking te beperken geldt als de verwerking (inclusief profilering) plaatsvindt voorAVG Art. 21 lid 1:

    1. De vervulling van een taak van algemeen belang;
    2. De vervulling van een taak van het openbaar gezag;
    3. De behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is;
    4. Direct marketing, of:
    5. Wetenschappelijk of historisch onderzoek of statistische doeleinden, tenzij de verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang.
    gecorrigeerd, gestaakt of overgedragenUitvoeringOnbekendOp verzoek van betrokkene wordt de verwerking beperkt, indien:
  • De juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;
  • De verwerking onrechtmatig en de betrokkene zich verzet tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
  • De verwerkingsverantwoordelijke de persoonsgegevens niet meer nodig heeft voor de verwerkingsdoeleinden, maar de betrokkene deze nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of:
  • De betrokkene bezwaar heeft gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
  • Kwaliteitsmanagement13 juni 2020 15:17:04ISOR:Gecorrigeerd- gestaakt of overgedragen- beperking van de verwerking op verzoek van betrokkene
    Actueel beeld voor de APPRIV_U.02.02.02Norm3.3Actueel12 juni 202016 oktober 2017actueel en samenhangend beeldUitvoeringOnbekendOp verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Register van verwerkingsactiviteiten12 juni 2020 19:52:28ISOR:Registers van de verwerkingsverantwoordelijke en van de verwerker geven één actueel en samenhangend beeld
    Motivering bij vertraagde meldingPRIV_C.03.02.03Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    Als en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, dan kan de informatie zonder onredelijke vertraging in stappen worden verstrekt..
    gestelde termijnControlOnbekendAls de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.Meldplicht Datalekken19 juni 2020 06:51:02ISOR:Termijn- motivering bij vertraagd melden
    Fysieke beveiliging, wijze van verzamelenPRIV_U.04.01.02Norm3.3Actueel13 juni 202016 oktober 2017technische en organisatorische maatregelenUitvoeringOnbekendPersoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
    1. Als persoonsgegevens op fysieke wijze bestaan, zijn deze ook fysiek beschermd.
    2. De wijze van verzameling van gegevens is niet privacygevoelig.
    Beveiligen van de verwerking van persoonsgegevens13 juni 2020 21:00:11ISOR:Technische en organisatorische maatregelen- fysieke beveiliging
    Invulling wettelijke beginselen; beschrijving van privacy by designPRIV_B.01.02.01Norm3.3Actueel4 juni 202016 oktober 2017wettelijke beginselenBeleidOnbekendBeschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen.Privacy Beleid geeft duidelijkheid en sturing19 juni 2020 07:52:54ISOR:Invulling geven aan de wettelijke beginselen- beschrijving van privacy by design
    Bijzondere categorieën persoonsgegevens; i.r.t. rechtsvordering, gerechtenPRIV_U.01.04.06Norm3.3Actueel4 juni 202016 oktober 2017rechtvaardiging bijzondere categorieën persoonsgegevensUitvoeringOnbekendDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheidUAVG Art. 22 lid 2e (ofwel: AVG Art. 9 lid 2f).Doelbinding gegevensverwerking12 juni 2020 21:01:29ISOR:Bijzondere persoonsgegevens- m.b.t. biometrische gegevens
    CompliancydossierPRIV_C.01.02.09Norm3.3Actueel18 juni 202016 oktober 2017
    Toelichting
    De uitkomst van het compliancyproces kan ook worden gebruikt voor publicatie over de behaalde resultaten van het waarborgen van de privacy van de klanten.
    rechtmatigheid aangetoondControlOnbekendDe verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG Art. 5 lid 2.Intern toezicht18 juni 2020 15:11:32ISOR:Rechtmatigheid aangetoond- compliancy
    Toestemming van de betrokkene voorafPRIV_U.05.01.01Norm3.3Actueel14 juni 202016 oktober 2017
    Toelichting
    • De betrokkene hoeft zijn persoonsgegevens pas te verstrekken als hij de informatie van de verantwoordelijke heeft ontvangen.
    • Ook bij het verder verwerken voor een ander doel dan waarvoor de gegevens in eerste instantie zijn verzameld, moet de betrokkene nu actief door de verwerkingsverantwoordelijke geïnformeerd wordenAVG Art. 14 lid 4.
    tijdigUitvoeringOnbekendDe toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG Art. 6 lid 1, het doorgeven aan derden en het verder verwerkenAVG Art. 14 lid 3. Dit geldt voor persoonsgegevens die via betrokkenen of anderen worden of zijn verkregen.Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens14 juni 2020 12:49:06ISOR:Tijdig- toestemming van de betrokkene vooraf
    Datalek melden aan de APPRIV_C.03.01.01Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
  • Het gaat in de AVG om twee verschillende meldplichten: er is een meldplicht aan de AP, en een meldplicht aan de betrokkene, op wiens persoonsgegevens een inbreuk is gemaakt.
  • Voor uitzonderingsgronden zie PRIV_C.03.04.01: Uitzondering op meldplicht aan AP.
  • meldt een datalekControlOnbekendEen datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is.Meldplicht Datalekken19 juni 2020 04:51:26ISOR:Meldt een datalek- aan AP
    AdequaatheidsbesluitPRIV_U.07.05.01Norm3.3Actueel16 juni 202016 oktober 2017
  • Voor een dergelijke doorgifte is geen specifieke toestemming nodig.
  • Canada: landsdelen die vallen onder de Canadian Personal Information Protection and Electronic Documents Act bieden een passend beschermingsniveau. Maar let op: Onder meer Québec valt hier niet onder, waardoor de gegevens aan een organisatie in Québec niet mogen worden doorgegeven tenzij sprake is van een van de andere gronden voor rechtmatige doorgifte naar landen buiten de EU.
  • In de Verenigde Staten van Amerika hebben alleen binnen de US gevestigde organisaties die zich hebben geconformeerd aan het EU-US Privacy Shield verdrag een passend beschermingsniveau. Zij moeten zich bovendien hebben ingeschreven in het EU-US Privacy Shield register bij de Federal Trade Commission én ook actief de nodige maatregelen hebben getroffen. NB: De stand van zaken rondom het niet onomstreden Privacy Shield is ingewikkelder dan hier verwoord en bovendien in beweging. Let in dit verband bijvoorbeeld op de European Data Protection Board (EDPB, voorheen: Artikel 29-werkgroep; Nederland is in de EDPB vertegenwoordigd door de voorzitter van de Autoriteit Persoonsgegevens).
  • Tot de Europese Economische Ruimte behoren de landen van de EU, Noorwegen, Liechtenstein en IJsland. Aan deze landen mogen persoonsgegevens dus worden doorgegeven.
  • adequaatheidsbesluitUitvoeringOnbekendDoorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG Art. 45.Doorgifte persoonsgegevens16 juni 2020 21:28:26ISOR:Adequaatheidsbesluit
    Maatregelen na verlopen bewaartermijnPRIV_U.06.01.01Norm3.3Actueel29 oktober 202016 oktober 2017
    Toelichting
    • De verantwoordelijke moet zich na elke verwerking van persoonsgegevens afvragen of er nog redenen zijn om de betreffende persoonsgegevens te bewaren.
    • De wet formuleert als volgt: Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is. Met andere woorden: wanneer de betrokkene niet langer te identificeren is aan de hand van de gegevens, dan geldt voor deze gegevens geen maximale bewaartermijn op grond van de AVG.
    • Er is controle op de verwijdering, vernietiging of anonimisering. Softwarematige verwijdering of anonimisering en vernietiging van gegevensdragende hardware wordt bij voorkeur door een gespecialiseerde organisatie gedaan.
    • Indien de persoonsgegevens zijn vastgelegd op een 'read only' gegevensdrager waarin geen wijzigingen kunnen worden aangebracht, maar waarvan gegevens wel kunnen worden gekopieerd, zoals een CD-ROM of DVD, dan zijn maatregelen getroffen zodat de gegevens op geen enkele wijze meer kunnen worden ingezien, gebruikt of anderszins worden verwerkt. Ook wordt de betrokkene op de hoogte gesteld van de onmogelijkheid van verwijdering of anonimiseringHandleiding voor verwerkers van persoonsgegevens - Handleiding van de Wbp, Ministerie van Justitie, 2002, p.37.
    nodige maatregelenUitvoeringOnbekendAls de bewaartermijnen verlopen, zijn de gegevens verwijderd, vernietigd of geanonimiseerd.Bewaren van persoonsgegevens29 oktober 2020 09:57:23ISOR:Nodige maatregelen- verwijderd- vernietigd of geanonimiseerd
    Naleving controleren op basis van documentatiePRIV_C.03.03.02Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
  • Desgevraagd moet meer documentatie voorhanden zijn die direct in verband staat met de melding van een inbreuk zelf. Nagegaan moet kunnen worden of alle passende technische en organisatorische maatregelen zijn genomen om vast te stellen of een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, en om de AP en de betrokkene daarvan onverwijld in kennis te stellenAVG overweging 87.
  • Ook bij een besluit om een inbreuk niet te melden, moet deze afweging en het besluit worden gedocumenteerd en door de AP gecontroleerd kunnen worden.
  • documenteert de inbreukControlOnbekendDe documentatie stelt de AP in staat de naleving te controleren.Meldplicht Datalekken19 juni 2020 07:10:20ISOR:Documenteert de inbreuk- mogelijkheid tot controle
    Passend beveiligingsniveauPRIV_U.04.01.04Norm3.3Actueel13 juni 202016 oktober 2017
    Toelichting
  • Privacy Enhancing Technologies (PET) is een gangbare verzamelnaam voor een aantal technieken voor privacybescherming die kunnen worden toegepast. Een centraal principe van PET is het verminderen van de herleidbaarheid van persoonsgegevens naar de betrokkene, met anonimisering van gegevens als zwaarste vorm: na anonimisering zijn de gegevens niet meer te herleiden tot de oorspronkelijke gegevens en daarmee ook niet langer een onderwerp voor de AVG Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010. CBP: Richtsnoeren voor het beveiligen van persoonsgegevens, 2013, p.13..
  • Een verwante techniek is pseudonimisering. De AVG definieert pseudonimisering als: "het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, op voorwaarde dat deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeldAVG Art. 4 lid 5.
  • Bij het toepassen van pseudonimisering moeten de aanvullende gegevens, die gebruikt worden om de persoonsgegevens aan een specifieke betrokkene te koppelen, apart worden bewaard.
  • De uitdrukkelijke invoering van pseudonimisering genoemd in de AVG is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluitenAVG Art. 4 lid 5. Na pseudonimisering blijft de AVG van toepassing.
  • Bijzondere aspecten in dit verband zijn:
    • Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewistAVG overweging 39..
    • De verwerkingsverantwoordelijke dient, met name met betrekking tot online-diensten en online-identificatoren, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om inzage verzoektAVG overweging 64..
  • technische en organisatorische maatregelenUitvoeringOnbekendDe maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG Art. 32; dit is 'het informatiebeveiligingsartikel':
    1. De pseudonimisering en versleuteling van persoonsgegevens;
    2. Het vermogen om op permanente basis de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
    3. Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
    4. Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
    Beveiligen van de verwerking van persoonsgegevens13 juni 2020 21:52:42ISOR:Technische en organisatorische maatregelen- passend beveiligingsniveau
    Bepalingen overeengekomen met de verwerkerPRIV_U.07.02.02Norm3.3Actueel16 juni 202016 oktober 2017
    Toelichting
    • Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurd certificeringmechanisme kan worden gebruikt als element om aan te tonen dat voldoende garanties worden geboden.
    • Deze vereisten in de overeenkomst gelden ook voor door de verwerker ingehuurde verwerkers.
    afdoende garantiesUitvoeringOnbekendIn de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
    1. De persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften;
    2. De gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen zijn gebonden;
    3. De beveiliging van de verwerking is geborgd, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, inclusief:
      1. Welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben.
      2. Welke procedure wordt gevolgd in geval van een datalek.
      3. In welke landen de persoonsgegevens worden opgeslagen.
    4. De vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker.
    5. Passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief:
      1. Hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker;
      2. Het contact dat de verwerker mag hebben met de betrokkenen.
    6. De verwerkingsverantwoordelijke bijstand wordt verleend om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking.
    7. Na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terugbezorgd worden en bestaande kopieën worden verwijderd, conform PRIV_U.06: Bewaren van persoonsgegevens.
    8. De verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties.
    9. De verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de AVG of op andere wet- en regelgeving inzake gegevensbescherming.
    Doorgifte persoonsgegevens16 juni 2020 15:52:31ISOR:Vormvereisten aan eisen voor afdoende garanties door verwerker
    Geautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangenPRIV_U.01.07.02Norm3.3Actueel4 juni 202016 oktober 2017
    Toelichting
    De maatregelen zijn passend ter bescherming van het gerechtvaardigd belang van de betrokkeneAVG Art. 38 lid 2 ; UAVG Art. 40 lid 2.
    geautomatiseerde besluitvormingUitvoeringOnbekendIndien geautomatiseerde besluitvorming plaatsvindt heeft de verwerkingsverantwoordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten AVG Art. 22 lid 2.
    Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgdUAVG Art. 40.
    Doelbinding gegevensverwerking12 juni 2020 21:21:29ISOR:Geautomatiseerde besluitvorming- m.b.t. rechten en vrijheden en gerechtvaardigde belangen van de betrokkene
    Rechtmatigheid aantonenPRIV_C.01.02.03Norm3.3Actueel18 juni 202016 oktober 2017rechtmatigheid aangetoondControlOnbekendAangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking ten aanzien van de betrokkene rechtmatig is.Intern toezicht18 juni 2020 14:24:01ISOR:Rechtmatigheid aangetoond- rechtmatige verwerking
    Het beoordelen van de privacyrisico's, hoog risicoPRIV_B.03.01.01Norm3.3Actueel20 mei 202016 oktober 2017
    Toelichting
    • Een DPIA wordt in een zo vroeg mogelijk stadium uitgevoerd; in ieder geval voordat wordt overgegaan tot de verwerking van persoonsgegevens. Zo kunnen gegevensbeschermings¬maatregelen vooraf al in het ontwerp worden meegenomen. Dit voorkomt dat achteraf blijkt dat de gegevensverwerking niet voldoet aan de verplichtingen die volgen uit de AVG inzake het treffen van passende technische en organisatorische maatregelen om onrechtmatige gegevensverwerkingen te voorkomen. Op deze manier kunnen ook kosten worden bespaard: het meenemen van beveiligingsmaatregelen bij de ontwikkeling van een ICT-systeem is goedkoper dan het achteraf aanpassen ervan. Bovendien kunnen schadevergoedingen worden vermeden, omdat adequate maatregelen zijn genomen om te voorkomen dat voorzienbare risico's zich daadwerkelijk voordoen.
    • Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.
    • De DPIA bevat ten minste:
    1. Een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
    2. Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
    3. Een beoordeling van de hierboven genoemde risico's, en:
    4. De beoogde maatregelen om de risico's aan te pakken; waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en aan te tonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
    • Een DPIA in verband met een hoog risico is met name vereist in de volgende gevallen c.q. bij de volgende risico'sAVG art. 35 lid 3.:
    1. Een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
    2. Grootschalige verwerking van bijzondere categorieën persoonsgegevens (U.01/04 of AVG Art. 9, lid 1) of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten (U.04/05) of AVG Art. 10), of:
    3. Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten..
    • Dit dient met name te gelden voor grootschalige verwerkingen die bedoeld zijn voor de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal betrokkenen gevolgen kan ondervinden en die bijvoorbeeld vanwege hun gevoelige aard een hoog risico met zich kunnen brengen wanneer conform het bereikte niveau van technologische kennis een nieuwe technologie op grote schaal wordt gebruikt, alsmede voor andere verwerkingen die een groot risico voor de rechten en/of vrijheden van de betrokkenen inhouden, met name wanneer betrokkenen als gevolg van die verwerkingen hun rechten moeilijker kunnen uitoefenen.
    • Een DPIA dient ook te worden uitgevoerd wanneer persoonsgegevens worden verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de profilering van deze gegevens of na de verwerking van bijzondere categorieën persoonsgegevens, biometrische gegevens of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
    • Een DPIA is ook nodig voor de grootschalige bewaking van openbaar toegankelijke ruimten, met name wanneer optisch elektronische apparatuur wordt gebruikt of voor alle andere verwerkingen waarover de AP oordeelt dat zij waarschijnlijk een groot risico inhouden voor de rechten en vrijheden van betrokkenen, met name omdat betrokkenen als gevolg van deze verwerkingen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst of omdat deze verwerkingen systematisch op grote schaal worden uitgevoerd.
    • De verwerking van persoonsgegevens mag niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat. In die gevallen mag een DPIA niet verplicht worden gesteld.
    het beoordelen van de privacyrisico'sBeleidOnbekendWanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1.Risicomanagement, Privacy by Design en de DPIA4 juni 2020 20:59:05ISOR:Het beoordelen van de privacyrisico's- hoog risico
    Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrixPRIV_B.02.01.04Norm3.3Actueel19 mei 202016 oktober 2017
    Toelichting

    De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de FG zijn taken kan uitvoeren:

    1. Het naar behoren en tijdig betrekken. De FG wordt naar behoren en tijdig betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
    2. Het verschaffen van toegang. De FG heeft voor het vervullen van zijn taken en het in stand houden van zijn deskundigheid toegang tot persoonsgegevens en verwerkingsactiviteiten en de daarvoor benodigde middelen.
    3. Het niet ontvangen van instructies. De FG ontvangt geen instructies met betrekking tot de uitvoering van zijn taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De FG brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.
    4. Het bieden van contactmogelijkheden. Betrokkenen kunnen met de FG contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van de AVG.
    5. Bekendmaking. De verwerkingsverantwoordelijke of de verwerker maakt de contactgegevens van de FG bekend en deelt die mee aan de AP.
    verdeling van de taken en verantwoordelijkhedenBeleidOnbekendDe taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt.Organieke inbedding4 juni 2020 20:38:24ISOR:Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix
    Kosteloos, tenzij onredelijkPRIV_C.02.03.04Norm3.3Actueel19 juni 202016 oktober 2017in een passende vormControlOnbekendHet verstrekken van de informatie en de communicatie zijn kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. Als de verzoeken buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, dan mag de verwerkingsverantwoordelijke ofwel:
  • Een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan, ofwel:
  • Weigeren gevolg te geven aan het verzoek.
  • Toegang gegevensverwerking voor betrokkenen19 juni 2020 03:52:15ISOR:Passende vorm- eventuele kosten
    Informatievereisten bij verzoek om toestemmingPRIV_U.05.02.01Norm3.3Actueel14 juni 202016 oktober 2017
    Toelichting
    • De informatie moet goed toegankelijk, leesbaar en begrijpelijk zijn voor 'de gewone burger'.
    • De informatie moet zodanig worden verstrekt dat de betrokkene daarover daadwerkelijk beschikt. Dit kan op vele manieren; zowel mondeling, schriftelijk, digitaal, etc. Het is aan de verantwoordelijke om te kunnen aantonen dat de informatie daadwerkelijk aan de betrokkene is verstrekt, daarom heeft schriftelijke verstrekking de voorkeur.
    informatieUitvoeringOnbekendHet verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagdAVG Art. 7 lid 2.Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens15 juni 2020 12:29:36ISOR:InformatieBetekenisvolle gegevens.- verzoek om toestemming
    Bijzondere categorieën persoonsgegevens; ledenadministratie, gerechtvaardigde activiteitenPRIV_U.01.04.04Norm3.3Actueel4 juni 202016 oktober 2017rechtvaardiging bijzondere categorieën persoonsgegevensUitvoeringOnbekendDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking verricht wordt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrektUAVG Art. 22 lid 2c (ofwel: AVG Art. 9 lid 2d).Doelbinding gegevensverwerking12 juni 2020 20:59:42ISOR:Bijzondere persoonsgegevens- m.b.t. lidmaatschap vakbond
    Privacybeleid; vastgesteld en gecommuniceerdPRIV_B.01.01.03Norm3.3Actueel9 april 202016 oktober 2017
    Toelichting
  • Door het vaststellen van het privacybeleid door het topmanagement worden het privacybeleid en de verantwoordelijkheden op strategisch en uitvoeringsniveau geborgd.
  • Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins worden verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van de verwerking van hun persoonsgegevens. Natuurlijke personen moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen.
  • De specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt dienen expliciet en gerechtvaardigd te zijn en te zijn vastgesteld nog voordat de persoonsgegevens worden verzameld. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
  • privacybeleidBeleidOnbekendHet topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens.Privacy Beleid geeft duidelijkheid en sturing4 juni 2020 20:28:09ISOR:Privacybeleid; vastgesteld en gecommuniceerd
    Bewaking van de noodzaak tot bewarenPRIV_U.06.01.02Norm3.3Actueel29 oktober 202016 oktober 2017
    Toelichting
  • Indien aan de persoonsgegevens gekoppelde gegevens van belang zijn om langer te worden bewaard, dan dienen de persoonsgegevens zodanig te worden geanonimiseerd dat het daarna niet meer mogelijk is deze geanonimiseerde gegevens weer herleidbaar te makenHandleiding voor verwerkers van persoonsgegevens - Handleiding van de Wbp, Ministerie van Justitie, 2002, p.126.
  • nodige maatregelenUitvoeringOnbekendDe verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren.Bewaren van persoonsgegevens29 oktober 2020 09:58:30ISOR:Nodige maatregelen- beoordeling evt. langere bewaartermijn
    Aantonen onderkende risico's en maatregelenPRIV_B.03.03.01Norm3.3Actueel20 mei 202016 oktober 2017
    Toelichting
  • De risicomanagementrapportage is niet alleen sturend op uitvoeringsniveau, maar ook op organisatieniveau.
  • Wanneer de rapportage een overzicht bevat van waar privacyrisico's het grootst zijn (risico = kans x impact), dan is dit ondersteunend aan het prioriteren van de verwerkingen waarvan de bescherming en de privacy op niveau moeten worden gebracht. Overigens is (risico = kans x impact) wel een theoretische definitie; in praktijk zal het vaak gaan om de kans dat een incident zich voordoet, of om de kans van optreden van een activiteit waarop het risico berust, in relatie met de potentiële impact die dit incident heeft.
  • aantonenBeleidOnbekendVan alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden.Risicomanagement, Privacy by Design en de DPIA4 juni 2020 21:12:57ISOR:Aantonen onderkende risico's en maatregelen
    Privacybeleid i.r.t. sectorspecifieke wetgeving.PRIV_B.01.01.05Norm3.3Actueel9 april 202016 oktober 2017
    Toelichting
  • In het beleid is vastgesteld en bekrachtigd op welke wijze sectorspecifieke wetgeving wordt uitgevoerd. Verschillende sectorspecifieke wetten stellen nadere regels aan de gegevensverwerkingen in specifieke sectoren, bijvoorbeeld de Telecommunicatiewet en Wet BRP.
  • Bij overlapping gaan de bijzondere regels van de sectorspecifieke regels vóór op de algemene regels van de AVG. Als in sectorspecifieke wetgeving niets is bepaald, dan gelden de algemene regels van de AVG.
  • privacybeleidBeleidOnbekendIn het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving.Privacy Beleid geeft duidelijkheid en sturing12 juni 2020 18:46:53ISOR:Privacybeleid i.r.t. sectorspecifieke wetgeving.
    Aantonen uitvoeren DPIA en opvolgen DPIA uitkomstenPRIV_B.03.03.02Norm3.3Actueel20 mei 202016 oktober 2017
    Toelichting
    Risicomanagement ondersteunt het gehele proces van signaleren tot wegwerken van de gesignaleerde risico's en is als cyclisch proces ingericht.
    aantonenBeleidOnbekendEen procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten.Risicomanagement, Privacy by Design en de DPIA4 juni 2020 21:14:21ISOR:Aantonen uitvoeren GEB en opvolgen GEB uitkomsten
    Informatie aan betrokkene indien andere bronPRIV_U.05.02.03Norm3.3Actueel14 juni 202016 oktober 2017informatieUitvoeringOnbekendWanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 7:
    1. De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke;
    2. In voorkomend geval de contactgegevens van de Functionaris voor gegevensbescherming;
    3. De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking;
    4. De betrokken categorieën persoonsgegevens;
    5. In voorkomend geval de ontvangers of categorieën van ontvangers van de persoonsgegevens;
    6. Als persoonsgegevens aan een ontvanger in een derde land of aan een internationale organisatie wordt doorgegeven, wordt informatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat over hoe een kopie kan worden verkregen over de waarborgen of voorschriften of waar ze kunnen worden geraadpleegd;
    7. De periode gedurende welke de persoonsgegevens zullen worden opgeslagen of indien dat niet mogelijk is de criteria om die termijn te bepalen;
    8. Indien van toepassing de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde;
    9. Dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
    10. Wanneer verwerking is gebaseerd is op toestemming van betrokkene, heeft de betrokkene het recht de toestemming te allen tijde in te trekken. Dit doet geen afbreuk aan de rechtmatigheid van de verwerking op basis van de toestemming van vóór de intrekking;
    11. Dat de betrokkene het recht heeft een klacht in te dienen bij een AP;
    12. De bron waar de persoonsgegevens vandaan komen en in voorkomend geval of zij afkomstig zijn van openbare bronnen;
    13. Het bestaan van geautomatiseerde besluitvorming (inclusief profilering) inclusief de informatie over de onderliggende logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
    Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens15 juni 2020 14:26:39ISOR:InformatieBetekenisvolle gegevens. aan betrokkene bij ontvangst gegevens bij een ander dan de betrokkene
    Invulling wettelijke beginselen; beschrijven van behoorlijke verwerkingPRIV_B.01.02.09Norm3.3Actueel4 juni 202016 oktober 2017wettelijke beginselenBeleidOnbekendBeschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond.Privacy Beleid geeft duidelijkheid en sturing19 juni 2020 07:46:08ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van behoorlijke verwerking
    Verdeling taken en verantwoordelijkheden i.r.t. overeenkomstenPRIV_B.02.01.03Norm3.3Actueel19 mei 202016 oktober 2017
    Toelichting
    • Elke aanstelling van een verwerker is vastgelegd in een schriftelijke overeenkomst, waarin de concrete afspraken zijn verankerd over hoe voldaan wordt aan de eisen van de Avg.
    • Vanaf 1 januari 2016 moeten afspraken over de meldplicht datalekken in de verwerkersovereenkomst opgenomen zijn.
    verdeling van de taken en verantwoordelijkhedenBeleidOnbekendBij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst.Organieke inbedding4 juni 2020 20:36:42ISOR:Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten
    Inhoud van het register van verwerkingsactiviteitenPRIV_U.02.01.02Norm3.3Actueel12 juni 202016 oktober 2017
    Toelichting
    Zie ook de toelichting bij PRIV_U.02.01.02 Register van verwerkingsverantwoordelijke.
    registerUitvoeringOnbekendHet register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
    1. De naam en de contactgegevens van:
      1. De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
      2. In voorkomend geval:
        1. Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
        2. Van de Functionaris voor Gegevensbescherming;
    2. De verwerkingsdoeleinden;
    3. Een beschrijving van de categorieën van betrokkenen;
    4. Een beschrijving van de categorieën persoonsgegevens;
    5. De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
    6. Bij doorgiften aan een derde land of een internationale organisatie:
      1. De doorgifte van verstrekte persoonsgegevens;
      2. De vermelding van dat derde land of die internationale organisatie;
      3. De documenten inzake de passende waarborgen;
    7. De beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist (indien mogelijk);
    8. Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
    Register van verwerkingsactiviteiten12 juni 2020 21:43:02ISOR:Register van verwerkingsverantwoordelijke- inhoud van het register
    Invulling wettelijke beginselen; beschrijven van informeren bij inbreukPRIV_B.01.02.10Norm3.3Actueel9 april 202016 oktober 2017wettelijke beginselenBeleidOnbekendBeschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen.Privacy Beleid geeft duidelijkheid en sturing19 juni 2020 07:48:53ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van informeren bij inbreuk
    Juiste en actuele gegevensPRIV_C.01.02.06Norm3.3Actueel18 juni 202016 oktober 2017rechtmatigheid aangetoondControlOnbekendAangetoond is dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.Intern toezicht18 juni 2020 14:45:21ISOR:Rechtmatigheid aangetoond- juiste en actuele gegevens
    Organisatorische beveiliging, planmatig, aantoonbaarPRIV_U.04.01.03Norm3.3Actueel13 juni 202016 oktober 2017
    Toelichting
    • De verantwoordelijke heeft adequate organisatorische maatregelen genomen om de gegevens te beveiligen en kan dat aantonen. Organisatorische maatregelen zijn maatregelen voor de inrichting van de organisatie en voor het verwerken van persoonsgegevens, zoals toekenning en deling van de verantwoordelijkheden, bevoegdheden, instructies, trainingen, calamiteitenplannen en geheimhoudingsplichten. Een goede manier om dit te borgen en aan te tonen is het opstellen en actueel houden van een beveiligingsplan.
    • De AVG spreekt in plaats van een beveiligingsplan over Bindende bedrijfsvoorschriften: "de toepassing van de algemene beginselen inzake gegevensbescherming, met name doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden., minimale gegevensverwerking, beperkte opslagtermijnen, kwaliteit van gegevens, gegevensbescherming door standaardinstellingen en door ontwerp, rechtsgrond voor verwerking, verwerking van bijzondere categorieën persoonsgegevens, maatregelen om gegevensbeveiliging te waarborgen en de vereisten inzake verdere doorgiften aan organen die niet door bindende bedrijfsvoorschriften zijn gebonden.
    • Ten behoeve van privacy hoeft geen separaat beveiligingsplan gemaakt te worden; als extra beveiligingsmaatregelen genomen moeten worden om persoonsgegevens te bescherming, kan dit worden opgenomen in het reguliere beveiligingsplan. Ook de Richtsnoeren van de AP over het beveiligen van persoonsgegevens kan geïmplementeerd worden in het reguliere beveiligingsplan.
    • Het beveiligingsplan bevat bijvoorbeeld informatie over:
    1. Welke technische, organisatorische en fysieke beveiligingsmaatregelen genomen zijn
    2. Welk normenstelsel de organisatie volgt;
    3. Op welke wijze de eventuele aanwijzingen (richtsnoeren, beleidsregels) van de AP over het beveiligen van persoonsgegevens ingeregeld zijn;
    4. Hoe geheimhouding van de medewerkers geregeld is;
    5. Welke acties de verantwoordelijke verwerker neemt bij datalekken;
    6. Hoe de verwerker zich periodiek verantwoordt over de nakoming van afspraken;
    7. Hoe controle op de naleving van de beveiligingsmaatregelen is ingeregeld;
    8. Het geven van instructies en trainingen over de manier waarop persoonsgegevens beschermd worden;
    9. Een calamiteitenplan (of: het calamiteitenplan zelf);
    10. Het cyclisch inregelen van beveiliging als onderdeel van de dagelijkse praktijk van de organisatie, zodat de beveiligingsmaatregelen onderdeel zijn van de dagelijkse praktijk van de organisatie;
    11. De opname van de technische en organisatorische maatregelen in de verwerkersovereenkomst, met voortdurende controle op de uitvoering ervan en direct ingrijpen als daar niet aan wordt voldaan;
    12. De periodieke toetsing van maatregelen en aanpassing als ze niet meer voldoende bescherming bieden;
    13. De toekenning en deling van de verantwoordelijkheden en bevoegdheden met de omgang van persoonsgegevens;
    14. Het benoemen van een algehele verantwoordelijke binnen de organisatie voor het opstellen, implementeren en handhaven van het beveiligingsbeleid.
    technische en organisatorische maatregelenUitvoeringOnbekendPersoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan.Beveiligen van de verwerking van persoonsgegevens13 juni 2020 21:11:56ISOR:Technische en organisatorische maatregelen- organisatorische beveiliging
    Elektronische verwerking van het verzoekPRIV_U.03.03.04Norm3.3Actueel13 juni 202016 oktober 2017geïnformeerdUitvoeringOnbekendWanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG Art. 12 lid 3.Kwaliteitsmanagement13 juni 2020 18:18:26ISOR:Geïnformeerd- elketronische verwerking van het verzoek
    Duidelijke en eenvoudige taalPRIV_C.03.01.05Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    Het gaat in de AVG om twee verschillende meldplichten: er is een meldplicht aan de AP, en een meldplicht aan de betrokkene, op wiens persoonsgegevens een inbreuk is gemaakt.
    meldt een datalekControlOnbekendDe melding aan de betrokkene is in duidelijke en eenvoudige taal.Meldplicht Datalekken19 juni 2020 05:21:46ISOR:Meldt een datalek- in duidelijke en eenvoudige taal
    Recht op ongehinderde overdracht van gegevensPRIV_U.03.02.07Norm3.3Actueel13 juni 202016 oktober 2017gecorrigeerd, gestaakt of overgedragenUitvoeringOnbekendDe betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG Art. 20, als de verwerking berust op:
    1. Toestemming van betrokkene, of:
    2. Een overeenkomst waarbij de betrokkene partij is of de verwerking via geautomatiseerde procedés wordt verricht;

    en geldt niet als:

    1. De verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
    2. Het afbreuk doet aan de rechten en vrijheden van anderen.
    Kwaliteitsmanagement13 juni 2020 15:24:40ISOR:Gecorrigeerd- gestaakt of overgedragen- recht op ontvangst van gegevens en op overdragen van gegevens aan andere verwerkingsverantwoordelijke
    Controle op juistheid en nauwkeurigheidPRIV_U.03.01.02Norm3.3Actueel13 juni 202016 oktober 2017juistheid en nauwkeurigheidUitvoeringOnbekendDe verwerkingsverantwoordelijke voert periodiek controles uit op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan het hogere management.Kwaliteitsmanagement13 juni 2020 14:10:15ISOR:Controle op juistheid en nauwkeurigheid
    Aantoonbaar transparante verwerkingPRIV_C.01.02.08Norm3.3Actueel18 juni 202016 oktober 2017rechtmatigheid aangetoondControlOnbekendAangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens, PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_C.02 Toegang gegevensverwerking voor betrokkenen.Intern toezicht18 juni 2020 15:06:33ISOR:Rechtmatigheid aangetoond- transparante verwerking
    Directe melding aan betrokkenePRIV_C.03.02.04Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    Als en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, dan kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
    gestelde termijnControlOnbekendDe melding aan de betrokkene gebeurt onverwijld.Meldplicht Datalekken19 juni 2020 06:55:12ISOR:Termijn aan betrokkene
    Langere opslagperiode voor specifieke doelen (onderzoek, statistiek)PRIV_U.06.02.04Norm3.3Actueel16 juni 202016 oktober 2017
    Toelichting
    • De waarborgen bestaan uit technische en organisatorische maatregelen die zijn getroffen om het beginsel van minimale gegevensverwerking te garanderen. Zij hebben ten minste tot gevolg dat de gegevens niet langer herleidbaar zijn tot de betrokkenen.
    • De maatregelen kunnen pseudonimisering omvatten, zodat de oorspronkelijke doelstellingen van in het kader van het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden alsnog kunnen worden behaald.
    bewaartermijnUitvoeringOnbekendWanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AVGAVG art. 89 lid 1.Bewaren van persoonsgegevens16 juni 2020 13:30:10ISOR:Bewaartermijn- eisen aan evt. langere opslagperiode
    Bijzondere categorieën persoonsgegevens; voorwaarden verwerking i.v.m. gezondheidszorgPRIV_U.01.04.09Norm3.3Actueel4 juni 202016 oktober 2017
    Toelichting
  • Persoonsgegevens over gezondheid zijn persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaatAVG Art. 4 lid 15.
    Deze gegevens hebben betrekking op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. Dit omvat informatie over de natuurlijke persoon die is verzameld in het kader van de registratie voor of de verlening van gezondheidszorgdiensten als bedoeld in Richtlijn 2011/24/EU van het Europees Parlement en de Raad aan die natuurlijke persoon; een aan een natuurlijke persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van die natuurlijke persoon geldt voor gezondheidsdoeleinden; informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van genetische gegevens en biologische monsters en informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de fysiologische of biomedische staat van de betrokkene, ongeacht de bron, zoals een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitro diagnostiekAVG overweging 35.
  • Bijzondere categorieën persoonsgegevens, die betere bescherming vergen, mogen alleen voor gezondheidsdoeleinden worden verwerkt als dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel. Dit geldt met name bij:
    • Het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten, met inbegrip van de verwerking door de beheer autoriteiten en de centrale nationale gezondheidsinstanties van die gegevens met het oog op kwaliteitscontrole, beheerinformatie en het algemeen nationaal en lokaal toezicht op:
      • Het gezondheidszorgstelsel, of:
      • Het stelsel van sociale diensten.
    • Bij het waarborgen van de continuïteit van de gezondheidszorg of de sociale diensten en grensoverschrijdende gezondheidszorg.
    • Voor doeleinden inzake gezondheidsbeveiliging, bewaking en -waarschuwing, of:
    • Met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden op basis van het wettelijk recht die aan een doelstelling van algemeen belang moet voldoen, alsook:
    • Voor studies van algemeen belang op het gebied van de volksgezondheid.

  • Derhalve moet de AVG voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. Het wettelijke recht moet voorzien in specifieke en passende maatregelen voor de bescherming van de grondrechten en persoonsgegevens van natuurlijke personen.
  • Het moet de lidstaten worden toegestaan andere voorwaarden te handhaven of in te voeren, waaronder beperkingen met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid. Wanneer deze voorwaarden van toepassing zijn op de grensoverschrijdende verwerking van deze persoonsgegevens, dan mag dit evenwel geen belemmering vormen voor het vrije verkeer van gegevens binnen de UnieAVG overweging 53.
  • Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën persoonsgegevens zonder toestemming van de betrokkene te verwerken. Die verwerking moet worden onderworpen aan passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient "volksgezondheid" overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe te leiden dat persoonsgegevens door derden zoals werkgevers of verzekeringsmaatschappijen en banken voor andere doeleinden worden verwerktAVG overweging 54.
  • rechtvaardiging bijzondere categorieën persoonsgegevensUitvoeringOnbekendDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van zorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerkerAVG Art. 9 lid 2h).



    De verwerking geschiedt doorUAVG Art. 30 lid 3) :

    1. Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk. Hierbij geldt dat het verbod om andere bijzondere categorieën persoonsgegevens te verwerken niet van toepassing is, indien de verwerking noodzakelijk is in aanvulling op deze verwerking met het oog op een goede behandeling of verzorging van de betrokkeneUAVG Art. 30 lid 5 ; of
    2. Verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht of financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover de verwerking noodzakelijk is voor:
      1. De beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt, of:
      2. De uitvoering van de overeenkomst van verzekering dan wel het assisteren bij het beheer en de uitvoering van de verzekering.

    Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.

    Als voorwaarde en waarborg geldt:

    1. de gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden, of
    2. door een andere persoon die eveneens krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehoudenAVG Art. 9 lid 3.
      Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld UAVG Art 30 lid 6.
    Doelbinding gegevensverwerking19 juni 2020 09:45:47ISOR:Bijzondere persoonsgegevens- m.b.t. voorwaarden aan de verwerking
    Uitzonderingsgrond voor de verwerkingPRIV_U.07.04.01Norm3.3Actueel16 juni 202016 oktober 2017
    Toelichting

    Met het begrip 'doorgifte naar landen buiten de EU' wordt gedoeld op het ter kennis brengen van de gegevens aan een persoon of organisatie die zich bevindt buiten de rechtsmacht van een van de landen van de Unie. Het gaat daarbij om:

    1. Het gebruik van gegevens binnen concernverband, indien onderdelen van een concern zich binnen en buiten de EU bevinden; bindende bedrijfsvoorschriften zijn dan van toepassing.
    2. De verstrekking aan derden die zich buiten de EU bevinden;
    3. Het ter beschikking stellen van de gegevens aan derden buiten de EU;
    4. Het verzamelen van gegevens door landen buiten de EU.
    uitzonderingsgrondUitvoeringOnbekendDe verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Art. 48.Doorgifte persoonsgegevens16 juni 2020 21:15:55ISOR:Uitzonderingsgrond t.a.v. de verwerking
    Het beoordelen van de privacyrisico's, advies van FGPRIV_B.03.01.02Norm3.3Actueel20 mei 202016 oktober 2017het beoordelen van de privacyrisico'sBeleidOnbekendWanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in.Risicomanagement, Privacy by Design en de DPIA20 mei 2020 09:52:04ISOR:Het beoordelen van de privacyrisico's- advies van FG
    Passende waarborgen, beëindigen van doorgifte en informeren van betrokkenePRIV_U.07.06.03Norm3.1Actueel16 oktober 2017passende waarborgenUitvoeringWanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49..Doorgifte persoonsgegevens18 januari 2018 17:58:46ISOR:Passende waarborgen- beëindigen van doorgifte en informeren van betrokkene
    Toestemming vrijelijk gegevenPRIV_U.05.04.01Norm3.3Actueel15 juni 202016 oktober 2017toestemmingUitvoeringOnbekendDe toestemming moet door de betrokkene vrijelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG Art. 14 lid 4.Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens15 juni 2020 16:07:33ISOR:Uitzondering
    Rechtstreekse overdrachtPRIV_U.03.02.08Norm3.3Actueel13 juni 202016 oktober 2017gecorrigeerd, gestaakt of overgedragenUitvoeringOnbekendDe betrokkene kan de gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien PRIV_U.03.02.07: Recht op ongehinderde overdracht van gegevens' geldt en dit technisch mogelijk is.Kwaliteitsmanagement13 juni 2020 15:36:47ISOR:Gecorrigeerd- gestaakt of overgedragen- overdracht aan andere verwerkingsverantwoordelijke
    Maximale bewaartermijnPRIV_U.06.02.02Norm3.3Actueel16 juni 202016 oktober 2017
    Toelichting
    In sommige (sectorspecifieke) wetgeving is voor bepaalde persoonsgegevens een bewaartermijn aangegeven. Een voorbeeld hiervan is het bewaren van medische gegevens: in het Burgerlijk Wetboek is de termijn hiervoor vastgesteld op 15 jaar Art. 7:454 lid 3 BW.. Denk ook aan specifieke bewaartermijnen voor gegevens over financiële transacties.
    bewaartermijnUitvoeringOnbekendDe bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG Art. 5 lid 1e.Bewaren van persoonsgegevens16 juni 2020 13:18:11ISOR:Bewaartermijn- maximale periode
    Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnenPRIV_B.01.02.07Norm3.3Actueel4 juni 202016 oktober 2017wettelijke beginselenBeleidOnbekendBeschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren.Privacy Beleid geeft duidelijkheid en sturing4 juni 2020 12:58:50ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van maximale bewaartermijnen
    Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgiftePRIV_C.01.02.04Norm3.3Actueel11 november 20196 mei 2019rechtmatigheid aangetoondControlBij het aantonen van de rechtmatigheid wordt gebruik gemaakt van de overeenkomsten voor de doorgiften zoals beschreven in PRIV_U.07: Doorgifte persoonsgegevens.Intern toezicht18 juni 2020 14:30:22ISOR:Rechtmatigheid aangetoond- gebruik van overeenkomsten voor doorgifte
    De onderlinge verantwoordelijkhedenPRIV_U.07.01.01Norm3.3Actueel16 juni 202016 oktober 2017
    Toelichting
    onderlinge verantwoordelijkhedenUitvoeringOnbekendBij doorgifte aan een andere verantwoordelijke zijn:
    1. De respectieve verantwoordelijkheden duidelijk, zodat door alle partijen aan de AVG-verplichtingen voldaan kan worden, met name met betrekking totAVG Art. 26 lid 1:
      1. De uitoefening van de rechten van de betrokkene, conform PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, en:
      2. Het informeren van de betrokkenen bij ontvangst van de persoonsgegevens, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens
    2. De regeling met de respectieve verantwoordelijkheden aan de betrokkene beschikbaar gesteldAVG Art. 26 lid 3.
    Doorgifte persoonsgegevens16 juni 2020 14:45:51ISOR:De onderlinge verantwoordelijkheden
    Invulling wettelijke beginselen; beschrijven van transparante verwerkingPRIV_B.01.02.06Norm3.3Actueel4 juni 202016 oktober 2017wettelijke beginselenBeleidOnbekendBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen.Privacy Beleid geeft duidelijkheid en sturing19 juni 2020 08:02:41ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van transparante verwerking
    Informatie over niet van betrokkene verkregen persoonsgegevensPRIV_U.05.01.02Norm3.3Actueel14 juni 202016 oktober 2017
    Toelichting
    • Bij informatieverkrijging van persoonsgegevens van een ander dan de betrokkene, kan gedacht worden aan de koppeling van gegevens, keteninformatisering en netwerkinformatisering:
      • Keteninformatisering is gegevensuitwisseling tussen twee organisatie in een keten (dienstenketen).
      • Netwerkinformatisering is gegevensuitwisseling of de gezamenlijke beheersing van gegevens zonder dat een vaste opvolging (keten) van actoren is.
    • Doorgifte van persoonsgegevens tussen partijen in landen binnen de EU (daarmee ook binnen Nederland) valt onder het algemene begrip van verwerken. De 'doorgever' van de gegevens (de verstrekker) blijft verantwoordelijk voor een goed gebruik van de persoonsgegevens door anderen. Voor doorgifte naar personen/organisaties in landen buiten de EU gelden andere/aanvullende eisen; zie voor nadere informatie PRIV_U.07 Doorgifte van persoonsgegevens.
    • In de AVG is een plicht opgenomen voor de verstrekker (dus niet alleen voor de ontvanger) om actief de betrokkene te informeren over de doorgifte van zijn/haar persoonsgegevens vóórdat de doorgifte plaats vindtAVG Art. 14 lid 1e..
    tijdigUitvoeringOnbekendInformatieBetekenisvolle gegevens. over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrektAVG Art. 14 lid 3.Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens14 juni 2020 13:05:19ISOR:Tijdig- verstrekken van informatie
    Informatie aan betrokkenePRIV_U.05.02.02Norm3.3Actueel14 juni 202016 oktober 2017informatieUitvoeringOnbekendWanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 13:
    1. De identiteit en contactgegevens van de verantwoordelijke en, in voorkomend geval, zijn of haar vertegenwoordiger;
    2. In voorkomend geval de contactgegevens van de Functionaris voor gegevensbescherming;
    3. De verwerkingsdoeleinden en ook de rechtsgrond van de gegevensverwerking;
    4. De gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde indien de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind isAVG Art. 6.1f;
    5. In voorkomend geval de ontvangers of categorieën van ontvangers van persoonsgegevens;
    6. In voorkomend geval dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of internationale organisatie of een adequaatheidsbesluit van de commissie bestaat, welke de passende waarborgen zijn en hoe deze kunnen worden ingezien;
    7. De periode dat de gegevens worden opgeslagen of de criteria ter bepaling van die termijn;
    8. Dat de betrokkene recht heeft op inzage, rectificatie of wissing of beperking van de hem betreffende verwerking en het recht heeft bezwaar tegen de verwerking te maken en dat de betrokkene het recht heeft op gegevensoverdraagbaarheid;
    9. Dat de betrokkene zijn toestemming te allen tijde kan intrekken (voor zover de verwerking is gebaseerd op de rechtsgrond toestemming);
    10. Dat de betrokkene een klacht mag indienen bij de AP;
    11. Of de verstrekking een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten;
    12. Of de betrokkene verplicht is de gegevens te verstrekken en wat de mogelijke gevolgen zijn als deze de gegevens niet verstrekt;
    13. Of geautomatiseerde besluitvorming en/of profilering bestaat en in die gevallen nuttige informatie over de onderliggende logica alsmede het belang en de verwachte gevolgen voor de betrokkene;
    14. InformatieBetekenisvolle gegevens. over het andere doel, wanneer een verwerking gaat plaatsvinden voor een ander doel dan waarvoor de persoonsgegevens zijn verzameld.
    Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens15 juni 2020 12:46:19ISOR:InformatieBetekenisvolle gegevens. aan betrokkene
    Tijdige verstrekking op verzoek van betrokkenePRIV_C.02.02.01Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
    tijdigControlOnbekendDe informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG Art. 12 lid 3 en 4, tenzij:
    • De complexiteit van de verzoeken en van het aantal verzoeken verlenging nodig maakt, en:
    • De informatie binnen een termijn van nog eens twee maanden worden verstrekt, en:
    • De betrokkene binnen één maand na ontvangst van het verzoek in kennis wordt gesteld van een dergelijke verlenging.
    Toegang gegevensverwerking voor betrokkenen19 juni 2020 03:26:04ISOR:Tijdige verstrekking op verzoek van betrokkene
    Passende, begrijpelijke en toegankelijke wijze van informerenPRIV_C.02.03.01Norm3.3Actueel19 juni 202016 oktober 2017in een passende vormControlOnbekendDe communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG Art. 12 lid 1. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG Art. 12 lid 7.Toegang gegevensverwerking voor betrokkenen19 juni 2020 03:36:00ISOR:Passende vorm- begrijpelijke en toegankelijke wijze van communicatie
    Aantoonbaar behoorlijke verwerkingPRIV_C.01.02.07Norm3.3Actueel18 juni 202016 oktober 2017rechtmatigheid aangetoondControlOnbekendAangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform B.03: Risicomanagement, Privacy by Design en de DPIA.Intern toezicht18 juni 2020 15:20:55ISOR:Rechtmatigheid aangetoond- behoorlijke verwerking
    Vertegenwoordiger in de EUPRIV_U.07.03.01Norm3.3Actueel16 juni 202016 oktober 2017
    Toelichting
  • Bij het bepalen van de kans wordt rekening houdend met de aard, de context, de omvang en de verwerkingsdoeleinden.
  • De vertegenwoordiger is gevestigd in een van de lidstaten waar zich de betrokkenen bevinden wier persoonsgegevens in verband met het hun aanbieden van goederen of diensten worden verwerkt of wier gedrag wordt geobserveerd.
  • De vertegenwoordiger is door de verwerkingsverantwoordelijke of de verwerker gemachtigd om naast hem of in zijn plaats te worden benaderd.
  • Het aanwijzen van een vertegenwoordiger doet niet af aan de mogelijkheid om tegen de verwerkingsverantwoordelijke of de verwerker zelf vorderingen in te stellen.
  • vertegenwoordigerUitvoeringOnbekendAls een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de EU aangewezen, tenzij:
    1. Sprake is van een incidentele verwerking die geen grootschalige verwerking van bijzondere categorieën persoonsgegevens betreft, of:
    2. Bij de verwerking van persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten en waarbij de kans gering is dat zij een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
    3. Het een verwerking door een overheidsinstantie of overheidsorgaan betreft.
    Doorgifte persoonsgegevens16 juni 2020 20:43:32ISOR:Vertegenwoordiger in de EU
    Bijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belangPRIV_U.01.04.07Norm3.3Actueel4 juni 202016 oktober 2017
    Toelichting
    • Genetische gegevens moeten worden gedefinieerd als persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die blijken uit een analyse van een biologisch monster van de persoon in kwestie, met name een chromosoomanalyse, een analyse van desoxyribonucleïnezuur (DNA) of van ribonucleïnezuur (RNA) of uit een analyse van andere elementen waarmee soortgelijke informatie kan worden verkregenAVG overweging 34.
    • Biometrische gegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevensAVG Art. 4 lid 14.
    • Foto's worden niet systematisch beschouwd als verwerking van bijzondere categorieën persoonsgegevens, aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. of authenticatie van een natuurlijke persoon mogelijk makenAVG overweging 51.
    rechtvaardiging bijzondere categorieën persoonsgegevensUitvoeringOnbekendDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:
    1. Nationaalrechtelijke algemene uitzonderingenUAVG Art. 23:
      1. De verwerking is noodzakelijk ter voldoening aan een volkenrechtelijke verplichting;
      2. De gegevens worden verwerkt door de Autoriteit persoonsgegevens of een ombudsman als bedoeld in Art. 9:17 van de Algemene wet bestuursrecht (AWB), en voor zover de verwerking noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken, onder voorwaarde dat bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; of
      3. De verwerking is noodzakelijk in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt.
    2. Uitzonderingen inzake verwerking van persoonsgegevens waaruit ras of etnische afkomst blijktUAVG Art. 25:
      1. Verwerking met het oog op de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene, en slechts voor zover de verwerking voor dat doel onvermijdelijk is; of
      2. Verwerking met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen, verband houdende met de grond ras of etnische afkomst, op te heffen of te verminderen, en slechts voor zover:
        1. De verwerking voor dat doel noodzakelijk is;
        2. De gegevens betrekking hebben op het geboorteland van de betrokkene, diens ouders of diens grootouders, dan wel op andere, bij wet vastgestelde criteria op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een bepaalde etnische of culturele minderheidsgroep behoort; en
        3. De betrokkene tegen de verwerking geen schriftelijk bezwaar heeft gemaakt.
    3. De verwerking van persoonsgegevens waaruit politieke opvattingen blijken voor vervulling openbare functiesUAVG Art. 26:
      1. de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescolleges.
    4. De verwerking van persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken voor geestelijke verzorgingUAVG Art. 27:
      1. De verwerking geschiedt door andere instellingen dan de instellingen, bedoeld in artikel 22, tweede lid, onderdeel c, en voor zover de verwerking noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt.
      2. Hierbij worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.
    5. De verwerking van genetische gegevensUAVG Art. 28:
      1. De verwerking vindt plaats met betrekking tot de betrokkene bij wie de desbetreffende gegevens zijn verkregen.
      2. Hierbij is het verbod om genetische gegevens te verwerken uitsluitend niet van toepassing, indien:
        1. De betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat; en
        2. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Deze toestemming is niet vereist, indien het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning vergt.
    6. De verwerking van biometrische gegevensUAVG Art. 29:
      1. de verwerking vindt plaats ten behoeve van de unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
    Voor al deze verwerkingen is bepaald dat de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.
    Doelbinding gegevensverwerking19 juni 2020 09:33:04ISOR:Bijzondere persoonsgegevens- m.b.t. gezondheidsgegevens
    Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevensPRIV_U.01.07.03Norm3.3Actueel4 juni 202016 oktober 2017
    Toelichting
    In aanvulling van de maatregelen ter bescherming van het gerechtvaardigd belang van de betrokkene wordt de betrokkene de logica meegedeeld die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevensAVG Art. 38 lid 3.
    geautomatiseerde besluitvormingUitvoeringOnbekendIndien geautomatiseerde besluitvorming plaatsvindt, waarbij bijzondere categorieën persoonsgegevens worden gebruikt, dan zijn daarbij passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene getroffenAVG Art. 22 lid 3.Doelbinding gegevensverwerking12 juni 2020 21:22:47ISOR:Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens
    Rechtmatigheid aangetoond, toereikende verwerkingPRIV_C.01.02.02Norm3.3Actueel18 juni 202016 oktober 2017rechtmatigheid aangetoondControlOnbekendAangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking).Intern toezicht18 juni 2020 14:19:59ISOR:Rechtmatigheid aangetoond- toereikende verwerking
    Gewaarborgde beschermingPRIV_C.01.02.05Norm3.3Actueel18 juni 202016 oktober 2017rechtmatigheid aangetoondControlOnbekendAangetoond is dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen).Intern toezicht18 juni 2020 14:36:29ISOR:Rechtmatigheid aangetoond- passende en gewaarborgde beveiliging
    Rectificatie op verzoek van betrokkenePRIV_U.03.02.01Norm3.3Actueel13 juni 202016 oktober 2017
    Toelichting
    Het recht op correctie kan worden beperkt door middel van wettelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijnAVG Art. 23 lid 1.
    gecorrigeerd, gestaakt of overgedragenUitvoeringOnbekendOp verzoek van betrokkene worden onjuiste persoonsgegevens gerectificeerdAVG Art. 16 lid 1.Kwaliteitsmanagement13 juni 2020 14:17:33ISOR:Gecorrigeerd- gestaakt of overgedragen- rectificatie op verzoek van betrokkene
    Geen afbreuk aan rechten en vrijheden van anderenPRIV_C.02.01.03Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    Het publiek heeft toegang tot persoonsgegevens in officiële documenten die voor de uitvoering van een taak van algemeen belang in het bezit zijn van een overheidsinstantie, een overheidsorgaan of een particulier orgaan. Deze gegevens mogen door de instantie of het orgaan in kwestie worden bekendgemaakt in overeenstemming met het wettelijke recht dat op de overheidsinstantie of het orgaan van toepassing is teneinde het recht van toegang van het publiek tot officiële documenten in overeenstemming te brengen met het recht op bescherming van persoonsgegevens uit hoofde van de AVG.
    informatie over de verwerking van persoonsgegevensControlOnbekendDe inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG Art. 14 lid 4.Toegang gegevensverwerking voor betrokkenen19 juni 2020 03:18:54ISOR:InformatieBetekenisvolle gegevens. over de verwerking van persoonsgegevens- evt. afbreuk aan rechten cq. vrijheden van anderen
    Register van verwerker, inhoud van het registerPRIV_U.02.01.04Norm3.3Actueel12 juni 202016 oktober 2017
    Toelichting
    Zie ook de toelichting bij PRIV_U.02.01.02 Register van verwerkingsverantwoordelijke.
    registerUitvoeringOnbekendHet register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
    1. De naam en de contactgegevens van:
      1. De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
      2. In voorkomend geval:
        1. Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
        2. Van de Functionaris voor gegevensbescherming;
    2. De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
    3. Bij doorgiften aan een derde land of een internationale organisatie:
      1. De doorgifte van verstrekte persoonsgegevens
      2. De vermelding van dat derde land of die internationale organisatie
      3. De documenten inzake de passende waarborgen;
    4. Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
    Register van verwerkingsactiviteiten12 juni 2020 21:45:08ISOR:Register van verwerker- inhoud van het register
    Aantonen privacy by designPRIV_B.03.03.05Norm3.3Actueel20 mei 202016 oktober 2017aantonenBeleidOnbekendPrivacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Risicomanagement, Privacy by Design en de DPIA20 mei 2020 12:00:55ISOR:Aantonen privacy by design
    RisicoanalysePRIV_U.04.02.02Norm3.3Actueel13 juni 202016 oktober 2017
    Toelichting
    • In de risicoanalyse wordt het gewenste niveau van beveiliging vastgesteld. Door een risicoanalyse uit te voeren wordt inzichtelijk welke maatregelen waar nodig zijn om welke risico's te beheersen. Daarbij moet proportionaliteit zijn tussen de beveiligingsmaatregelen en de aard van te beschermen gegevens. Naarmate de gegevens bijv. een vertrouwelijker karakter hebben of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Sommige gegevens zijn naar hun aard vertrouwelijker (zoals bijzondere categorieën persoonsgegevens zoals ras, religie, seksuele voorkeur, biometrische gegevens en inloggegevens), andere gegevens worden vertrouwelijk als ze in een bepaalde context worden geplaatst (bijv. gegevens over uithuisplaatsing van een minderjarige, of over de financiële situatie van een persoon). Een bijkomende vuistregel: hoe groter de verzameling van persoonsgegevens van een specifieke betrokkene is, des te risicovoller en daarmee vertrouwelijker deze gegevens kunnen worden.
    • Het niveau van de technische, organisatorische en fysieke maatregelen wordt periodiek geëvalueerd en zo nodig geactualiseerd zodat het niveau passend blijft. NB: Een 'Information Security Management System (ISMS)' biedt een organisatie een procesbenadering voor het beheersen van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.. ISO/IEC 27001 is daarvoor de norm. Dit norm-document beschrijft het cyclische proces (plan/do/check/act) voor het bepalen van beveiligingsdoelstellingen op basis van een risicobeoordeling, het treffen van maatregelen en het monitoren en beoordelen van de uitkomsten. Zie voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. in de zorg: https://www.werkenmetnen7510.nl.
    • Als sprake is van bijzondere categorieën persoonsgegevens, uniek identificerende gegevens (zoals BSN's, vingerafdrukken, biometrische gegevens) of gegevens over kwetsbare groepen, personen of gebruikersnamen, wachtwoorden en andere inloggegevens, dan vraagt dit om extra aandacht in de risicoanalyse en eventuele maatregelen. NB: De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen (zie AVG Art. 87).
    een passend beveiligingsniveauUitvoeringOnbekendDe beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG Art. 32 lid 2.Beveiligen van de verwerking van persoonsgegevens13 juni 2020 22:42:45ISOR:Passend niveau- gebaseerd op analyse van het verwerkingsrisico
    Verdere verwerking i.r.t. andere doelenPRIV_U.01.03.01Norm3.3Actueel3 juni 202016 oktober 2017
    Toelichting
  • "Verdere verwerking" ziet in de AVG op alle verwerkingen van persoonsgegevens voor een ander doel dan waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. Dit kan verwerking door een en dezelfde verwerkingsverantwoordelijke zijn, maar kan ook de basis zijn voor verstrekking van gegevens aan een andere verwerkingsverantwoordelijke.
  • Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden metAVG overweging 50:
    • Een eventuele koppeling tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking;
    • Het kader waarin de gegevens zijn verzameld; met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan;
    • De aard van de persoonsgegevens;
    • De gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en:
    • Passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.
  • De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.).
  • Verdere verwerking voor zuiver commerciële doelstellingen, zoals het gericht kunnen aanbieden van reclame, kan niet hierop worden gebaseerd. Dat kan alleen met uitdrukkelijke toestemming van de betrokkene.
  • Mogelijkheid #1 voor verdere verwerking is 'verenigbaarheid'. De verwerkingsverantwoordelijke mag gegevens verder verwerken voor een ander doel mits dat andere doel verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameldAVG Art. 5 lid 1b. De verwerkingsverantwoordelijke moet dit zelf vaststellen. Ook verdere verwerking ten behoeve van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden blijft mogelijk op voorwaarde dat passende waarborgen voor de bescherming van de persoonsgegevens van de betrokkenen, bijvoorbeeld pseudonimiseringAVG overweging 159, over de scope van 'wetenschappelijk of historisch onderzoek'.
  • Mogelijkheid #2 voor verdere verwerking is gebaseerd op de toestemming van de betrokkene, ook wanneer deze niet verenigbaar is met het doel van de oorspronkelijke verwerking van persoonsgegevens. De aanvaardbaarheid van verdere verwerking op basis van toestemming is in zekere zin een vanzelfsprekendheid. Met de toestemming komt immers tot uitdrukking dat betrokkene zelf de inbreuk op de persoonlijke levenssfeer, die plaatsvindt bij de verwerking van persoonsgegevens, niet bezwaarlijk acht. De toestemming dient wel expliciet en vrijelijk te worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaatAVG Art. 7 en 8. De verwerkingsverantwoordelijke hoeft in geval van toestemming niet te toetsen aan het vereiste van verenigbaarheid.
  • Mogelijkheid #3 voor verdere verwerking is gebaseerd op de wet- en regelgeving die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de bedoelde doelstellingen. De verdere verwerking hoeft ook in dat geval niet verenigbaar te zijn met het oorspronkelijke doel waarvoor de gegevens zijn verzameld en de verwerkingsverantwoordelijke hoeft dan ook niet te toetsen aan het vereiste van verenigbaarheidAVG Art. 6, tweede deel lid 4. De verdere verwerking door de verwerkingsverantwoordelijke is dan gebaseerd op de lidstaatrechtelijke bepaling (een specifieke wettelijke bepaling dus). Gaat het om de nationale veiligheid? Dan valt volgens de Mvt verder verwerken onder het regime van Wpg/Wjsg of de Wet op de inlichtingen en veiligheidsdiensten (Wiv). In andere gevallen moet de verwerkingsverantwoordelijke het verder verwerken toetsen (en motiveren/documenteren) aan de criteria om verenigbaarheid vast te stellen zoals weergegeven onder U.01.02.02.
  • Als de verdere verwerking wordt verricht op basis van mogelijkheid 3, doordat de verwerkingsverantwoordelijke hiertoe wettelijk is verplicht of als de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag, dan dient de verwerking een grondslag te hebben in het wettelijke recht. De AVG schrijft niet voor dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of voor verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang, dan wel voor een taak in het kader van de uitoefening van het openbaar gezag.
  • Het moet ook het Nederlands recht zijn dat het doel van de verwerking bepaalt. Voorts zou dat recht een nadere omschrijving kunnen geven van de algemene voorwaarden van de AVG, waaraan de persoonsgegevensverwerking moet voldoen om rechtmatig te zijn, en van specificaties voor het bepalen van de verwerkingsverantwoordelijke, het type verwerkte persoonsgegevens, de betrokkenen, de entiteiten waaraan de persoonsgegevens mogen worden vrijgegeven, de doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden., de opslagperiode en andere maatregelen om te zorgen voor rechtmatige en behoorlijke verwerking. Ook dient in het wettelijke recht te worden vastgesteld of de verwerkingsverantwoordelijke, die is belast met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag, een overheidsinstantie of een andere publiekrechtelijke persoon moet zijn, of een privaatrechtelijke persoon moet zijn, zoals een beroepsvereniging, indien zulks is gerechtvaardigd om redenen van algemeen belang, waaronder gezondheidsdoeleinden zoals volksgezondheid, sociale bescherming en het beheer van gezondheidszorgdienstenAVG overweging 45.
  • De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd als zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan als de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampenAVG overweging 46.
  • Specifieke uitzonderingsgronden zijn de volgende:AVG Art. 23:
    1. De nationale veiligheid;
    2. Landsverdediging;
    3. De openbare veiligheid;
    4. De voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
    5. Andere belangrijke doelstellingen van algemeen belang van de EU of van een lidstaat, met name een belangrijk economisch of financieel belang van de EU of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
    6. De bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
    7. De voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
    8. Een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a), tot en met e) en punt g) bedoelde gevallen;
    9. De bescherming van de betrokkene of van de rechten en vrijheden van anderen;
    10. De inning van civielrechtelijke vorderingen.
    rechtvaardiging verdere verwerkingUitvoeringOnbekendDe verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, is alleen mogelijk wanneer:
  • De verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld en de verwerkingsverantwoordelijke bij de beoordeling van de verenigbaarheid onder meer rekening houdt metAVG Art. 6 lid 4:
    1. Ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de voorgenomen verdere verwerking;
    2. Het kader waarin de persoonsgegevens zijn verzameld, met name wat betreft de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke;
    3. De aard van de persoonsgegevens, met name of bijzondere categorieën persoonsgegevens worden verwerktAVG Art. 9 en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerktAVG Art. 10;
    4. De mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
    5. Het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering. Of:
  • De verdere verwerking plaatsvindt op basis van de toestemming van betrokkene. Of:
  • Wanneer de verdere verwerking berust op een wettelijke bepaling waarbij een specifieke uitzondering geldt.
  • Doelbinding gegevensverwerking12 juni 2020 20:27:59ISOR:Verdere verwerking i.r.t. ander doelen dan dat waarvoor de persoonsgegevens zijn verzameld is
    Staken van de verwerking op verzoek van betrokkenePRIV_U.03.02.04Norm3.3Actueel13 juni 202016 oktober 2017gecorrigeerd, gestaakt of overgedragenUitvoeringOnbekendBij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG Art. 21 lid 1.Kwaliteitsmanagement13 juni 2020 15:03:43ISOR:Gecorrigeerd- gestaakt of overgedragen- steken van de verwerking op verzoek van betrokkene
    Tijdig informeren bij geen gevolg aan verzoek van betrokkenePRIV_C.02.02.02Norm3.3Actueel19 juni 202016 oktober 2017tijdigControlOnbekendWanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
    • Is de betrokkene onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek meegedeeld waarom het verzoek zonder gevolg is gebleven, en:
    • Is de betrokkene geïnformeerd over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
    Toegang gegevensverwerking voor betrokkenen10 september 2020 12:33:27ISOR:Tijdig verstrekking bij geen gevolg op verzoek van betrokkene
    Tijdig, welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerkingPRIV_U.01.01.01Norm3.3Actueel3 juni 202016 oktober 2017tijdig, welbepaald en uitdrukkelijk omschrevenUitvoeringOnbekendHet doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensverwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG Art. 5 lid 1 en overweging 50.Doelbinding gegevensverwerking12 juni 2020 20:38:06ISOR:Tijdig welbepaald en uitdrukkelijk omschreven- voorafgaand aan begin van de verwerking
    Bijzondere categorieën persoonsgegevens; gezondheidsgegevensPRIV_U.01.04.08Norm3.3Actueel4 juni 202016 oktober 2017rechtvaardiging bijzondere categorieën persoonsgegevensUitvoeringOnbekendDe verwerking van gegevens over gezondheid vindt niet plaats, tenzij de verwerking geschiedt doorUAVG Art. 30 lid 2:
    1. Scholen, voor zover de verwerking met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is;
    2. Een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming, de gecertificeerde instelling, bedoeld in artikel 1.1 van de Jeugdwet, of de rechtspersoon, bedoeld in artikel 256, eerste lid, of artikel 302, tweede lid, van Boek 1 van het Burgerlijk Wetboek, voor zover de verwerking noodzakelijk is voor de uitvoering van de aan hen opgedragen wettelijke taken; of:
    3. Onze Minister en Onze Minister van Justitie en Veiligheid voor zover de verwerking in verband met de tenuitvoerlegging van vrijheidsbenemende maatregelen noodzakelijk is.
    Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.
    Doelbinding gegevensverwerking12 juni 2020 21:04:32ISOR:Bijzondere persoonsgegevens- m.b.t. sexueel gedrag of gerichtheid
    Bijzondere categorieën persoonsgegevens; uitdrukkelijke toestemmingPRIV_U.01.04.01Norm3.3Actueel4 juni 202016 oktober 2017rechtvaardiging bijzondere categorieën persoonsgegevensUitvoeringOnbekendDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleindenUAVG Art. 22. UAVG art. 22 lid 2a is de invulling van AVG Art. 9 lid 2a.
    Hierbij is nagegaan of in het Unierecht of lidstatelijk is bepaald of betrokkene het verbod mag opheffen.
    Voorbeeld BSN: in Nederland kan een persoon niet zelf alsnog toestemming geven voor de verwerking van het BSN bij het ontbreken van een wettelijke grondslag.
    Doelbinding gegevensverwerking12 juni 2020 20:55:30ISOR:Bijzondere persoonsgegevens- m.b.t. ras of etnische afkomst
    Resultaten DPIA in registerPRIV_U.02.02.04Norm3.3Actueel12 juni 202016 oktober 2017
    Toelichting
    • De beschrijving van onderlinge afhankelijkheden geeft inzicht in de context van een verwerking en geeft bij veranderingen aan een verwerkingsproces inzicht in de gevolgen voor andere verwerkingen en omgekeerd.
    • Als gevolg van veranderingen in de context, in het dreigingsbeeld, veranderingen op organisatorisch vlak, veranderingen in de stand der techniek of veranderingen van de verwerkingen, kunnen wijzigingen teweegbrengen in de verwerking zelf of in de waarborgen voor de veilige verwerking. Het register moet actuele relevante informatie bevatten die inzicht geeft in de compliance status en de beoordeling van de mate waarin de waarborgen passend zijn voor de verwerking.
    actueel en samenhangend beeldUitvoeringOnbekendBij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register.Register van verwerkingsactiviteiten12 juni 2020 20:14:34ISOR:Actueel en samenhangend beeld bij nieuwe en bij wijziging van bestaande verwerkingen
    Register van verwerker, in schriftelijke elektronische vormPRIV_U.02.01.05Norm3.3Actueel12 juni 202016 oktober 2017
    Toelichting
    Zie ook de toelichting bij PRIV_U.02.01.02 Register van verwerkingsverantwoordelijke.
    registerUitvoeringOnbekendHet register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.Register van verwerkingsactiviteiten12 juni 2020 21:45:54ISOR:Register van verwerker- in schriftelijke elektronische vorm
    Rechtmatigheid van de verwerking aantonenPRIV_C.01.02.01Norm3.3Actueel18 juni 202016 oktober 2017rechtmatigheid aangetoondControlOnbekendAangetoond is dat, conform PRIV_U.01: Doelbinding, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt.Intern toezicht18 juni 2020 14:15:05ISOR:Rechtmatigheid aangetoond- welbepaalde- uitdrukkelijk omschreven en gerechtvaardigde doeleinden
    Het verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelenPRIV_U.01.08.02Norm3.3Actueel4 juni 202016 oktober 2017
    Toelichting
    Zie ook de toelichting bij PRIV_U.01.08.01 Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belang.
    wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangUitvoeringOnbekendVerwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maatregelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen doorAVG Art. 5 lid 1e:
  • Minimale gegevensverwerking te garanderen;
  • Ervoor te zorgen dat de betrokkene niet meer geïdentificeerd kan worden, bijvoorbeeld door middel van pseudonimisering of anonimisering.
  • Doelbinding gegevensverwerking12 juni 2020 21:39:39ISOR:Eisen aan het verwerken van persoonsgegevens
    Register van verwerker, niet bijgehouden als …PRIV_U.02.01.06Norm3.3Actueel12 juni 202016 oktober 2017
    Toelichting
    Zie ook de toelichting bij PRIV_U.02.01.02 Register van verwerkingsverantwoordelijke.
    registerUitvoeringOnbekendHet register hoeft niet te worden bijgehouden indien:
    1. De onderneming of organisaties minder dan 250 personen in dienst heeft,
    2. Het niet waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen,
    3. De verwerking incidenteel is, en:
    4. Geen verwerking plaatsvindt van bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.
    Register van verwerkingsactiviteiten12 juni 2020 21:47:18ISOR:Register van verwerker- niet bijgehouden als …
    Gedragscode, certificeringPRIV_U.04.02.03Norm3.3Actueel13 juni 202016 oktober 2017een passend beveiligingsniveauUitvoeringOnbekendHet aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn.Beveiligen van de verwerking van persoonsgegevens13 juni 2020 22:59:48ISOR:Passend niveau- aantoonbaarheid
    Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelenPRIV_B.01.02.05Norm3.3Actueel4 juni 202016 oktober 2017wettelijke beginselenBeleidOnbekendBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.Privacy Beleid geeft duidelijkheid en sturing19 juni 2020 07:55:37ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van passende technische en organisatorische maatregelen
    Invulling wettelijke beginselen; beschrijven van garanties bij doorgiftePRIV_B.01.02.08Norm3.3Actueel4 juni 202016 oktober 2017wettelijke beginselenBeleidOnbekendBeschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd.Privacy Beleid geeft duidelijkheid en sturing19 juni 2020 07:52:02ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van garanties bij doorgifte
    Register van verwerkingsverantwoordelijkePRIV_U.02.01.01Norm3.3Actueel12 juni 202016 oktober 2017
    Toelichting
    Het bijhouden van het register van gegevensverwerkingen kan worden uitgevoerd door een gecentraliseerd onderdeel. Dit verbetert de mogelijkheden een actueel en samenhangend beeld te geven. Dit wordt dan doorgaans door het onderdeel Gegevensmanagement uitgevoerd.
    registerUitvoeringOnbekendElke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke.Register van verwerkingsactiviteiten19 juni 2020 08:55:30ISOR:Register van verwerkingsverantwoordelijke
    Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevensPRIV_B.01.02.04Norm3.3Actueel4 juni 202016 oktober 2017wettelijke beginselenBeleidOnbekendBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren.Privacy Beleid geeft duidelijkheid en sturing19 juni 2020 07:41:36ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van juistheid en actualiteit van de gegevens
    Sectorspecifieke bewaartermijnenPRIV_U.06.02.03Norm3.3Actueel16 oktober 201716 oktober 2017bewaartermijnUitvoeringAls in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn.Bewaren van persoonsgegevens16 juni 2020 13:22:06ISOR:Bewaartermijn- is sectorspecifieke wetgeving vastgelegde bewaartermijn
    Gegevens ter identificatie van de betrokkenePRIV_C.02.03.05Norm3.3Actueel19 juni 202016 oktober 2017in een passende vormControlOnbekendDe verantwoordelijke beschikt over gegevens ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig PRIV_U.01: Doelbinding gegevensverwerking) om nog persoonsgegevens van betrokkene te verwerkenAVG Art. 11. Als identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld.Toegang gegevensverwerking voor betrokkenen19 juni 2020 04:01:51ISOR:Passende vorm- gegevens ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.
    Uitzondering op meldplicht aan APPRIV_C.03.04.01Norm3.3Actueel19 juni 202016 oktober 2017uitzonderingControlOnbekendDe verantwoordelijke hoeft het datalek niet te melden aan de AP als:
  • Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, of:
  • Wanneer melding afbreuk zou doen aan een zwaarwegend belang;
  • De verantwoordelijke een aanbieder is van openbare elektronische communicatiediensten zoals bedoeld in de TelecommunicatiewetAVG Art. 95.
  • Meldplicht Datalekken19 juni 2020 06:15:06ISOR:Uitzondering op melden van datalek aan AP
    Doeleinden; rechtmatigheidPRIV_U.01.02.02Norm3.3Actueel3 juni 202016 oktober 2017
    Toelichting
    • Voor de private sector zijn doorgaans de onderdelen 1, 2, 4 en 6 een basis voor verwerking van persoonsgegevens. Ook onderdeel 3 kan een basis zijn voor verwerking van persoonsgegevens in de private sector wanneer er sprake is van een wettelijke verplichting voor een private partijAVG overweging 46.
    • Voor de overheid is met name verwerking op basis van een wettelijke verplichting (onderdeel 3) en verwerking in het belang van uitvoering van een taak van algemeen belang (onderdeel 5) relevant. Deze beide rechtsgrondslagen voor de overheid moeten worden vastgesteld bij het wettelijke recht dat op de verwerkingsverantwoordelijke van toepassing isAVG Art. 6 lid 3. Voorwaarde voor rechtmatige verwerking in het kader van een wettelijke verplichting is dat de verwerking noodzakelijk is om te voldoen aan de wettelijke verplichting. De wettelijke verplichting tot verstrekking van persoonsgegevens is doorgaans zeer precies vastgelegd in sectorspecifieke regelgeving. Dit is echter niet noodzakelijkerwijs het geval. Denkbaar is ook dat verwerking van persoonsgegevens een basis vindt in een ruimer geformuleerde zorgplicht. In dat geval heeft de verwerkingsverantwoordelijke een grotere eigen verantwoordelijkheid inzake het beoordelen van de noodzakelijkheid van de verwerking in het licht van het voldoen aan de wettelijke verplichting. Op dit punt is het wettelijk kader, zoals dat gold onder de WBP, niet veranderdAVG overweging 46.
    • Met betrekking tot de rechtsgrond 'uitvoering van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag' (hierna ook kortweg: 'publieke taak') moet het doel van de verwerking noodzakelijk zijn voor de vervulling van die taak. Naar zijn aard is de publieke taak dynamisch en veranderlijk door de tijd heen. De grenzen van de publieke taak zijn niet altijd op voorhand scherp te trekken. De publieke taak zelf zal echter altijd moeten blijken uit de sectorspecifieke regelgeving die op de verwerkingsverantwoordelijke van toepassing is. Niet noodzakelijk is dat in de sectorspecifieke regelgeving ook expliciet is opgenomen dat ten behoeve van de vervulling van de wettelijke taak gegevens verwerkt mogen worden. Met de wettelijke grondslag voor de publieke taakAVG Art. 6 lid 1 is tevens een grondslag gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van persoonsgegevens. Het doel van de gegevensverwerking is daarbij naar zijn aard wel gebonden aan de uitoefening van die publieke taak en de ruimte voor gegevensverwerking vindt hierin zijn begrenzing. De publiekrechtelijke taak zelf zal moeten blijken uit de voor de verwerkingsverantwoordelijke relevante wettelijke bepalingenAVG overweging 46.
    • De publieke taak noch de gegevensverwerking hoeft uitputtend te zijn geregeld in een wet in formele zin. Voldoende is dat de hoofdlijnen kenbaar zijn uit de wet. Deze lezing strookt ook met het uitgangspunt van het EVRM (https://www.europa-nu.nl/id/vh7dovnw4czu/europees_verdrag_tot_bescherming_van_de) inzake beperking van grondrechten, waarbij de beperking van het privéleven voorzienbaar moet zijn bij wetAVG Art. 8 lid 2. Het begrip 'voorzienbaar bij wet' wordt hierbij opgevat als een materieel wetsbegrip, dat niet beperkt is tot wetten in formele zinAVG overweging 41. In de kern gaat het er om dat voor het individu duidelijk moet zijn, dat zijn persoonsgegevens met betrekking tot een specifieke publieke taak worden verwerkt. Dit kan ook, zoals nu in sommige gevallen wordt aangenomen, volgen uit een samenstel van wettelijke regels die tezamen een publieke taak aanduiden. Het begrip publieke taak moet dus breed worden gelezen, mede in het licht van de overwegingen bij de AVG, maar die publieke taak moet wel voldoende duidelijk blijken uit nationaal recht. AVG Art. 6, lid 1e, is geen zelfstandige rechtsbasis voor gegevensverwerking, gelet op het derde lid van deze bepaling.
    • Als van het doel van de verwerking de rechtmatigheid wordt vastgesteld en als de verwerking betrekking heeft op het algemeen belang volgens punt 5): "noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke", dan kan die rechtsgrond specifieke bepalingen bevatten om de toepassing van de regels van de AVG aan te passen, met inbegrip van de algemene voorwaarden inzake:
    1. De rechtmatigheid van verwerking door de verwerkingsverantwoordelijke;
    2. De types verwerkte gegevens;
    3. De betrokkenen;
    4. De entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt;
    5. De doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.;
    6. De opslagperioden, en:
    7. De verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX van de AVG.
    • Met betrekking tot onderdelen 3 en 5 geldt dat het Nederlands recht moet beantwoorden aan een doelstelling van algemeen belang en evenredig moet zijn met het nagestreefde gerechtvaardigde doelAVG Art. 6.
    • Bij onderdeel 6 is voor de overheid van belang dat dit onderdeel niet geldt voor overheidsinstanties in het kader van de uitoefening van hun taak. Overheidsinstanties zullen bij het uitoefenen van hun taak geen gebruik kunnen maken van de grondslag 'gerechtvaardigd belang', maar zullen voor dit gebruik moeten kunnen aangeven dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Dit geldt niet voor zover de overheidsinstantie 'typisch bedrijfsmatige handelingen' verricht waarbij persoonsgegevens worden verwerkt, zoals de verwerking van persoonsgegevens die noodzakelijk is voor de beveiliging van overheidsgebouwen. Voor handelingen die buiten de uitoefening van de wettelijke taak vallen mag wel een grondslag worden aangenomen in het gerechtvaardigd belang van de organisatie. De overheid onderscheidt zich hierin niet wezenlijk van een private partijAVG overweging 47.
    doeleindenUitvoeringOnbekendDe verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG Art. 6 lid 1:
    1. De betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
    2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
    3. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Deze rechtsgrond moet zijn vastgesteld bij het Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing isAVG Art. 6 lid 3;
    4. De verwerking is noodzakelijk om vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
    5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Deze rechtsgrond moet zijn vastgesteld bij het Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing isAVG Art. 6 lid 3;
    6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Dit onderdeel (punt 6) geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun wettelijke taken.
    Doelbinding gegevensverwerking12 juni 2020 20:47:32ISOR:Doeleinden- rechtmatig
    Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrektPRIV_U.03.03.02Norm3.3Vervangen13 juni 202016 oktober 2017NB: ID PRIV_U.03.03.02 wordt niet opgevuld (ivm verwijzing naar deze ID nummers in gerelateerde cip-documenten).geïnformeerdDe verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaan.Kwaliteitsmanagement13 juni 2020 19:40:10ISOR:Geïnformeerd- betrokkene aan wie correctie mededelingen zijn verstrekt
    Persoonsgegevens van strafrechtelijke aardPRIV_U.01.05.01Norm3.3Actueel4 juni 202016 oktober 2017
    Toelichting
    • Opsporingsinstanties dienen eerst na te gaan of Richtlijn (EU) 2016/680 van 27 april 2016 van toepassing is inzage de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen en betreffende het vrije verkeer van die gegevens.
    • De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid en het vrije verkeer van die gegevens wordt geregeld in een specifieke rechtshandeling van de Unie. De AVG mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Overeenkomstig de AVG door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad. De lidstaten kunnen bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de AVG valt, voor zover zij binnen het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de Uniewetgeving valtAVG overweging 19.
    • Het aanwijzen van mogelijke strafbare feiten of gevaren voor de openbare veiligheid door de verwerkingsverantwoordelijke en de doorzending van de desbetreffende persoonsgegevens in individuele zaken of in verschillende zaken die met hetzelfde strafbare feit of dezelfde gevaren voor de openbare veiligheid te maken hebben, aan een bevoegde instantie moeten worden beschouwd als zijnde in het gerechtvaardigde belang van de verwerkingsverantwoordelijke. De doorgifte in het gerechtvaardigde belang van de verwerkingsverantwoordelijke of de verdere verwerking van persoonsgegevens moeten evenwel worden verboden wanneer de verwerking niet verenigbaar is met een wettelijke, beroepsmatige of anderszins bindende geheimhoudingsplichtAVG overweging 50.
    strafrechtelijke veroordelingen en strafbare feitenUitvoeringOnbekendPersoonsgegevens van strafrechtelijke aard mogen worden verwerktUAVG Art. 32. indien:
    1. De betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden;
    2. De verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon, indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;
    3. De verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
    4. De verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid.
    Doelbinding gegevensverwerking12 juni 2020 21:11:22ISOR:Strafrechtelijke veroordelingen en strafbare feiten
    Tijdig, welbepaald en uitdrukkelijk omschreven; SMARTPRIV_U.01.01.04Norm3.3Actueel3 juni 202016 oktober 2017
    Toelichting
    • Het verzamelen en verwerken van persoonsgegevens 'uitsluitend omdat dat in de toekomst misschien wel handig kan zijn', is als doel niet voldoende welbepaald en daarom onrechtmatig.
    • Gegevens mogen voor meerdere doelen verzameld en verwerkt worden (zie https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming pag. 35). Voor al deze doelen afzonderlijk geldt dat ze tijdig moeten worden vastgesteld, gerechtvaardigd zijn en welbepaald en uitdrukkelijk zijn omschreven.
    • Een voldoende SMART omschrijving houdt in:
    1. Specifiek: de doelstelling is eenduidig;
    2. Meetbaar: er zijn meetbare/observeerbare voorwaarden waardoor het doel bereikt kan worden;
    3. Acceptabel: het doel is acceptabel voor de doelgroep en/of management en iemand neemt zijn verantwoordelijkheid voor het juist realiseren van dit doel;
    4. Realistisch: de doelstelling is haalbaar;
    5. Tijdgebonden: er is bepaald wanneer (in de tijd) het doel bereikt moet zijn.
    tijdig, welbepaald en uitdrukkelijk omschrevenUitvoeringOnbekendHet doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden.Doelbinding gegevensverwerking4 juni 2020 20:39:58ISOR:Tijdig welbepaald en uitdrukkelijk omschreven- SMART
    Termijn voor melden aan APPRIV_C.03.02.02Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    Als en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, dan kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
    gestelde termijnControlOnbekendDe melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen.Meldplicht Datalekken19 juni 2020 06:36:49ISOR:Termijn melden aan AP
    Passende maatregelen, technisch en organisatorischPRIV_B.03.02.01Norm3.3Actueel20 mei 202016 oktober 2017
    Toelichting
    • De maatregelen zijn passend voor de waarschijnlijkheid en ernst van de risico's voor de rechten en vrijheden van natuurlijke personen. Hierbij wordt rekening houdend metAVG Art. 24 lid 1:
      • De aard;
      • De omvang;
      • De context, en:
      • Het doel van de verwerking.
    • Bij het bepalen van wat passend is wordt rekening gehouden met de waarschijnlijkheid en de ernst van de risico's, met name waar de verwerkingAVG Overweging 75 kan leiden tot:
      • Discriminatie,
      • Identiteitsdiefstal of -fraude,
      • Financiële verliezen,
      • Reputatieschade,
      • Verlies van vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van door het beroepsgeheim beschermde persoonsgegevens,
      • Het ongeoorloofd ongedaan maken van pseudonimisering, of:
      • Enig ander aanzienlijk economisch of maatschappelijk nadeel; of wanneer:
      • Betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen;
      • Persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen of vakbondslidmaatschap blijkt en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen;
      • Persoonlijke aspecten worden geëvalueerd om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheidDe mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. of gedrag, locatie of verplaatsingen te analyseren of te voorspellen teneinde persoonlijke profielen op te stellen of te gebruiken;
      • Persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt;
      • De verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.
    passende maatregelenBeleidOnbekendDe maatregelen bestaan uit technische en organisatorische maatregelen.Risicomanagement, Privacy by Design en de DPIA19 juni 2020 09:29:26ISOR:Passende maatregelen- technisch en organisatorisch
    Notificatie bij rectificatie, gegevenswissing of verwerkingsbeperkingPRIV_U.03.03.01Norm3.3Actueel13 juni 202016 oktober 2017geïnformeerdUitvoeringOnbekendDe verwerkingsverantwoordelijke stelt iedere ontvanger, aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoektAVG Art. 19.Kwaliteitsmanagement13 juni 2020 15:45:29ISOR:Geïnformeerd- van iedere ontvanger van elke rectificatie- gegevenswissing of verwerkingsbeperking
    Vooraf in kennis stellen van (voornemen tot) verdere verwerkingPRIV_U.01.03.02Norm3.3Actueel3 juni 202016 oktober 2017rechtvaardiging verdere verwerkingUitvoeringOnbekendWanneer de verwerkingsverantwoordelijke zich een verdere verwerking voorneemt dan moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61.Doelbinding gegevensverwerking19 juni 2020 08:33:22ISOR:Voornemens voor verdere verwerking
    Toestemming indien kind jonger is dan 16 jaarPRIV_U.05.04.02Norm3.3Actueel15 juni 202016 oktober 2017
    Toelichting
    De verwerkingsverantwoordelijke doet, met inachtneming van de beschikbare technologie, redelijke inspanningen om te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat of machtiging tot toestemming heeft verleendAVG Art. 8 lid 2.
    toestemmingUitvoeringOnbekendBij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG Art. 8.Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens15 juni 2020 16:15:04ISOR:Toestemming- toestemming of machtiging door ouderlijk verantwoordelijke
    Persoonsgegevens van strafrechtelijke aard; eisen aan de verwerkingPRIV_U.01.05.02Norm3.3Actueel4 juni 202016 oktober 2017
    Toelichting
    NB: zie de toelichting bij PRIV_U.01.05.01 Persoonsgegevens van strafrechtelijke aard.
    strafrechtelijke veroordelingen en strafbare feitenUitvoeringOnbekendPersoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen worden verwerktUAVG Art. 33. indien:
    • De verwerking geschiedt door organen die krachtens de wet zijn belast met de toepassing van het strafrecht, alsmede door verwerkingsverantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens (WPG) of de Wet justitiële en strafvorderlijke gegevens (WJSG);
    • De verwerking geschiedt door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken, indien:
    1. De verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken; en
    2. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;

    of:

    • De verwerking noodzakelijk is in aanvulling op de verwerking van gegevens over gezondheid, bedoeld in de UAVG Art. 30, derde lid, aanhef en onderdeel a, met het oog op een goede behandeling of verzorging van de betrokkene;
    • Persoonsgegevens van strafrechtelijke aard mogen worden verwerkt door de verwerkingsverantwoordelijke die deze gegevens ten eigen behoeve verwerkt:
    1. Ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren, of:
    2. Ter bescherming van zijn belangen voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn;
    • Persoonsgegevens van strafrechtelijke aard over personeel in dienst van de verwerkingsverantwoordelijke mogen uitsluitend worden verwerkt, indien dit geschiedt overeenkomstig de regels die zijn vastgesteld in overeenstemming met de procedures in de Wet op de ondernemingsraden voor zover het persoonsgegevens van strafrechtelijke aard over personeel in dienst van de verwerkingsverantwoordelijke betreft;
    • Persoonsgegevens van strafrechtelijke aard mogen ten behoeve van derden worden verwerkt, indien:
    1. Door verwerkingsverantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus (WPBR);
    2. Door een verwerkingsverantwoordelijke die tevens rechtspersoon is en in dezelfde groep is verbonden als bedoeld in artikel 2:24b van het Burgerlijk Wetboek, of:
    3. Door een verwerkingsverantwoordelijke die hiervoor van de AP een vergunning heeft verkregen.
    Doelbinding gegevensverwerking19 juni 2020 08:37:02ISOR:Strafrechtelijke veroordelingen en strafbare feiten- eisen aan de verwerking
    Bijzondere categorieën persoonsgegevens; algemeen belang i.r.t volksgezondheidPRIV_U.01.04.10Norm3.3Actueel4 juni 202016 oktober 2017rechtvaardiging bijzondere categorieën persoonsgegevensUitvoeringOnbekendDe verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking plaatsvindt vanuit het algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheimAVG Art. 9 lid 2i).Doelbinding gegevensverwerking12 juni 2020 21:08:57ISOR:Bijzondere persoonsgegevens- m.b.t. noodzakelijke uitzonderingen
    Geautomatiseerde besluitvorming; niet, tenzijPRIV_U.01.07.01Norm3.3Actueel4 juni 202016 oktober 2017
    Toelichting
    • De betrokkene dient het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluitAVG overweging 66.
    • Het begrip 'besluit' in de zin van de AVG dient hierbij ruimer te worden gelezen dan het besluitbegrip uit de ABW; ook private partijen vallen onder de reikwijdte van deze bepaling wanneer ze gebruik maken van geautomatiseerde besluitvorming.
    • Wanneer sprake is van uitoefening van gebonden bevoegdheden met geringe beoordelingsruimte, heeft menselijke tussenkomst bij besluitvorming in beginsel geen meerwaarde. De risico's die de verordening beoogt in te dammen doen zich hier feitelijk niet voorToelichting AVG op AVG Art. 38. Ook de private sector heeft enige ruimte om, bij de vervulling van wettelijke verplichtingen, gebruik te maken van geautomatiseerde besluitvorming, anders dan op basis van profilering, zonder menselijke tussenkomstToelichting AVG bij AVG Art. 38.
    • De negatieve kenmerken van een bepaalde groep mogen niet tegengeworpen worden aan een individu. Het individu hoeft deze kenmerken namelijk helemaal niet te hebben.
    • Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten. In de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden is de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt niet vereistAVG overweging 38.
    • Indien de geautomatiseerde individuele besluitvorming, anders dan op basis van profilering, is toegestaan bij de wet- en regelgeving is dit toegestaan, omdat dit noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is ter uitvoering van een taak van algemeen belangAVG Art. 38 lid 1 ; UAVG Art. 40 lid 1.
    geautomatiseerde besluitvormingUitvoeringOnbekendEen betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluitAVG Art. 22 lid 1:
    1. Noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke, of:
    2. Is toegestaan bij de wet- en regelgeving die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of:
    3. Berust op de uitdrukkelijke toestemming van de betrokkene.
    Doelbinding gegevensverwerking19 juni 2020 09:47:27ISOR:Geautomatiseerde besluitvorming- geen geautomatiseerde individuele besluitvorming tenzij
    Privacybeleid; duidelijkheid over naleving en verantwoordingsplichtPRIV_B.01.01.01Norm3.3Actueel25 mei 202016 oktober 2017privacybeleidBeleidOnbekendHet beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG Art. 5 lid 2.Privacy Beleid geeft duidelijkheid en sturing19 juni 2020 09:19:28ISOR:Privacybeleid; duidelijkheid inzake verantwoordingsplicht
    Functionaris GegevensbeschermingPRIV_B.02.01.02Norm3.3Actueel19 mei 202016 oktober 2017
    Toelichting
    • De AP houdt een openbaar register bij van FG's.
    • Eisen aan de FG:
      • Bereikbaarheid. Een concern kan één FG benoemen, op voorwaarde dat de FG vanuit elke vestiging makkelijk te contacteren is. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan met inachtneming van hun organisatiestructuren en omvang één FG worden aangewezen voor verschillende dergelijke instanties of organen.
      • Voor een of meerdere organisaties. De FG kan optreden voor verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.
      • Professionele kwaliteiten. De FG wordt aangewezen op grond van zijn professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming. Hij moet bijvoorbeeld over toereikende kennis beschikken van de organisatie, van de gegevensverwerkingen die zich binnen de organisatie afspelen, van de belangen die daarbij betrokken zijn en uiteraard kennis van de privacywetgeving die op de verwerkingen binnen zijn organisatie van toepassing is. Hij moet betrouwbaar zijn en het vermogen hebben alle bij de verwerkingen betrokken belangen op een onafhankelijke wijze tegen elkaar te kunnen afwegen. Hij moet met name de volgende taken kunnen vervullen:
        • Informeren en adviseren van de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken over hun verplichtingen uit hoofde van de AVG en andere wettelijke gegevensbeschermingsbepalingen;
        • Toezien op het naleven van de AVG, van andere wettelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
        • Desgevraagd verstrekken van advies met betrekking tot de DPIA en het toezien op de uitvoering daarvan;
        • Samenwerken met de AP;
        • Optreden als contactpunt voor de AP inzake met verwerking verband houdende aangelegenheden, met inbegrip van de voorafgaande raadpleging ten behoeve van de gegevensbeschermingseffectbeoordeling (DPIA - zie PRIV_B.03 Risicomanagement, Privacy by Design en de DPIA) en waar passend, overleg plegen over enige andere aangelegenheid.
        • Naar behoren rekening houden met de aan verwerkingen verbonden risico's en met de aard, de omvang, de context en de verwerkingsdoeleinden.
      • Positie. De FG kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of de taken op grond van een dienstverleningsovereenkomst verrichten. De FG vervult zijn taken in onafhankelijkheid waarbij de verwerkingsverantwoordelijke de FG ondersteunt om de taken naar behoren uit te kunnen voeren. Dit betekent onder meer dat hem daartoe de benodigde menskracht en middelen ter beschikking worden gesteld. De FG geniet ontslagbescherming voor de wijze waarop hij invulling geeft aan de taakuitvoering. De FG is in het algemeen met betrekking tot de uitvoering van zijn taken binnen de geldende wetgeving gehouden tot geheimhouding of vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen. Hij heeft in het bijzonder ook een geheimhoudingsplicht ten aanzien van hetgeen hem of haar op grond van een klacht of een verzoek van een betrokkene is bekend geworden, tenzij de betrokkene toestemt in bekendmakingUAVG Art. 39.
      • Andere Taken. De FG kan andere taken en plichten vervullen. Deze taken of plichten mogen niet tot een belangenconflict leiden.
    verdeling van de taken en verantwoordelijkhedenBeleidOnbekendDe verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:


    Het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
    Een stelselmatige observatie op grote schaal is vereist: een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
    De gegevens betreffen bijzondere categorieën persoonsgegevens, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens, conform U.01/04 of AVG Art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of AVG Art. 10 (zie PRIV_U.01: Doelbinding gegevensverwerking).

    In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een FG hebben aangewezen.
    Organieke inbedding19 juni 2020 08:24:54ISOR:Functionaris Gegevensbescherming
    Datalek melden aan betrokkenePRIV_C.03.01.03Norm3.3Actueel19 juni 202016 oktober 2017
    Toelichting
    meldt een datalekControlOnbekendEen datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02).Meldplicht Datalekken19 juni 2020 05:04:50ISOR:Meldt een datalek- melding aan betrokkene
    Privacybeleid i.r.t. wet- en regelgevingPRIV_B.01.01.04Norm3.3Actueel18 mei 202016 oktober 2017
    Toelichting
    De organisatie bepaalt aan de hand van een analyse of zij de passende maatregelen kan nemen die vanuit de van toepassing zijnde wet- en regelgeving worden vereist.
    privacybeleidBeleidOnbekendDe organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden.Privacy Beleid geeft duidelijkheid en sturing12 juni 2020 21:55:14ISOR:Privacybeleid i.r.t. wet- en regelgeving
    Het beoordelen van de privacyrisico's, bij wijzigingenPRIV_B.03.01.03Norm3.3Actueel16 oktober 201720 mei 2020het beoordelen van de privacyrisico'sBeleidOnbekendTen minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11..Risicomanagement, Privacy by Design en de DPIA20 mei 2020 10:05:45ISOR:Het beoordelen van de privacyrisico's- bij wijigingen
    Bewaartermijnen worden vastgesteld en bekrachtigdPRIV_U.06.02.01Norm3.3Actueel16 juni 202016 oktober 2017
    Toelichting
    Soms vereist het bereiken van een doel juist dat persoonsgegeven bewaard blijven, bijv. iemands emailadres moet bewaard blijven voor nazending van berichten.
    bewaartermijnUitvoeringOnbekendVan alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd.Bewaren van persoonsgegevens16 juni 2020 13:11:06ISOR:Bewaartermijn- vastgesteld en bekrachtigd
    Passende waarborgen bij afwezigheid adequaatheidsbesluitPRIV_U.07.06.01Norm3.3Actueel16 juni 202016 oktober 2017
    Toelichting
    Wanneer de waarborgen kunnen worden geboden, is voor de verwerking geen specifieke toestemming van een AP vereist.
    passende waarborgenUitvoeringOnbekendWanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG Art. 46:
    1. Een juridisch bindend en afdwingbaar instrument is tussen overheidsinstanties of -organen;
    2. Door de AP goedgekeurde bindende bedrijfsvoorschriften zijn;
    3. standaardbepalingen zijn inzake gegevensbescherming die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn vastgesteld ;
    4. Standaardbepalingen zijn inzake gegevensbescherming die door een AP zijn vastgesteld en die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn goedgekeurd ;
    5. Een goedgekeurde gedragscode is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen toe te passen, waaronder waarborgen voor de rechten van de betrokkenen;
    6. Een goedgekeurd certificeringmechanisme is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen, of:
    7. Door de AP passende waarborgen zijn, waarbij er met name:
      1. Contractbepalingen zijn tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of:
      2. Bepalingen zijn opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.
    Doorgifte persoonsgegevens16 juni 2020 21:34:18ISOR:Passende waarborgen bij afwezigheid adequaatheidsbesluit
    Toezien op het voldoen aan de wettelijke verplichtingenPRIV_C.01.01.01Norm3.3Actueel18 juni 202016 oktober 2017
    • Als de verantwoordelijke op de hoogte is van een schending van de privacy en hij laat na om de nodige maatregelen te treffen om deze schending te beëindigen, dan is hij hierop aanspreekbaar. Hij moet daarom tijdig de nodige maatregelen treffen. De 'nodige maatregelen' bestaan uit corrigerende maatregelen die het mogelijk maken binnen een passende termijn de schending van de privacy te beëindigen.
    • Als de FG onregelmatigheden heeft aangetroffen, dan meldt hij dit bij de verantwoordelijke of de organisatie waarvoor hij is aangesteld en geeft hij adviezen over de juiste uitvoering van de privacyverplichtingen.
    evaluatieControlOnbekendDe verantwoordelijke en - indien aangesteld - de Functionaris voor gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd.Intern toezicht18 juni 2020 13:57:56ISOR:Evaluatie- controle op het voldoen aan wettelijke verplichtingen
    Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt.PRIV_U.01.05.04Norm3.1Vervangen16 oktober 2017Opsporingsinstanties dienen eerst na te gaan of Richtlijn (EU) 2016/680 van 27 april 2016 van toepassing is inzage de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen en betreffende het vrije verkeer van die gegevens.

    De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid en het vrije verkeer van die gegevens wordt geregeld in een specifieke rechtshandeling van de Unie. De Avg mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Overeenkomstig de Avg door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad. De lidstaten kunnen bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de Avg valt, voor zover zij binnen het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de Uniewetgeving valtAVG overweging 19..

    Het aanwijzen van mogelijke strafbare feiten of gevaren voor de openbare veiligheid door de verwerkingsverantwoordelijke en de doorzending van de desbetreffende persoonsgegevens in individuele zaken of in verschillende zaken die met hetzelfde strafbare feit of dezelfde gevaren voor de openbare veiligheid te maken hebben, aan een bevoegde instantie moeten worden beschouwd als zijnde in het gerechtvaardigde belang van de verwerkingsverantwoordelijke. De doorgifte in het gerechtvaardigde belang van de verwerkingsverantwoordelijke of de verdere verwerking van persoonsgegevens moeten evenwel worden verboden wanneer de verwerking niet verenigbaar is met een wettelijke, beroepsmatige of anderszins bindende geheimhoudingsplichtAVG overweging 50..
    strafrechtelijke veroordelingen en strafbare feitenUitvoeringHet verbod om persoonsgegevens te verwerken, is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevens voor de doeleinden waarvoor deze gegevens worden verwerktUitvoeringswet AVG art. 31 lid 3..Doelbinding gegevensverwerking5 juni 2020 01:26:41ISOR:Strafrechtelijke veroordelingen en strafbare feiten- verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt.
    Uitzonderingsgrond voor doorgiftePRIV_U.07.04.02Norm3.3Actueel16 juni 202016 oktober 2017uitzonderingsgrondUitvoeringOnbekendDe doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie.Doorgifte persoonsgegevens16 juni 2020 21:14:14ISOR:Uitzonderingsgrond t.a.v. doorgifte
    Aanvulling op verzoek van betrokkenePRIV_U.03.02.02Norm3.3Actueel13 juni 202016 oktober 2017gecorrigeerd, gestaakt of overgedragenUitvoeringOnbekendOp verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG Art. 16 lid 1.Kwaliteitsmanagement13 juni 2020 14:23:47ISOR:Gecorrigeerd- gestaakt of overgedragen- vervollediging op verzoek van betrokkene
    Passende maatregelen, continuïteitPRIV_B.03.02.03Norm3.3Actueel20 mei 202016 oktober 2017passende maatregelenBeleidOnbekendDe maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's)Risicomanagement, Privacy by Design en de DPIA20 mei 2020 11:21:13ISOR:Passende maatregelen- continuíteit
    Benodigde middelenPRIV_B.02.02.01Norm3.3Actueel19 mei 202016 oktober 2017
    Toelichting
    • Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen om te kunnen voldoen aan het privacybeleid; waaronder:
      • de middelen voor interne bewustwording en doelgroepgerichte training van medewerkers op privacybestendig werken;
      • De middelen voor het faciliteren van transparantieInzicht in de werkwijze die de overheid hanteert. voor betrokkenen (zoals inzage);
      • De (technische) mogelijkheid om persoonsgegevens te kunnen corrigeren;
      • De (technische) mogelijkheid om persoonsgegevens te anonimiseren of verwijderen;
      • De middelen voor (publieks)voorlichting;
      • De middelen voor adequaat en onafhankelijk toezicht, bijvoorbeeld door de toewijzing van een FG.
    benodigde middelenBeleidOnbekendGekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.Organieke inbedding4 juni 2020 21:18:32ISOR:Benodigde middelen
    Identificatie van betrokkenePRIV_U.03.03.07Norm3.3Actueel13 juni 202016 oktober 2017NB: ID aangepast naar PRIV_U.03.03.07 was PRIV_U.03.03.08



    Toelichting

    De verwerkingsverantwoordelijke kan, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkeneUAVG Art. 12 lid 6 en overwegingen 58, 59.
    geïnformeerdUitvoeringOnbekendWanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 11 en 12; zie ook AVG overweging 57.Kwaliteitsmanagement13 juni 2020 20:08:51ISOR:Geïnformeerd- identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van betrokkene
    Passende maatregelen, passendPRIV_B.03.02.02Norm3.3Actueel20 mei 202016 oktober 2017
    Toelichting
    • Hierbij wordt gekeken naar de verwerkingsmiddelen en de verwerking.
    • Zie ook de (toekomstige) lijst van de AP waarvoor dit wel en waarvoor dit niet geldt. Uitzondering hieropAVG Art. 35 lid 10 zijn verwerkingen uit hoofde van een wettelijke verplichting of voor de invulling van algemeen belang (zie U.01).
    • Privacy by design and by default betekent feitelijk dat de verwerkingsverantwoordelijke vanaf het begin privacyoverwegingen betrekt bij het opstellen van nieuw beleid en het ontwerp van nieuwe verwerkingen van persoonsgegevensMvt Uitvoeringswet UAVG Par. 5.2.1.
    • Privacy by design voorkomt dure reparatie achteraf.
    • De Privacy by Design en privacy by default verplichting geldt voor:
      • De hoeveelheid verzamelde persoonsgegevens;
      • De mate waarin zij worden verwerkt;
      • De termijn waarvoor zij worden opgeslagen, en:
      • De toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. daarvan.
    • Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. Denk hierbij bijvoorbeeld aan pseudonimisering (zie ook U.04) en minimale gegevensverwerking (alleen verwerken wat nodig is).
    passende maatregelenBeleidOnbekendPassende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25.Risicomanagement, Privacy by Design en de DPIA4 juni 2020 21:11:27ISOR:Passende maatregelen- passend
    Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de ORPRIV_U.01.05.03Norm3.1Vervangen16 oktober 2017Opsporingsinstanties dienen eerst na te gaan of Richtlijn (EU) 2016/680 van 27 april 2016 van toepassing is inzage de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen en betreffende het vrije verkeer van die gegevens.

    De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid en het vrije verkeer van die gegevens wordt geregeld in een specifieke rechtshandeling van de Unie. De Avg mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Overeenkomstig de Avg door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad. De lidstaten kunnen bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de Avg valt, voor zover zij binnen het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de Uniewetgeving valtAVG overweging 19..

    Het aanwijzen van mogelijke strafbare feiten of gevaren voor de openbare veiligheid door de verwerkingsverantwoordelijke en de doorzending van de desbetreffende persoonsgegevens in individuele zaken of in verschillende zaken die met hetzelfde strafbare feit of dezelfde gevaren voor de openbare veiligheid te maken hebben, aan een bevoegde instantie moeten worden beschouwd als zijnde in het gerechtvaardigde belang van de verwerkingsverantwoordelijke. De doorgifte in het gerechtvaardigde belang van de verwerkingsverantwoordelijke of de verdere verwerking van persoonsgegevens moeten evenwel worden verboden wanneer de verwerking niet verenigbaar is met een wettelijke, beroepsmatige of anderszins bindende geheimhoudingsplichtAVG overweging 50..
    strafrechtelijke veroordelingen en strafbare feitenUitvoeringDe verwerking van de gegevens over personeel in dienst van de verwerkingsverantwoordelijke, vindt plaats overeenkomstig regels die zijn vastgesteld in overeenstemming met de procedure als bedoeld in de Wet op de ondernemingsradenUitvoeringswet AVG art. 31 lid 2..Doelbinding gegevensverwerking5 juni 2020 01:23:12ISOR:Strafrechtelijke veroordelingen en strafbare feiten- i.r.t. de OR
    Informatie over afwikkeling correctieverzoekPRIV_U.03.03.03Norm3.3Actueel13 juni 202016 oktober 2017geïnformeerdUitvoeringOnbekendDe verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging.Kwaliteitsmanagement13 juni 2020 18:12:21ISOR:Geïnformeerd- bretrokkene over gevolg van verzoek van betrokken
    RapporteringslijnenPRIV_B.02.03.01Norm3.3Actueel19 mei 202016 oktober 2017rapporteringslijnenBeleidOnbekendDe rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd.Organieke inbedding19 mei 2020 21:45:56ISOR:Rapporteringsmiddelen
    Informeren bij toestemming soms niet verplichtPRIV_U.05.03.01Norm3.3Actueel15 juni 202016 oktober 2017
    Toelichting
    • De verantwoordelijke moet kunnen aantonen dat de betrokkene reeds op de hoogte is, wil hij zich kunnen beroepen op deze uitzonderingsgrond.
    • Als de betrokkene over de informatie beschikt, bijv. doordat deze aan hem is overhandigd of toegezonden, dan is hij daarmee op de hoogte, ongeacht of hij het initiatief neemt de informatie tot zich te nemen Mvt WBP, Tweede Kamer, vergaderjaar 1997–1998, 25 892, nr.3, pp.151, 152.
    • De volgende specifieke uitzonderingsgronden worden gesteldAVG Art. 23:
      1. de nationale veiligheid;
      2. landsverdediging;
      3. de openbare veiligheid;
      4. de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
      5. andere belangrijke doelstellingen van algemeen belang van de EU of van een lidstaat, met name een belangrijk economisch of financieel belang van de EU of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
      6. de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
      7. de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
      8. een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten 1 tot en met 5 en punt 7 bedoelde gevallen;
      9. de bescherming van de betrokkene of van de rechten en vrijheden van anderen;
      10. de inning van civielrechtelijke vorderingen.
    • Bij de toepassing van de uitzonderingsgronden houdt de verwerkingsverantwoordelijke rekening met in ieder geval, voor zover van toepassing AVG Art. 23 lid 2 en UAVG Art. 41 lid 2:
      1. De doeleinden van de verwerking of van de categorieën van verwerking;
      2. De categorieën persoonsgegevens;
      3. Het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de ingevoerde beperkingen;
      4. De waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;
      5. De specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken;
      6. De opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking;
      7. De risico's voor de rechten en vrijheden van de betrokkenen; en
      8. Het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.
    uitzonderingUitvoeringOnbekendDe verplichting tot het verstrekken van informatie geldt niet, indien:
    1. De betrokkene reeds over de informatie beschikt;
    2. Het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen;
    3. De verwezenlijking van de doeleinden van de verwerking onmogelijk dreigt te worden of ernstig in het gedrang dreigt te brengen; in dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie;
    4. Het verkrijgen of verstrekken van de gegevens uitdrukkelijk wettelijk is voorgeschreven en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, of:
    5. De persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim, waaronder een statutaire geheimhoudingsplicht;
    6. Wanneer de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldt;
    7. Het de verwerking betreft van persoonsgegevens die deel uitmaken van archiefbescheiden en die op grond van de Archiefwet niet voor vernietiging in aanmerking komen en zijn overgebracht naar een archiefbewaarplaats. Zie Mvt UAVG, toelichting bij art. 41.
    Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens19 juni 2020 09:41:39ISOR:Toestemming- vrijelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat
    Verdeling taken en verantwoordelijkhedenPRIV_B.02.01.01Norm3.3Actueel19 mei 202016 oktober 2017verdeling van de taken en verantwoordelijkhedenBeleidOnbekendDe eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is.Organieke inbedding19 juni 2020 08:27:26ISOR:Verdeling taken en verantwoordelijkheden
    De Privacy BaselinePRIVNormenkader3.3Actueel29 oktober 202016 oktober 2017De Privacy Baseline is een product van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en een onderdeel van de documentenreeks 'Grip op privacy'. Het doel van deze documentenreeks is praktische handvatten bieden aan organisaties die privacy in beleid en uitvoering controleerbaar willen implementeren.

    Dit normenkader heeft betrekking op het onderwerp Privacy en bestaat uit privacyprincipes, onderliggende normen en begeleidende teksten. Deze wiki-versie is gebaseerd op en bedoeld als opvolger van versie 3.2; de overeenkomstige 'traditionele' publicatie vind je hier: Privacy Baseline versie 3.3.

    De Privacy Baseline en ISOR

    Voor de Privacy Baseline zijn de privacyprincipes uit de wet AVG gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat doorgaans gebruikt wordt voor Informatiebeveiliging. Omdat het normenkader tevens is gevormd naar de uitgangspunten van de SIVA-methode, is ervoor gekozen de Privacy Baseline ook in de ISOR te plaatsen, zoveel mogelijk in hetzelfde format als de normenkaders voor Informatiebeveiliging. Dat gaat aan de oppervlakte goed, maar er is een verschil in ontstaansgeschiedenis en dat betreft de indeling van de principes en onderliggende normen in Invalshoeken. Dit is een belangrijk kernonderdeel van de SIVA-methode, voorafgaand aan het opstellen van de principes en normen, om lacunes in de objectenanalyse te ontdekken.
    Het onderwerp van de Privacy Baseline is echter niet Privacy, maar de Privacywetgeving. De pretentie van de Privacy Baseline niet om de wet op volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en consistentie te toetsen, doch om de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem een handzame en geannoteerde set van toetsbare criteria mee te geven die hem helpen zich aan de wet te houden. In de Privacy Baseline zal daarom bij invalshoek 'Onbekend' staan.

    De aspecten B, U en C binnen de Privacy Baseline

    De aspecten B, U en C clusteren respectievelijk de principes, criteria en normen voor het Beleidsdomein, het Uitvoeringsdomein en het Control- of Beheerdomein.

    Het beleidsdomein
    Het uitvoeringsdomein
    Het control- of beheerdomein
    Via deze startpagina's kom je gemakkelijk bij de desbetreffende principes en normen door naar beneden te scrollen.
    Voorwoord
    Inleiding/leeswijzer
    Aanvullende informatie
    Baseline format
    Privacyprincipes en -normen gesorteerd op conformiteitsindicator
    30029 oktober 2020 09:59:39De Privacy Baseline
    Privacy Beleid: het beleidsdomeinPRIV_BNormenkader-aspect3.3Actueel18 juni 2020In dit onderdeel van de Privacy Baseline zijn de richtlijnen opgenomen voor het algemeen beleid rondom privacy. Met dit beleid geeft de organisatie zowel de eigen afdelingen als andere partijen duidelijkheid over de kaders waarbinnen de verwerkingen van persoonsgegevens plaatsvinden. Dit beleid beschrijft ook aan welke voorwaarden processen en systemen moeten voldoen en hoe dit beleid op naleving wordt gecontroleerd.De doelstelling van het beleidsdomein is ervoor te zorgen dat op strategisch niveau afdoende randvoorwaarden en condities aanwezig zijn om de persoonsgegevens verantwoord te verwerken en opdat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken doelstellingen.Door het ontbreken van een door het management uitgevaardigd beleid ontstaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan het verwerken van de persoonsgegevens. Doorgaans zal dit een negatieve impact hebben op het realiseren van organisatiedoelstellingen (en het voldoen aan de eisen van de AVG).Beleid18 juni 2020 09:51:27ISOR:Privacy Beleid
    Privacy Control: het control- of beheerdomeinPRIV_CNormenkader-aspect3.3Actueel20 mei 2020In dit hoofdstuk zijn richtlijnen opgenomen voor de specifieke beheeraspecten van de gegevensverwerking; dit houdt onder meer in dat een adequate technische- en organisatorische maatregelen moeten zijn ingericht, om de beheerprocessen vorm te geven.De doelstelling van de laag algemene control (beheersing) is te zorgen voor en/of vast te stellen dat maatregelen ter waarborging van de privacy afdoende zijn ingericht.Door het ontbreken van noodzakelijke maatregelen binnen het beheersingsdomein is het niet zeker dat de verwerking aan de vereisten voldoet en dat de governance van die omgeving toereikend is ingericht.Control19 juni 2020 02:06:48ISOR:Privacy Control
    Privacy Uitvoering: het uitvoeringsdomeinPRIV_UNormenkader-aspect3.3Actueel20 mei 2020In dit onderdeel van de Privacy Baseline zijn de eisen opgenomen voor de uitvoering van de gegevensverwerking. Het beleid dat op de beleidslaag vanuit het hogere managementniveau is ontwikkeld en bekrachtigd, is leidend voor de invulling van de specifieke aspecten van de gegevensverwerking.In het uitvoeringsdomein worden persoonsgegevens verwerkt. De verantwoordelijke voor de verwerking moet hier de verwerking realiseren onder de condities en randvoorwaarden die in het beleidsdomein zijn gedefinieerd. Personen waarvan de persoonsgegevens worden verwerkt (betrokkenen) moeten de zekerheid kunnen krijgen dat de verwerking conform de wet- en regelgeving gebeurt.Wanneer richtlijnen voor de specifieke aspecten van de gegevensverwerking ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de specifieke aspecten bij de verwerking van persoonlijke gegevens. Dit geeft onduidelijkheid bij de technische en organisatorische inrichting van de gegevensverwerkingen.Uitvoering18 juni 2020 09:51:47ISOR:Privacy Uitvoering
    Doorgifte persoonsgegevensPRIV_U.07Privacyprincipe3.3Actueel10 september 202016 oktober 2017Doorgifte kan plaatsvinden aan verwerker(s) en aan andere verwerkingsverantwoordelijke(n). Een verwerker verricht de verwerking namens een verwerkingsverantwoordelijkeAVG Art. 28 lid 1.
    NB: indien een verwerker in strijd met de Avg handelt, wordt die verwerker als verwerkingsverantwoordelijke beschouwdAVG Art. 28 lid 10.

    Waar sprake is van meerdere verwerkingsverantwoordelijken, bepalen zij gezamenlijk de doelstellingen en middelen voor de verwerking en zijn zij gezamenlijke verwerkingsverantwoordelijkenAVG art. 27 lid 1.

    Bij de doorgifte wordt onderscheid gemaakt tussen doorgifte binnen de EU, waar de AVG geldt, en doorgifte naar buiten de EU. Als doorgifte naar buiten de EU plaatsvindt, dan spreekt de AVG van doorgifte aan derde landen en internationale organisaties.
    onderlinge verantwoordelijkheden, afdoende garantiesBij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

    Bij de doorgifte naar buiten de EU:

    • Is er een vertegenwoordiger, en:
    • Is geen sprake van uitzonderingsgronden, en:
    • Geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
    • Zijn er passende waarborgenAVG Art. 44, of:
    • Geldt een afwijking voor een specifieke situatie.
    Het doel van de vereisten bij 'Doorgifte persoonsgegevens' is te waarborgen dat persoonsgegevens op een rechtmatige manier worden doorgegeven, op een juiste manier worden gebruikt en dat de verantwoordelijkheid voor deze rechtmatigheid en juistheid ingeregeld blijft.Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.UitvoeringOnbekendAVG: Art. 26; 27; 28; 29; 44; 45; 46; 47; 48; 49; 9610 september 2020 12:00:01ISOR:Doorgifte persoonsgegevens
    Register van verwerkingsactiviteitenPRIV_U.02Privacyprincipe3.3Actueel10 september 202016 oktober 2017Om de naleving van de AVG aan te kunnen tonen dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevondenAVG overweging 82..
    Binnen een organisatie kan dit via gegevensmanagement worden vastgelegd. De vastlegging maakt duidelijk hoe de verschillende organisatieonderdelen de bedrijfsprocessen ondersteunen en welke beveiligingsmaatregelen (op hoofdlijnen) zijn getroffen voor de verwerkingen en betrokkenen. Het register maakt toezicht op de verwerkingsactiviteiten mogelijk.
    register, actueel en samenhangend beeldDe verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens.Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens.Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen.UitvoeringOnbekend
    • AVG: Art. 30
    10 september 2020 10:59:47ISOR:Register van verwerkingsactiviteiten
    KwaliteitsmanagementPRIV_U.03Privacyprincipe3.3Actueel10 september 202016 oktober 2017Kwaliteitsmanagement zorgt voor de processen die bij onjuistheid en onnauwkeurigheid van de gegevens of bij ongewenste verwerking de gegevens rectificeren, volledig maken, wissen, de verwerking beperken of toestemming tot verwerking intrekken.juistheid en nauwkeurigheid, gecorrigeerd, gestaakt of overgedragen, geïnformeerdDe verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit gebeurt op verzoek van betrokkene dan wordt deze over de status van de afhandeling geïnformeerd.'Kwaliteitsmanagement' moet ervoor zorgen dat een gegevensverwerking correct en in overeenstemming met de wens van betrokkenen is.Wanneer de gegevens onjuist of onnauwkeurig zijn ingevoerd of gecorrumpeerd raken, worden verkeerde conclusies over de betrokkene getrokken met negatieve consequenties of naar het oordeel van betrokkene ongewenste verwerking van zijn of haar persoonsgegevens tot gevolg.UitvoeringOnbekend
    • AVG: Art. 7 lid 3; Art. 11 lid 2; Art.12; 16; 17; 18; 19; 20; 21; 22; 23
    10 september 2020 11:10:53ISOR:Kwaliteitsmanagement
    Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensPRIV_U.05Privacyprincipe3.3Actueel10 september 202016 oktober 2017Wie persoonsgegevens verstrekt aan een organisatie heeft het recht te weten waarvoor, op welke wijze en door wie deze gegevens worden gebruikt. De organisatie heeft hiertoe een informatieplicht. Deze informatieplicht geldt ook wanneer persoonsgegevens van anderen worden ontvangen.tijdig, informatie, toestemming, uitzonderingDe verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG Art. 14.Het doel van 'Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens' is om transparantieInzicht in de werkwijze die de overheid hanteert. aan betrokkene te garanderen over de gegevensverzameling en de verwerking, zodat de betrokkene zijn rechten kan uitoefenen overeenkomstig de beginselen van behoorlijke en transparante verwerkingAVG Art. 12 en overweging 60.De organisatie is niet transparant, waardoor de organisatie niet kan verantwoorden dat de gegevensverwerking voldoet aan de beginselen van behoorlijke en transparante verwerking, met mogelijk hoge kosten tot gevolg.UitvoeringOnbekend
    • AVG: Art. 13; 14; 15
    • UAVG: Art. 5; 22; 24; 27; 28; 32; 41
    10 september 2020 11:50:52ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens
    Beveiligen van de verwerking van persoonsgegevensPRIV_U.04Privacyprincipe3.3Actueel10 september 202016 oktober 2017Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder - in het geval van persoonsgegevens - ook de AVG).technische en organisatorische maatregelen, een passend beveiligingsniveauDe verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen voor verwerking van persoonsgegevens op een passend beveiligingsniveauAVG Art. 32.Het doel van 'beveiligen van de verwerking van persoonsgegevens' is persoonsgegevens te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking.Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevens.UitvoeringOnbekend
    • AVG: Art. 32
    • UAVG: MvT § 5.2.4
    10 september 2020 11:09:33ISOR:Beveiligen van de verwerking van persoonsgegevens
    Organieke inbeddingPRIV_B.02Privacyprincipe3.3Actueel10 september 202016 oktober 2017Het waarborgen van de privacy ligt niet bij één persoon. Een veelheid van personen binnen een organisatie is betrokken om aan de vereisten van de wet- en regelgeving te kunnen voldoen.verdeling van de taken en verantwoordelijkheden, benodigde middelen, rapportagelijnenDe verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.Het doel van een heldere verdeling van taken en bevoegdheden, van middelen en rapportagelijnen is waarborgen dat op de juiste wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van het privacybeleid en de AVG.Door het ontbreken van een goede en inzichtelijke taakverdeling en de daarvoor benodigde middelen en rapportagelijnen is niet altijd duidelijk wie wat moet doen, waardoor de eisen van de AVG, de sectorspecifieke wetgeving en het privacybeleid niet effectief worden ingevuld.BeleidOnbekend
    • AVG: Art. 5; 37; 38; 39
    • UAVG: Art. 39
    10 september 2020 10:12:51ISOR:Organieke inbedding
    Intern toezichtPRIV_C.01Privacyprincipe3.3Actueel10 september 202016 oktober 2017Binnen de organisatie wordt toezicht gehouden op de rechtmatigheid van de gegevensverwerking. Een gegevensverwerking is rechtmatig als deze voldoet aan de eisen die de AVG, sectorspecifieke wetgeving en/of een (eventuele) Gedragscode stelt.informatie en rechtmatigheid aangetoondDoor of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond.Het doel van 'Intern toezicht' is het garanderen van een rechtmatige, behoorlijke en transparantieInzicht in de werkwijze die de overheid hanteert. verwerking van persoonsgegevens, het garanderen van naleving van de AVG en van andere wet- en regelgeving betreffende de gegevensbescherming, en het garanderen en aantoonbaar maken van naleving van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens.Als de verwerking van persoonsgegevens niet voldoet aan de AVG, dan zijn de risico's tweeledig: de betrokkene loopt persoonlijke privacyrisico's en de verwerkingsverantwoordelijke wordt geconfronteerd met politiek-bestuurlijke en/of juridische maatregelen, verlies van vertrouwen en beschadiging van imago als gevolg van communicatieve of handhavende maatregelen van betrokkenen, derden en/of de toezichthoudende autoriteiten.ControlOnbekend
    • AVG: Art. 5
    10 september 2020 12:20:49ISOR:Intern toezicht
    Toegang gegevensverwerking voor betrokkenenPRIV_C.02Privacyprincipe3.3Actueel10 september 202016 oktober 2017Iedere betrokkene heeft (binnen grenzen van redelijkheid) het recht te weten of, door wie, waarvoor en op welke wijze zijn persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke moet deze transparantieInzicht in de werkwijze die de overheid hanteert. kunnen bieden. Deze transparantieInzicht in de werkwijze die de overheid hanteert. is nodig om de betrokkene of diens wettelijke vertegenwoordiger in staat te stellen - indien nodig - zonder onevenredige kosten en/of moeite zijn gegevens te laten corrigeren of de verantwoordelijke (in rechte) aan te spreken bij onrechtmatigheid van een gegevensverwerking opdat deze onrechtmatigheid beëindigd wordt.
    Voorafgaand aan de verwerking van de persoonsgegevens worden betrokkenen geïnformeerd over de verwerking conform PRIV_U.05: Bewaren van persoonsgegevens, en zijn binnen de verwerkingen voorzieningen getroffen waarmee de betrokkene controle over zijn gegevens kan houden, PRIV_U.03: Kwaliteitsmanagement.
    informatie over de verwerking van persoonsgegevens, tijdig, in een passende vorm, specifieke uitzonderingsgrondDe verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG Art. 12, tenzij er een specifieke uitzonderingsgrond geldt.Het doel van 'Toegang gegevensverwerking voor betrokkene' is om zo nodig transparantieInzicht in de werkwijze die de overheid hanteert. te bieden over de gegevensverwerking, zodat de betrokkene zijn rechten kan uitoefenen en zo de verantwoordelijke kan aanspreken bij onrechtmatigheid van een gegevensverwerking, opdat deze onrechtmatigheid beëindigd wordt.De organisatie is niet transparant, waardoor het inzicht in de rechtmatigheid van organisaties ontbreekt, waardoor het vertrouwen in een organisatie verloren gaat.ControlOnbekend
    • AVG: Art. 11; 12; 15; 86
    10 september 2020 12:25:10ISOR:Toegang gegevensverwerking voor betrokkenen
    Meldplicht DatalekkenPRIV_C.03Privacyprincipe3.3Actueel10 september 202016 oktober 2017Het bieden van inzicht in een datalek en de mogelijke gevolgen ervan, kan mogelijk (negatieve) consequenties voor de betrokkenen beperken. Een datalek is een "inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensAVG Art. 4.

    NB: De Engelse tekst spreekt hier van "personal data breach".

    De meldplicht datalekken wordt behandeld in AVG Art. 33 en 34. Zie ook AVG overweging 85. In de UAVG is niets over de meldplicht opgenomen, anders dan het uitsluiten van financiële ondernemingen als bedoeld in de Wet op het financieel toezicht (UAVG Art. 42).
    meldt een datalek, gestelde termijn, documenteert de inbreuk, uitzonderingDe verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de Autoriteit Persoonsgegevens, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.Het doel van 'Meldplicht datalekken' is negatieve consequenties van een datalek te beperken en waar mogelijk te voorkomen.Negatieve consequenties die de persoonlijke levenssfeer van de betrokkene treffen.ControlOnbekend
    • AVG: Art. 33; 34
    • UAVG: Art. 41; 42
    10 september 2020 12:50:19ISOR:Meldplicht Datalekken
    Bewaren van persoonsgegevensPRIV_U.06Privacyprincipe3.3Actueel10 september 202016 oktober 2017Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld of niet langer dan de bewaartermijn die sectorspecifieke wetgeving stelt. De bewaartermijn kan worden beëindigd door actieve verwijdering van de gegevens of door anonimisering van de persoonsgegevens. Bij anonimisering zijn de gegevens niet meer herleidbaar tot de betrokkenen.
    NB: De AVG is niet van toepassing op de persoonsgegevens van overleden personenAVG overweging 27: "De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen.".
    bewaartermijn, nodige maatregelenDoor het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden.Het doel van 'Bewaren van persoonsgegevens' is te borgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het te bereiken doel.Onnodig bewaarde persoonsgegevens kunnen worden verwerkt voor andere dan de oorspronkelijke doelen.UitvoeringOnbekendAVG: Art. 5 lid 1e
    • UAVG: Art. 43
    10 september 2020 11:56:41ISOR:Bewaren van persoonsgegevens
    Risicomanagement, Privacy by Design en de DPIAPRIV_B.03Privacyprincipe3.3Actueel10 september 202016 oktober 2017Risicomanagement is een continu proces dat de privacyrisico's signaleert, beoordeelt en een passende behandeling daarvan bewaakt. Privacy-risicomanagement richt zich op het beheersen van privacyrisico's bij het verwerken, waaronder verzamelen, opslaan en doorgeven van persoonsgegevens. Door middel van privacy-risicomanagement worden, bij de ontwikkeling, de inrichting en de inzet van de gegevensverwerking voor de organisatie de privacyrisico's in lijn gebracht met het privacybeleid (zie: B01). Zo wordt voldaan aan de wet- en regelgeving en worden de belangen van de betrokkenen gewaarborgd.het beoordelen van de privacyrisico's, passende maatregelen, aantonenDe verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.Beoordeling van de privacyrisico's (de kans en hun potentiële omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht.Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de AVG voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt.BeleidOnbekend
  • AVG: Art. 24; 25; 35; 36; 42
  • 10 september 2020 10:02:03ISOR:Risicomanagement- Privacy by Design en de GEB
    Privacy Beleid geeft duidelijkheid en sturingPRIV_B.01Privacyprincipe3.3Actueel10 september 202016 oktober 2017Privacybeleid geeft op organisatie - en strategisch niveau duidelijkheid en daarmee sturing aan de inrichting van privacy.

    Inhoud

    Het privacybeleid geeft aan op welke wijze - door het treffen van maatregelen - voldaan wordt aan de van toepassing zijnde wet- en regelgeving. Omdat de wet- en regelgeving externe factoren zijn die kunnen veranderen, is periodieke review nodig om vast te stellen of het beleid nog voldoet. Maar ook interne factoren, zoals onvoldoende effectiviteit van het beleid en gewijzigde missie of visie, kunnen het nodig maken om te komen tot aanpassing van het beleid. Het volstaat dus niet om eenmalig beleid op te stellen en niet meer aan te passen. Door het beleidsproces cyclisch in te richten kan het beleid op de ontwikkelingen en de uitvoering afgestemd blijven.

    Proces

    De ontwikkeling van de organisatie tot een organisatie die aantoonbaar aan wet- en regelgeving voldoet (ofwel: 'compliant' is aan wet- en regelgeving), vraagt om een cyclisch proces. Dit houdt in dat er sprake is van een terugkoppelmechanisme waarbij - door inzicht in de uitvoering - het beleid kan worden bijgestuurd en gecorrigeerd. De Privacy Baseline is als cyclisch proces (Beleid, Uitvoering en Control) opgezet. Afspraken over hoe dit cyclische proces vormgegeven wordt maken onderdeel uit van het beleid.
    privacybeleidDe organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'.Privacybeleid dient ervoor om op organisatie- en strategisch niveau duidelijkheid te geven over de inrichtingskeuzes van privacy en te waarborgen dat de verwerking van gegevens op een rechtmatige wijze plaatsvindt.Het ontbreken van een privacybeleid leidt ertoe dat de organisatie geen duidelijkheid heeft over wat precies wordt verwacht, waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden verwerkt (zoals: verzamelen, bewerken, inzien, etcetera).BeleidOnbekend
    • AVG: Art. 5; 24; 40
    • UAVG: Art. 2; 4
    10 september 2020 09:59:24ISOR:Privacy Beleid geeft duidelijkheid en sturing
    Doelbinding gegevensverwerkingPRIV_U.01Privacyprincipe3.3Actueel10 september 202016 oktober 2017Het uitgangspunt van doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. is, dat gegevens worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doel. 'Welbepaald en uitdrukkelijk omschreven' houdt in dat men geen gegevens mag verzamelen zonder een precieze doelomschrijving. Het doel moet zijn bepaald alvorens men tot verzamelen overgaat. 'Welbepaald' houdt in dat deze doelomschrijving duidelijk moet zijn, niet zo vaag of ruim dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevens nodig zijn voor dat doel of niet. Het doel mag ook niet in de loop van het verzamelproces geformuleerd worden. 'Uitdrukkelijk omschreven' houdt in dat de verantwoordelijke het doel waarvoor hij verwerkt moet hebben omschreven.tijdig, welbepaald en uitdrukkelijk omschrevenDe verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
    • De doeleinden, en:
    • De rechtvaardigingsgronden voor:
    1. De verdere verwerking op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
    2. De geautomatiseerde besluitvorming;
    3. De bijzondere categorieën persoonsgegevens;
    4. De persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten;
    5. Het nationaal identificerend nummer;
    6. De persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang.
    Het doel van 'Doelbinding gegevensverwerking' is om te waarborgen dat persoonsgegevens alleen worden verzameld en (verder) verwerkt voor gerechtvaardigde doeleinden.Het ongeoorloofd en onrechtmatig verzamelen en (verder) verwerken van persoonsgegevens.UitvoeringOnbekend
    • AVG: Art. 5; 6; 9; 10; 22; 23
    • UAVG: Art. 22; 23; 24; 25; 26; 27; 28; 29; 30; 31; 32; 33; 40; 46
    10 september 2020 09:57:04ISOR:Doelbinding gegevensverwerking