ISOR:Doorgifte persoonsgegevens: verschil tussen versies

Versie van 19 jul 2018 13:35

Privacyprincipe
ID:	PRIV_U.07
Versie:	3.1
Status:	Actueel
Publicatiedatum:	16-10-2017
Redactionele wijzigingsdatum:	10-9-2020
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Functie

Verwante principes

→ Privacy Uitvoering: het uitvoeringsdomein

→ de Privacy Baseline

→ Alle Normenkaders

→ Alle Privacyprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR

Doorgifte kan plaatsvinden aan verwerker(s) en aan andere verwerkingsverantwoordelijke(n). Een verwerker verricht de verwerking namens een verwerkingsverantwoordelijke^{AVG art. 28 lid 1.}^{AVG art. 28 lid 10}. Indien een verwerker in strijd met de Avg handelt, wordt die verwerker als verwerkingsverantwoordelijke beschouwd. Waar sprake is van meerdere verwerkingsverantwoordelijken, bepalen zij gezamenlijk de doelstellingen en middelen voor de verwerking en zijn zij gezamenlijke verwerkingsverantwoordelijken^{AVG art. 27 lid 1.}. Bij de doorgifte wordt onderscheid gemaakt tussen doorgifte binnen de EU, waar de Avg geldt, en doorgifte naar buiten de EU. Als doorgifte naar buiten de EU plaatsvindt, dan spreekt de Avg van doorgifte aan derde landen en internationale organisaties.

Criterium

Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

Bij de doorgifte naar buiten de EU:

is er een vertegenwoordiger, en:
is geen sprake van uitzonderingsgronden

en:

geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
zijn er passende waarborgen^{AVG art. 44.}, of:
geldt een afwijking voor een specifieke situatie.

Doelstelling

Het doel van de vereisten bij 'Doorgifte persoonsgegevens' is te waarborgen dat persoonsgegevens op een rechtmatige manier worden doorgegeven, op een juiste manier worden gebruikt en dat de verantwoordelijkheid voor deze rechtmatigheid en juistheid ingeregeld blijft.

Risico

Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.

Indeling binnen ISOR

Dit privacyprincipe:

is gericht op Beveiligingsaspect Uitvoering
valt binnen de IFGS-indeling IFGS Functie

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG (Algemene Verordening Gegevensbescherming) Art. 26; 27; 28; 29; 44; 45; 46; 47; 48; 49; 96

Onderliggende normen

@@ Regel 23: / Regel 23: @@
 |Risico=Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.
 |Beveiligingsaspect=Uitvoering
-|Invalshoek=Structuur
+|Invalshoek=Functie
 |Is uitwerking van (specificatie)=Avg Art. 26; 27; 28; 29; 44; 45; 46; 47; 48; 49 en 96, Uitvoeringswet Avg
 |Conformiteitsindicator=onderlinge verantwoordelijkheden, afdoende garanties, vertegenwoordiger, uitzonderingsgrond, adequaatheidsbesluit, passende waarborgen, afwijking voor een specifieke situatie