ISOR:Het beoordelen van de privacyrisico's- i.r.t. de GEB: verschil tussen versies

Uit NORA Online
ISOR:Het beoordelen van de privacyrisico's- i.r.t. de GEB
Naar navigatie springen Naar zoeken springen
k (Tekst vervangen - '|Redactionele wijzigingsdatum=16-10-2017' door '|Redactionele wijzigingsdatum=2017/10/16 ')
(voetnoot toegrvoegd)
Regel 1: Regel 1:
{{#Element:
{{#Element:
|Elementtype=Norm
|ID=PRIV_B.03.01.04
|ID=PRIV_B.03.01.04
|Titel=Het beoordelen van de privacyrisico's, i.r.t. de GEB
|Titel=Het beoordelen van de privacyrisico's, i.r.t. de GEB
|Elementtype=Norm
|Kent element met zelfde titel=Nee
|Is subnorm=0
|Is subnorm=Nee
|Versieaanduiding=3.1
|Versieaanduiding=3.1
|Gebruik in Nederlandse publieke sector=In gebruik
|Gebruik in Nederlandse publieke sector=In gebruik
Regel 9: Regel 11:
|Practice=CIP
|Practice=CIP
|Redactionele wijzigingsdatum=2017/10/16
|Redactionele wijzigingsdatum=2017/10/16
|Publicatiedatum=16-10-2017
|Toelichting=Een GEB wordt in een zo vroeg mogelijk stadium uitgevoerd; in ieder geval voordat over wordt gegaan tot de verwerking van persoonsgegevens. Zo kunnen gegevensbeschermings¬maatregelen vooraf al in het ontwerp worden meegenomen. Dit voorkomt dat achteraf blijkt dat de gegevensverwerking niet voldoet aan de verplichtingen die volgen uit de Avg inzake het treffen van passende technische en organisatorische maatregelen om onrechtmatige gegevensverwerkingen te voorkomen. Op deze manier kunnen ook kosten worden bespaard: het meenemen van beveiligings¬maatregelen bij de ontwikkeling van een ICT-systeem is goedkoper dan het achteraf aanpassen ervan. Bovendien kunnen schadevergoedingen worden vermeden, omdat adequate maatregelen zijn genomen om te voorkomen dat voorzienbare risico's zich daadwerkelijk voordoen.
|Toelichting=Een GEB wordt in een zo vroeg mogelijk stadium uitgevoerd; in ieder geval voordat over wordt gegaan tot de verwerking van persoonsgegevens. Zo kunnen gegevensbeschermings¬maatregelen vooraf al in het ontwerp worden meegenomen. Dit voorkomt dat achteraf blijkt dat de gegevensverwerking niet voldoet aan de verplichtingen die volgen uit de Avg inzake het treffen van passende technische en organisatorische maatregelen om onrechtmatige gegevensverwerkingen te voorkomen. Op deze manier kunnen ook kosten worden bespaard: het meenemen van beveiligings¬maatregelen bij de ontwikkeling van een ICT-systeem is goedkoper dan het achteraf aanpassen ervan. Bovendien kunnen schadevergoedingen worden vermeden, omdat adequate maatregelen zijn genomen om te voorkomen dat voorzienbare risico's zich daadwerkelijk voordoen.


Regel 28: Regel 28:
# de GEB, en:
# de GEB, en:
# alle andere informatie waar de AP om verzoekt.
# alle andere informatie waar de AP om verzoekt.
|Heeft bron=de Privacy Baseline
|Beveiligingsaspect=Beleid
|Beveiligingsaspect=Beleid
|Stelling=Wanneer uit een GEB blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP.
|Stelling=Wanneer uit een GEB blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP<Ref>Avg art. 36.</Ref>.
 
====Voetnoot====
<References/>
|Conformiteitsindicator=het beoordelen van de privacyrisico's
|Conformiteitsindicator=het beoordelen van de privacyrisico's
|Heeft bron=de Privacy Baseline
|Heeft ouder=ISOR:Risicomanagement- Privacy by Design en de GEB
|Heeft ouder=ISOR:Risicomanagement- Privacy by Design en de GEB
|Realiseert=ISOR:Risicomanagement- Privacy by Design en de GEB
|Realiseert=ISOR:Risicomanagement- Privacy by Design en de GEB
}}
}}

Versie van 15 jan 2018 10:16


Logo ISOR normen (een hangslot met de tekst ISOR norm)

Stelling

Wanneer uit een GEB blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP[1].

Voetnoot

  1. Avg art. 36.

Een GEB wordt in een zo vroeg mogelijk stadium uitgevoerd; in ieder geval voordat over wordt gegaan tot de verwerking van persoonsgegevens. Zo kunnen gegevensbeschermings¬maatregelen vooraf al in het ontwerp worden meegenomen. Dit voorkomt dat achteraf blijkt dat de gegevensverwerking niet voldoet aan de verplichtingen die volgen uit de Avg inzake het treffen van passende technische en organisatorische maatregelen om onrechtmatige gegevensverwerkingen te voorkomen. Op deze manier kunnen ook kosten worden bespaard: het meenemen van beveiligings¬maatregelen bij de ontwikkeling van een ICT-systeem is goedkoper dan het achteraf aanpassen ervan. Bovendien kunnen schadevergoedingen worden vermeden, omdat adequate maatregelen zijn genomen om te voorkomen dat voorzienbare risico's zich daadwerkelijk voordoen.

Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.

De GEB bevat ten minste:

  1. een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
  2. een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
  3. een beoordeling van de hierboven genoemde risico's, en:
  4. de beoogde maatregelen om de risico's aan te pakken; waaronder waarborgen, veilig-heidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en aan te tonen dat aan de Avg is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

Wanneer de verwerkingsverantwoordelijke de AP raadpleegt, verstrekt hij informatie over :

  1. voor zover van toepassing: de respectieve verantwoordelijkheden van de verwerkings¬verantwoordelijke, bij de verwerking betrokken gezamenlijke verwerkingsverantwoor¬delijken en verwerkers, in het bijzonder voor verwerking binnen een concern;
  2. de doeleinden en de middelen van de voorgenomen verwerking;
  3. de maatregelen en waarborgen die worden geboden ter bescherming van de rechten en vrijheden van betrokkenen uit hoofde van de Avg;
  4. voor zover van toepassing: de contactgegevens van de FG;
  5. de GEB, en:
  6. alle andere informatie waar de AP om verzoekt.

Bovenliggende principe(s)

Deze norm realiseert het principe Risicomanagement, Privacy by Design en de DPIA via de conformiteitsindicator het beoordelen van de privacyrisico's.

Grondslag