Passende maatregelen, passend

Uit NORA Online
ISOR:Passende maatregelen- passend /
Versie door Jdirks2 (Overleg | bijdragen) op 18 jan 2018 om 18:33 (Tekst vervangen - '<(Ref|ref|REF)>\s?Avg(.*)<\/(Ref|ref|REF)>' door '{{Noot|AVG|$2}}')

Ga naar: navigatie, zoeken

The given value "De maatregelen zijn passend voor de waarschijnlijkheid en ernst van de risico's voor de rechten en vrijheden van natuurlijke personen. Hierbij wordt rekening houdend met AVG art. 24 lid 1.:
  • de aard;
  • de omvang;
  • de context, en:
  • het doel van de verwerking.

Bij het bepalen van wat passend is wordt rekening gehouden met de waarschijnlijkheid en de ernst van de risico's, met name waar de verwerkingAVG overweging 75. kan leiden tot:

  • discriminatie,
  • identiteitsdiefstal of -fraude,
  • financiële verliezen,
  • reputatieschade,
  • verlies van vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van door het beroepsgeheim beschermde persoonsgegevens,
  • ongeoorloofde ongedaanmaking van pseudonimisering, of:
  • enig ander aanzienlijk economisch of maatschappelijk nadeel;

of wanneer:

  • betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen;
  • persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen of vakbondslidmaatschap blijkt en bij de verwerking van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen;
  • persoonlijke aspecten worden geëvalueerd om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheidDe mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. of gedrag, locatie of verplaatsingen te analyseren of te voorspellen teneinde persoonlijke profielen op te stellen of te gebruiken;
  • persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt;
  • de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

Hierbij wordt gekeken naar de verwerkingsmiddelen en de verwerking.

Zie ook de (toekomstige) lijst van de AP waarvoor dit wel en waarvoor dit niet geldt. Uitzondering hieropAVG art. 35 lid 10. zijn verwerkingen uit hoofde van een wettelijke verplichting of voor de invulling van algemeen belang (zie U.01, §2.2.1).

Privacy by design and by default betekent feitelijk[1] dat de verwerkingsverantwoordelijke van het begin af privacyoverwegingen betrekt bij het opstellen van nieuw beleid en het ontwerp van nieuwe verwerkingen van persoonsgegevens.

De Privacy by Design en privacy by default verplichting geldt voor:

  • de hoeveelheid verzamelde persoonsgegevens,
  • de mate waarin zij worden verwerkt,
  • de termijn waarvoor zij worden opgeslagen, en:
  • de toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. daarvan.

Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. Denk hierbij bijvoorbeeld aan:

  • pseudonimisering (zie ook U.04, §2.2.4), en:
  • minimale gegevensverwerking (alleen verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. wat nodig is)." contains strip markers and therefore it cannot be parsed sufficiently.
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Logo ISOR normen (een hangslot met de tekst ISOR norm)
Bovenliggende principe
Meer in normenkader èn aspect
Alle normen
Alle normenkaders
ISOR

Stelling

Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG art. 25..

De maatregelen zijn passend voor de waarschijnlijkheid en ernst van de risico's voor de rechten en vrijheden van natuurlijke personen. Hierbij wordt rekening houdend met AVG art. 24 lid 1.:

  • de aard;
  • de omvang;
  • de context, en:
  • het doel van de verwerking.

Bij het bepalen van wat passend is wordt rekening gehouden met de waarschijnlijkheid en de ernst van de risico's, met name waar de verwerkingAVG overweging 75. kan leiden tot:

  • discriminatie,
  • identiteitsdiefstal of -fraude,
  • financiële verliezen,
  • reputatieschade,
  • verlies van vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van door het beroepsgeheim beschermde persoonsgegevens,
  • ongeoorloofde ongedaanmaking van pseudonimisering, of:
  • enig ander aanzienlijk economisch of maatschappelijk nadeel;

of wanneer:

  • betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen;
  • persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen of vakbondslidmaatschap blijkt en bij de verwerking van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen;
  • persoonlijke aspecten worden geëvalueerd om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheidDe mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. of gedrag, locatie of verplaatsingen te analyseren of te voorspellen teneinde persoonlijke profielen op te stellen of te gebruiken;
  • persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt;
  • de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

Hierbij wordt gekeken naar de verwerkingsmiddelen en de verwerking.

Zie ook de (toekomstige) lijst van de AP waarvoor dit wel en waarvoor dit niet geldt. Uitzondering hieropAVG art. 35 lid 10. zijn verwerkingen uit hoofde van een wettelijke verplichting of voor de invulling van algemeen belang (zie U.01, §2.2.1).

Privacy by design and by default betekent feitelijk[1] dat de verwerkingsverantwoordelijke van het begin af privacyoverwegingen betrekt bij het opstellen van nieuw beleid en het ontwerp van nieuwe verwerkingen van persoonsgegevens.

De Privacy by Design en privacy by default verplichting geldt voor:

  • de hoeveelheid verzamelde persoonsgegevens,
  • de mate waarin zij worden verwerkt,
  • de termijn waarvoor zij worden opgeslagen, en:
  • de toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. daarvan.

Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. Denk hierbij bijvoorbeeld aan:

  • pseudonimisering (zie ook U.04, §2.2.4), en:
  • minimale gegevensverwerking (alleen verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. wat nodig is).

Bovenliggende principe(s)

Deze norm realiseert het privacyprincipe Risicomanagement, Privacy by Design en de GEB via de conformiteitsindicator passende maatregelen.

Grondslag


  1. Paragraaf 5.2.1 Mvt van de Uitvoeringswet Avg.