Privacy Beleid
Deze informatie is onderdeel van de Privacy Baseline.
Meer lezen |
Doelstelling[bewerken]
De doelstelling van het beleidsdomein is zorgdragen dat op strategisch niveau afdoende randvoorwaarden en condities bestaan om persoonsgegevens verantwoord te verwerken, opdat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken doelstellingen.
Risico's[bewerken]
Het ontbreken van een door het management uitgevaardigd beleid geeft het risico dat onvoldoende sturing wordt gegeven aan de verwerking van persoonsgegevens. Dit zal een negatieve impact hebben op de realisatie van organisatiedoelstellingen (en het voldoen aan de eisen van de Avg). In dit onderdeel van de Privacy Baseline zijn de eisen opgenomen voor het algemeen beleid rondom privacy, ook wel genoemd het beleidsdomein. Met dit beleid geeft de organisatie zowel de eigen afdelingen als andere partijen duidelijkheid over de kaders waarbinnen de verwerkingen van persoonsgegevens plaatsvinden. Dit beleid beschrijft ook aan welke voorwaarden processen en systemen moeten voldoen en hoe dit beleid op naleving wordt gecontroleerd.
Principes uit de de Privacy Baseline binnen dit aspect[bewerken]
ID | Principe | Criterium |
---|---|---|
PRIV_B.01 | Privacy Beleid geeft duidelijkheid en sturing | De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegeven aan de wettelijke beginselen AVG Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'. |
PRIV_B.02 | Organieke inbedding | De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld. |
PRIV_B.03 | Risicomanagement, Privacy by Design en de DPIA | De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen. |
PRIV_C.01 | Intern toezicht | Door of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond. |
PRIV_C.02 | Toegang gegevensverwerking voor betrokkenen | De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG Art. 12, tenzij er een specifieke uitzonderingsgrond geldt. |
PRIV_C.03 | Meldplicht Datalekken | De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de Autoriteit Persoonsgegevens, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt. |
PRIV_U.01 | Doelbinding gegevensverwerking | De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
|
PRIV_U.02 | Register van verwerkingsactiviteiten | De verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens. |
PRIV_U.03 | Kwaliteitsmanagement | De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit gebeurt op verzoek van betrokkene dan wordt deze over de status van de afhandeling geïnformeerd. |
PRIV_U.04 | Beveiligen van de verwerking van persoonsgegevens | De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen voor verwerking van persoonsgegevens op een passend beveiligingsniveauAVG Art. 32. |
PRIV_U.05 | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG Art. 14. |
PRIV_U.06 | Bewaren van persoonsgegevens | Door het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden. |
PRIV_U.07 | Doorgifte persoonsgegevens | Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties. Bij de doorgifte naar buiten de EU:
|
Normen uit de de Privacy Baseline binnen dit aspect[bewerken]
ID | Stelling | Norm |
---|---|---|
PRIV_B.01.01.01 | Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG Art. 5 lid 2. | Privacybeleid; duidelijkheid over naleving en verantwoordingsplicht |
PRIV_B.01.01.02 | Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren. | Privacybeleid; cyclisch proces |
PRIV_B.01.01.03 | Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens. | Privacybeleid; vastgesteld en gecommuniceerd |
PRIV_B.01.01.04 | De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden. | Privacybeleid i.r.t. wet- en regelgeving |
PRIV_B.01.01.05 | In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegeven aan de eisen van de sectorspecifieke wetgeving. | Privacybeleid i.r.t. sectorspecifieke wetgeving. |
PRIV_B.01.01.06 | In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)AVG Art. 25 en Art. 64 lid 2. | Privacybeleid i.r.t. gedragscode |
PRIV_B.01.02.01 | Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen. | Invulling wettelijke beginselen; beschrijving van privacy by design |
PRIV_B.01.02.02 | Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelen |
PRIV_B.01.02.03 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt. | Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerken |
PRIV_B.01.02.04 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren. | Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevens |
PRIV_B.01.02.05 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. | Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelen |
PRIV_B.01.02.06 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen. | Invulling wettelijke beginselen; beschrijven van transparante verwerking |
PRIV_B.01.02.07 | Beschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren. | Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnen |
PRIV_B.01.02.08 | Beschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd. | Invulling wettelijke beginselen; beschrijven van garanties bij doorgifte |
PRIV_B.01.02.09 | Beschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond. | Invulling wettelijke beginselen; beschrijven van behoorlijke verwerking |
PRIV_B.01.02.10 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen. | Invulling wettelijke beginselen; beschrijven van informeren bij inbreuk |
PRIV_B.02.01.01 | De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is. | Verdeling taken en verantwoordelijkheden |
PRIV_B.02.01.02 | De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:
| Functionaris Gegevensbescherming |
PRIV_B.02.01.03 | Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst. | Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten |
PRIV_B.02.01.04 | De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt. | Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix |
PRIV_B.02.02.01 | Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan. | Benodigde middelen |
PRIV_B.02.03.01 | De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd. | Rapporteringslijnen |
PRIV_B.03.01.01 | Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1. | Het beoordelen van de privacyrisico's, hoog risico |
PRIV_B.03.01.02 | Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in. | Het beoordelen van de privacyrisico's, advies van FG |
PRIV_B.03.01.03 | Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11.. | Het beoordelen van de privacyrisico's, bij wijzigingen |
PRIV_B.03.01.04 | Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36.. | Het beoordelen van de privacyrisico's, i.r.t. DPIA |
PRIV_B.03.02.01 | De maatregelen bestaan uit technische en organisatorische maatregelen. | Passende maatregelen, technisch en organisatorisch |
PRIV_B.03.02.02 | Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25. | Passende maatregelen, passend |
PRIV_B.03.02.03 | De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) | Passende maatregelen, continuïteit |
PRIV_B.03.02.04 | De resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen. | Passende maatregelen i.r.t. de DPIA |
PRIV_B.03.03.01 | Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden. | Aantonen onderkende risico's en maatregelen |
PRIV_B.03.03.02 | Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten. | Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten |
PRIV_B.03.03.03 | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's. | Aantonen aanpak risicomanagement |
PRIV_B.03.03.04 | Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | Aantonen toepassen DPIA toetsmodel |
PRIV_B.03.03.05 | Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Aantonen privacy by design |
PRIV_C.01.01.01 | De verantwoordelijke en - indien aangesteld - de Functionaris voor gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd. | Toezien op het voldoen aan de wettelijke verplichtingen |
PRIV_C.01.01.02 | Als blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management. | Evaluatierapportage bij niet voldoen |
PRIV_C.01.01.03 | Er is een planning van activiteiten in het kader van het beoordelen van de compliancy. | Planmatige controle op compliancy |
PRIV_C.01.02.01 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Rechtmatigheid van de verwerking aantonen |
PRIV_C.01.02.02 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). | Rechtmatigheid aangetoond, toereikende verwerking |
PRIV_C.01.02.03 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking ten aanzien van de betrokkene rechtmatig is. | Rechtmatigheid aantonen |
PRIV_C.01.02.04 | Bij het aantonen van de rechtmatigheid wordt gebruik gemaakt van de overeenkomsten voor de doorgiften zoals beschreven in PRIV_U.07: Doorgifte persoonsgegevens. | Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte |
PRIV_C.01.02.05 | Aangetoond is dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid). | Gewaarborgde bescherming |
PRIV_C.01.02.06 | Aangetoond is dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. | Juiste en actuele gegevens |
PRIV_C.01.02.07 | Aangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform B.03: Risicomanagement, Privacy by Design en de DPIA. | Aantoonbaar behoorlijke verwerking |
PRIV_C.01.02.08 | Aangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens, PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_C.02 Toegang gegevensverwerking voor betrokkenen. | Aantoonbaar transparante verwerking |
PRIV_C.01.02.09 | De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG Art. 5 lid 2. | Compliancydossier |
PRIV_C.01.02.10 | Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register (PRIV_U.02: Register van verwerkingsactiviteiten). | Compliancy en compleetheid aantonen met het gegevensregister |
PRIV_C.02.01.01 | De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens. | Informatie aan betrokkene over de verwerking van persoonsgegevens |
PRIV_C.02.01.02 | De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG Art. 15:
| Welke informatie wordt verstrekt |
PRIV_C.02.01.03 | De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG Art. 14 lid 4. | Geen afbreuk aan rechten en vrijheden van anderen |
PRIV_C.02.02.01 | De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG Art. 12 lid 3 en 4, tenzij:
| Tijdige verstrekking op verzoek van betrokkene |
PRIV_C.02.02.02 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
| Tijdig informeren bij geen gevolg aan verzoek van betrokkene |
PRIV_C.02.03.01 | De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG Art. 12 lid 1. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG Art. 12 lid 7. | Passende, begrijpelijke en toegankelijke wijze van informeren |
PRIV_C.02.03.02 | De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt. | Informatie wordt schriftelijk en/of elektronisch verstrekt |
PRIV_C.02.03.03 | Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is. | Mondelinge informatieverstrekking |
PRIV_C.02.03.04 | Het verstrekken van de informatie en de communicatie zijn kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. Als de verzoeken buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, dan mag de verwerkingsverantwoordelijke ofwel:
| Kosteloos, tenzij onredelijk |
PRIV_C.02.03.05 | De verantwoordelijke beschikt over gegevens ter identificatie van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig PRIV_U.01: Doelbinding gegevensverwerking) om nog persoonsgegevens van betrokkene te verwerkenAVG Art. 11. Als identificatie niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld. | Gegevens ter identificatie van de betrokkene |
PRIV_C.02.04.01 | De verantwoordelijke verstrekt geen informatie als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG Art. 23. | Specifieke uitzonderingsgronden |
PRIV_C.03.01.01 | Een datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is. | Datalek melden aan de AP |
PRIV_C.03.01.02 | De melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
| Eisen aan de melding aan AP |
PRIV_C.03.01.03 | Een datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02). | Datalek melden aan betrokkene |
PRIV_C.03.01.04 | In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
| Eisen aan de melding aan betrokkene |
PRIV_C.03.01.05 | De melding aan de betrokkene is in duidelijke en eenvoudige taal. | Duidelijke en eenvoudige taal |
PRIV_C.03.02.01 | Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. | Inbreuk melden aan verwerkingsverantwoordelijke |
PRIV_C.03.02.02 | De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. | Termijn voor melden aan AP |
PRIV_C.03.02.03 | Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. | Motivering bij vertraagde melding |
PRIV_C.03.02.04 | De melding aan de betrokkene gebeurt onverwijld. | Directe melding aan betrokkene |
PRIV_C.03.03.01 | De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Registratie en documentatie van de inbreuken |
PRIV_C.03.03.02 | De documentatie stelt de AP in staat de naleving te controleren. | Naleving controleren op basis van documentatie |
PRIV_C.03.03.03 | De documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Noodzakelijke gegevens in de documentatie |
PRIV_C.03.03.04 | Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87. | Kennisgeving vastleggen |
PRIV_C.03.04.01 | De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
| Uitzondering op meldplicht aan AP |
PRIV_C.03.04.02 | De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
| Uitzondering op meldplicht aan betrokkene |
PRIV_U.01.01.01 | Het doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensverwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG Art. 5 lid 1 en overweging 50. | Tijdig, welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking |
PRIV_U.01.01.02 | Van alle gegevens zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG Art. 5 lid 1b. | Tijdig, welbepaald en uitdrukkelijk omschreven; doeleinden en rechtmatigheid |
PRIV_U.01.01.03 | Het doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevens noodzakelijk zijn voor het doel en bij verdere verwerking of de verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verstrektAVG Art. 6 lid 4. | Tijdig, welbepaald en uitdrukkelijk omschreven; noodzaak en verenigbaarheid |
PRIV_U.01.01.04 | Het doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden. | Tijdig, welbepaald en uitdrukkelijk omschreven; SMART |
PRIV_U.01.02.01 | De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel dataminimalisatie genoemd). | Doeleinden; toereikend, ter zake dienend en beperkt |
PRIV_U.01.02.02 | De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG Art. 6 lid 1:
| Doeleinden; rechtmatigheid |
PRIV_U.01.02.03 | Persoonsgegevens moeten ten opzichte van de betrokkene behoorlijk en transparant worden verwerktAVG Art. 5.
Hiertoe moet/moeten:
| Doeleinden; transparant, behoorlijk en veilig |
PRIV_U.01.03.01 | De verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, is alleen mogelijk wanneer:
| Verdere verwerking i.r.t. andere doelen |
PRIV_U.01.03.02 | Wanneer de verwerkingsverantwoordelijke zich een verdere verwerking voorneemt dan moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61. | Vooraf in kennis stellen van (voornemen tot) verdere verwerking |
PRIV_U.01.04.01 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleindenUAVG Art. 22. UAVG art. 22 lid 2a is de invulling van AVG Art. 9 lid 2a. Hierbij is nagegaan of in het Unierecht of lidstatelijk is bepaald of betrokkene het verbod mag opheffen. Voorbeeld BSN: in Nederland kan een persoon niet zelf alsnog toestemming geven voor de verwerking van het BSN bij het ontbreken van een wettelijke grondslag. | Bijzondere categorieën persoonsgegevens; uitdrukkelijke toestemming |
PRIV_U.01.04.02 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedtAVG Art. 9 lid 2b. Tevens geldt hierbij dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk isUAVG Art 30 lid 1 voor:
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4. NB: bij algemene maatregel van bestuur kunnen nadere regels worden gesteld (UAVG Art 30 lid 6). | Bijzondere categorieën persoonsgegevens; noodzaak i.r.t verplichtingen en specifieke rechten |
PRIV_U.01.04.03 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te gevenUAVG art. 22 lid 2b ; AVG Art. 9 lid 2c. | Bijzondere categorieën persoonsgegevens; noodzaak, vitale belangen, onmacht |
PRIV_U.01.04.04 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking verricht wordt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrektUAVG Art. 22 lid 2c (ofwel: AVG Art. 9 lid 2d). | Bijzondere categorieën persoonsgegevens; ledenadministratie, gerechtvaardigde activiteiten |
PRIV_U.01.04.05 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaaktUAVG Art. 22 lid 2d (ofwel: AVG Art. 9 lid 2e). | Bijzondere categorieën persoonsgegevens; openbaar gemaakt door betrokkene |
PRIV_U.01.04.06 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheidUAVG Art. 22 lid 2e (ofwel: AVG Art. 9 lid 2f). | Bijzondere categorieën persoonsgegevens; i.r.t. rechtsvordering, gerechten |
PRIV_U.01.04.07 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:
| Bijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belang |
PRIV_U.01.04.08 | De verwerking van gegevens over gezondheid vindt niet plaats, tenzij de verwerking geschiedt doorUAVG Art. 30 lid 2:
| Bijzondere categorieën persoonsgegevens; gezondheidsgegevens |
PRIV_U.01.04.09 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van zorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerkerAVG Art. 9 lid 2h).
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.
| Bijzondere categorieën persoonsgegevens; voorwaarden verwerking i.v.m. gezondheidszorg |
PRIV_U.01.04.10 | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking plaatsvindt vanuit het algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheimAVG Art. 9 lid 2i). | Bijzondere categorieën persoonsgegevens; algemeen belang i.r.t volksgezondheid |
PRIV_U.01.04.11 | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig AVG art. 89, lid 1, waarbijAVG Art. 9 lid 2j ; UAVG Art.24:
| Bijzondere categorieën persoonsgegevens, m.b.t. specifieke doeleinden met algemeen belang |
PRIV_U.01.05.01 | Persoonsgegevens van strafrechtelijke aard mogen worden verwerktUAVG Art. 32. indien:
| Persoonsgegevens van strafrechtelijke aard |
PRIV_U.01.05.02 | Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen worden verwerktUAVG Art. 33. indien:
of:
| Persoonsgegevens van strafrechtelijke aard; eisen aan de verwerking |
PRIV_U.01.05.03 | Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR | |
PRIV_U.01.05.04 | Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt. | |
PRIV_U.01.05.05 | Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking | |
PRIV_U.01.06.01 | Het bepalen van een nummer dat ter identificatie van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet zijn bepaaldUAVG Art. 46:
| Nationaal identificerend nummer |
PRIV_U.01.07.01 | Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluitAVG Art. 22 lid 1:
| Geautomatiseerde besluitvorming; niet, tenzij |
PRIV_U.01.07.02 | Indien geautomatiseerde besluitvorming plaatsvindt heeft de verwerkingsverantwoordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten AVG Art. 22 lid 2. Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgdUAVG Art. 40. | Geautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangen |
PRIV_U.01.07.03 | Indien geautomatiseerde besluitvorming plaatsvindt, waarbij bijzondere categorieën persoonsgegevens worden gebruikt, dan zijn daarbij passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene getroffenAVG Art. 22 lid 3. | Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens |
PRIV_U.01.08.01 | De verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats voor zover deze aan de vereisen uit /04.11 voldoenUAVG Art. 24 ; AVG Art. 9 lid 2j. | Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belang |
PRIV_U.01.08.02 | Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maatregelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen doorAVG Art. 5 lid 1e:
| Het verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelen |
PRIV_U.02.01.01 | Elke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke. | Register van verwerkingsverantwoordelijke |
PRIV_U.02.01.02 | Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Inhoud van het register van verwerkingsactiviteiten |
PRIV_U.02.01.03 | De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker. | Register van verwerker, categorieën van verwerkingsactiviteiten |
PRIV_U.02.01.04 | Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerker, inhoud van het register |
PRIV_U.02.01.05 | Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. | Register van verwerker, in schriftelijke elektronische vorm |
PRIV_U.02.01.06 | Het register hoeft niet te worden bijgehouden indien:
| Register van verwerker, niet bijgehouden als … |
PRIV_U.02.02.01 | De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld. | De registers geven een samenhangend beeld |
PRIV_U.02.02.02 | Op verzoek van de AP wordt middels de registers een actueel beeld gegeven. | Actueel beeld voor de AP |
PRIV_U.02.02.03 | De onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:
| Beschrijving gegevensstromen |
PRIV_U.02.02.04 | Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register. | Resultaten DPIA in register |
PRIV_U.03.01.01 | De verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen.. | Maatregelen i.r.t. juistheid en nauwkeurigheid |
PRIV_U.03.01.02 | De verwerkingsverantwoordelijke voert periodiek controles uit op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan het hogere management. | Controle op juistheid en nauwkeurigheid |
PRIV_U.03.02.01 | Op verzoek van betrokkene worden onjuiste persoonsgegevens gerectificeerdAVG Art. 16 lid 1. | Rectificatie op verzoek van betrokkene |
PRIV_U.03.02.02 | Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG Art. 16 lid 1. | Aanvulling op verzoek van betrokkene |
PRIV_U.03.02.03 | Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG Art. 17 lid 1:
| Gegevens wissen op verzoek van de betrokkene |
PRIV_U.03.02.04 | Bij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG Art. 21 lid 1. | Staken van de verwerking op verzoek van betrokkene |
PRIV_U.03.02.05 | Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van die persoonsgegevens te wissenAVG Art. 17 lid 2. | Maatregelen na openbaarmaking van persoonsgegevens |
PRIV_U.03.02.06 | Op verzoek van betrokkene wordt de verwerking beperkt, indien:
| Beperking van de verwerking op verzoek van de betrokkene |
PRIV_U.03.02.07 | De betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG Art. 20, als de verwerking berust op:
en geldt niet als:
| Recht op ongehinderde overdracht van gegevens |
PRIV_U.03.02.08 | De betrokkene kan de gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien PRIV_U.03.02.07: Recht op ongehinderde overdracht van gegevens' geldt en dit technisch mogelijk is. | Rechtstreekse overdracht |
PRIV_U.03.03.01 | De verwerkingsverantwoordelijke stelt iedere ontvanger, aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoektAVG Art. 19. | Notificatie bij rectificatie, gegevenswissing of verwerkingsbeperking |
PRIV_U.03.03.03 | De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. | Informatie over afwikkeling correctieverzoek |
PRIV_U.03.03.04 | Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG Art. 12 lid 3. | Elektronische verwerking van het verzoek |
PRIV_U.03.03.05 | De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG Art. 12 lid 1. | Geïnformeerd, schriftelijk of op andere wijze |
PRIV_U.03.03.06 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 12 lid 4. | Informatie over geen gevolg geven aan het correctieverzoek |
PRIV_U.03.03.07 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 11 en 12; zie ook AVG overweging 57. | Identificatie van betrokkene |
PRIV_U.04.01.01 | De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG Art. 32 lid 3. | Toegang wordt beperkt |
PRIV_U.04.01.02 | Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
| Fysieke beveiliging, wijze van verzamelen |
PRIV_U.04.01.03 | Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan. | Organisatorische beveiliging, planmatig, aantoonbaar |
PRIV_U.04.01.04 | De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG Art. 32; dit is 'het informatiebeveiligingsartikel': | Passend beveiligingsniveau |
PRIV_U.04.02.01 | De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair. | Passend beschermingsniveau, proportioneel en subsidiair |
PRIV_U.04.02.02 | De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG Art. 32 lid 2. | Risicoanalyse |
PRIV_U.04.02.03 | Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn. | Gedragscode, certificering |
PRIV_U.05.01.01 | De toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG Art. 6 lid 1, het doorgeven aan derden en het verder verwerkenAVG Art. 14 lid 3. Dit geldt voor persoonsgegevens die via betrokkenen of anderen worden of zijn verkregen. | Toestemming van de betrokkene vooraf |
PRIV_U.05.01.02 | Informatie over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrektAVG Art. 14 lid 3. | Informatie over niet van betrokkene verkregen persoonsgegevens |
PRIV_U.05.02.01 | Het verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagdAVG Art. 7 lid 2. | Informatievereisten bij verzoek om toestemming |
PRIV_U.05.02.02 | Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 13:
| Informatie aan betrokkene |
PRIV_U.05.02.03 | Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 7:
| Informatie aan betrokkene indien andere bron |
PRIV_U.05.03.01 | De verplichting tot het verstrekken van informatie geldt niet, indien:
| Informeren bij toestemming soms niet verplicht |
PRIV_U.05.04.01 | De toestemming moet door de betrokkene vrijelijk gegeven kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG Art. 14 lid 4. | Toestemming vrijelijk gegeven |
PRIV_U.05.04.02 | Bij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG Art. 8. | Toestemming indien kind jonger is dan 16 jaar |
PRIV_U.06.01.01 | Als de bewaartermijnen verlopen, zijn de gegevens verwijderd, vernietigd of geanonimiseerd. | Maatregelen na verlopen bewaartermijn |
PRIV_U.06.01.02 | De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren. | Bewaking van de noodzaak tot bewaren |
PRIV_U.06.02.01 | Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd. | Bewaartermijnen worden vastgesteld en bekrachtigd |
PRIV_U.06.02.02 | De bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG Art. 5 lid 1e. | Maximale bewaartermijn |
PRIV_U.06.02.03 | Als in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn. | Sectorspecifieke bewaartermijnen |
PRIV_U.06.02.04 | Wanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AVGAVG art. 89 lid 1. | Langere opslagperiode voor specifieke doelen (onderzoek, statistiek) |
PRIV_U.07.01.01 | Bij doorgifte aan een andere verantwoordelijke zijn:
| De onderlinge verantwoordelijkheden |
PRIV_U.07.02.01 | De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegdAVG Art. 28 lid 2, met daarin:
| Afdoende garanties formeel vastgelegd |
PRIV_U.07.02.02 | In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
| Bepalingen overeengekomen met de verwerker |
PRIV_U.07.02.03 | De overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld. | Schriftelijk vastleggen |
PRIV_U.07.03.01 | Als een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de EU aangewezen, tenzij:
| Vertegenwoordiger in de EU |
PRIV_U.07.03.02 | De verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA), door de verwerker. | Afdoende garanties voor passende maatregelen |
PRIV_U.07.03.03 | Een verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG Art. 28 lid 1. | Toestemming voor het door een andere verwerker laten uitvoeren van de verwerking |
PRIV_U.07.04.01 | De verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Art. 48. | Uitzonderingsgrond voor de verwerking |
PRIV_U.07.04.02 | De doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie. | Uitzonderingsgrond voor doorgifte |
PRIV_U.07.05.01 | Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG Art. 45. | Adequaatheidsbesluit |
PRIV_U.07.06.01 | Wanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG Art. 46:
| Passende waarborgen bij afwezigheid adequaatheidsbesluit |
PRIV_U.07.06.02 | Als bindende bedrijfsvoorschriften worden gebruikt om passende waarborgen te bieden, dan:
| Passende waarborgen bij aanwezigheid adequaatheidsbesluit |
PRIV_U.07.06.03 | Wanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49.. | Passende waarborgen, beëindigen van doorgifte en informeren van betrokkene |
PRIV_U.07.07.01 | De doorgifte mag ook plaatsvinden alsAVG Art. 49:
| Afwijking voor een specifieke situatie |