Passende maatregelen, passend

ID: PRIV_B.03.02.02 Norm Versie: 3.3 Status: Actueel Publicatiedatum: 16-10-2017 Redactionele wijzigingsdatum: 20-5-2020 Indeling Beveiligingsaspect: Beleid Invalshoek: Onbekend → Bovenliggende principe → Meer in normenkader èn aspect → Alle normen → Alle normenkaders → ISOR (Information Security Object Repository)

Stelling

Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)^{AVG Art. 25}.

• Hierbij wordt gekeken naar de verwerkingsmiddelen en de verwerking.
• Zie ook de (toekomstige) lijst van de AP waarvoor dit wel en waarvoor dit niet geldt. Uitzondering hierop^{AVG Art. 35 lid 10} zijn verwerkingen uit hoofde van een wettelijke verplichting of voor de invulling van algemeen belang (zie U.01).
• Privacy by design and by default betekent feitelijk^{Mvt Uitvoeringswet UAVG Par. 5.2.1} dat de verwerkingsverantwoordelijke vanaf het begin privacyoverwegingen betrekt bij het opstellen van nieuw beleid en het ontwerp van nieuwe verwerkingen van persoonsgegevens.
• Privacy by design voorkomt dure reparatie achteraf.
• De Privacy by Design en privacy by default verplichting geldt voor:
  • De hoeveelheid verzamelde persoonsgegevens;
  • De mate waarin zij worden verwerkt;
  • De termijn waarvoor zij worden opgeslagen, en:
  • De toegankelijkheid daarvan.

Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. Denk hierbij bijvoorbeeld aan pseudonimisering (zie ook U.04) en minimale gegevensverwerking (alleen verwerken wat nodig is).

Bovenliggende principe(s)

Deze norm realiseert het principe Risicomanagement, Privacy by Design en de DPIA via de conformiteitsindicator passende maatregelen.

Grondslag