ISOR:Doeleinden- behoorlijk en transparant: verschil tussen versies

Versie van 15 jan 2018 10:55

Norm
ID:	PRIV_U.01.02.03
Versie:	3.1
Status:	Actueel
Publicatiedatum:	16-10-2017
Redactionele wijzigingsdatum:	25-5-2020
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:

→ Bovenliggende principe

→ Meer in normenkader èn aspect

→ Alle normen

→ Alle normenkaders

→ ISOR (Information Security Object Repository)

Stelling

Persoonsgegevens moeten behoorlijk en transparant worden verwerkt ten opzichte van de betrokkene^[1]^[2]. Hiertoe:

dient de gegevensverwerking transparant te zijn (U.02, §2.2.2) en U.05 (§2.2.5).
dienen de gegevens juist te zijn en zo nodig te worden bijgewerkt (U.03. §2.2.3).
dienen de gegevens passend te worden beveiligd (U.04, §2.2.4).
dienen de gegevens niet langer dan noodzakelijk te worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren is (U.06, §2.2.6).

Voetnoot

↑ Avg art. 5.
↑ De Avg is niet van toepassing op de persoonsgegevens van overleden personen (Avg overweging 27).

Ook een verwerking die noodzakelijk is in het kader van een overeenkomst of een voorgenomen overeenkomst, dient rechtmatig te zijn en daarmee aan de vereisten van /02 voldoen. /02.02 Voor de private sector zijn doorgaans de onderdelen a, b, d en f een basis voor verwerking van persoonsgegevens. Ook onderdeel c kan een basis zijn voor verwerking van persoonsgegevens in de private sector, wanneer er sprake is van een wettelijke verplichting voor een private partij. /02.02 Voor de overheid is met name verwerking op basis van een wettelijke verplichting (onder-deel c) en verwerking in het belang van uitvoering van een taak van algemeen belang (onderdeel e) relevant. Deze beide rechtsgrondslagen voor de overheid moeten worden vastgesteld bij het wettelijke recht dat op de verwerkingsverantwoordelijke van toepassing is. Voorwaarde voor rechtmatige verwerking in het kader van een wettelijke verplichting is dat de verwerking noodzakelijk is om te voldoen aan de wettelijke verplichting. De wettelijke verplichting tot verstrekking van persoonsgegevens is doorgaans zeer precies vastgelegd in sectorspecifieke regelgeving. Dit is echter niet noodzakelijkerwijs het geval. Denkbaar is ook dat verwerking van persoonsgegevens een basis vindt in een ruimer geformuleerde zorgplicht. In dat geval heeft de verwerkingsverantwoordelijke een grotere eigen verantwoordelijkheid inzake het beoordelen van de noodzakelijkheid van de verwerking in het licht van het voldoen aan de wettelijke verplichting. Op dit punt verandert het wettelijk kader, zoals dat gold onder de richtlijn en de Wbp, niet.

Bovenliggende principe(s)

Deze norm realiseert het principe Doelbinding gegevensverwerking via de conformiteitsindicator de doeleinden.

Grondslag

[1] Avg art. 5.

[2] De Avg is niet van toepassing op de persoonsgegevens van overleden personen (Avg overweging 27).

[1]

[2]

@@ Regel 1: / Regel 1: @@
 {{#Element:
+|Elementtype=Norm
 |ID=PRIV_U.01.02.03
 |Titel=Doeleinden, behoorlijk en transparant
-|Elementtype=Norm
+|Kent element met zelfde titel=Nee
-|Is subnorm=0
+|Is subnorm=Nee
 |Versieaanduiding=3.1
 |Gebruik in Nederlandse publieke sector=In gebruik
@@ Regel 9: / Regel 11: @@
 |Practice=CIP
 |Redactionele wijzigingsdatum=2017/10/16
-|Publicatiedatum=16-10-2017
 |Toelichting=Ook een verwerking die noodzakelijk is in het kader van een overeenkomst of een voorgenomen overeenkomst, dient rechtmatig te zijn en daarmee aan de vereisten van /02 voldoen.
 /02.02 Voor de private sector zijn doorgaans de onderdelen a, b, d en f een basis voor verwerking van persoonsgegevens. Ook onderdeel c kan een basis zijn voor verwerking van persoonsgegevens in de private sector, wanneer er sprake is van een wettelijke verplichting voor een private partij.
 /02.02 Voor de overheid is met name verwerking op basis van een wettelijke verplichting (onder-deel c) en verwerking in het belang van uitvoering van een taak van algemeen belang (onderdeel e) relevant. Deze beide rechtsgrondslagen voor de overheid moeten worden vastgesteld bij het wettelijke recht dat op de verwerkingsverantwoordelijke van toepassing is.
 Voorwaarde voor rechtmatige verwerking in het kader van een wettelijke verplichting is dat de verwerking noodzakelijk is om te voldoen aan de wettelijke verplichting. De wettelijke verplichting tot verstrekking van persoonsgegevens is doorgaans zeer precies vastgelegd in sectorspecifieke regelgeving. Dit is echter niet noodzakelijkerwijs het geval. Denkbaar is ook dat verwerking van persoonsgegevens een basis vindt in een ruimer geformuleerde zorgplicht. In dat geval heeft de verwerkingsverantwoordelijke een grotere eigen verantwoordelijkheid inzake het beoordelen van de noodzakelijkheid van de verwerking in het licht van het voldoen aan de wettelijke verplichting. Op dit punt verandert het wettelijk kader, zoals dat gold onder de richtlijn en de Wbp, niet.
-|Heeft bron=de Privacy Baseline
 |Beveiligingsaspect=Uitvoering
-|Stelling=Persoonsgegevens moeten behoorlijk en transparant worden verwerkt ten opzichte van de betrokkene. Hiertoe:
+|Stelling=Persoonsgegevens moeten behoorlijk en transparant worden verwerkt ten opzichte van de betrokkene<Ref>Avg art. 5.</Ref><Ref>De Avg is niet van toepassing op de persoonsgegevens van overleden personen (Avg overweging 27).
+</Ref>. Hiertoe:
 # dient de gegevensverwerking transparant te zijn (U.02, §2.2.2) en U.05 (§2.2.5).
 # dienen de gegevens juist te zijn en zo nodig te worden bijgewerkt (U.03. §2.2.3).
 # dienen de gegevens passend te worden beveiligd (U.04, §2.2.4).
 # dienen de gegevens niet langer dan noodzakelijk te worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren is (U.06, §2.2.6).
+====Voetnoot====
+<References/>
 |Conformiteitsindicator=de doeleinden
+|Heeft bron=de Privacy Baseline
 |Heeft ouder=ISOR:Doelbinding gegevensverwerking
 |Realiseert=ISOR:Doelbinding gegevensverwerking
 }}