ID | Stelling | Norm |
---|
PRIV_C.01.01.01 | De verantwoordelijke en - indien aangesteld - de Functionaris voor gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd. | Toezien op het voldoen aan de wettelijke verplichtingen |
PRIV_C.01.01.02 | Als blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management. | Evaluatierapportage bij niet voldoen |
PRIV_C.01.01.03 | Er is een planning van activiteiten in het kader van het beoordelen van de compliancy. | Planmatige controle op compliancy |
PRIV_C.01.02.01 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Rechtmatigheid van de verwerking aantonen |
PRIV_C.01.02.02 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). | Rechtmatigheid aangetoond, toereikende verwerking |
PRIV_C.01.02.03 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking ten aanzien van de betrokkene rechtmatig is. | Rechtmatigheid aantonen |
PRIV_C.01.02.04 | Bij het aantonen van de rechtmatigheid wordt gebruik gemaakt van de overeenkomsten voor de doorgiften zoals beschreven in PRIV_U.07: Doorgifte persoonsgegevens. | Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte |
PRIV_C.01.02.05 | Aangetoond is dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid). | Gewaarborgde bescherming |
PRIV_C.01.02.06 | Aangetoond is dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. | Juiste en actuele gegevens |
PRIV_C.01.02.07 | Aangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform B.03: Risicomanagement, Privacy by Design en de DPIA. | Aantoonbaar behoorlijke verwerking |
PRIV_C.01.02.08 | Aangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens, PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_C.02 Toegang gegevensverwerking voor betrokkenen. | Aantoonbaar transparante verwerking |
PRIV_C.01.02.09 | De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG Art. 5 lid 2. | Compliancydossier |
PRIV_C.01.02.10 | Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register (PRIV_U.02: Register van verwerkingsactiviteiten). | Compliancy en compleetheid aantonen met het gegevensregister |
PRIV_C.02.01.01 | De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens. | Informatie aan betrokkene over de verwerking van persoonsgegevens |
PRIV_C.02.01.02 | De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG Art. 15:
- De verwerkingsdoeleinden;
- De betrokken categorieën persoonsgegevens;
- De ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
- Indien mogelijk: de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of, als dat niet mogelijk is, de criteria om die termijn te bepalen;
- Dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat zijn persoonsgegevens te rectificeren of te wissen of de verwerking van de hem betreffende persoonsgegevens te beperken, alsmede het recht tegen die verwerking bezwaar te maken;
- Dat de betrokkene het recht heeft klacht in te dienen bij de AP;
- Wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
- Het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, inclusief nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
- Bij doorgifte aan een derde land of een internationale organisatie en op verzoek van betrokkene de informatie over van de passende waarborgen;
- Op verzoek van betrokkene een kopie van de persoonsgegevens die worden verwerkt.
| Welke informatie wordt verstrekt |
PRIV_C.02.01.03 | De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG Art. 14 lid 4. | Geen afbreuk aan rechten en vrijheden van anderen |
PRIV_C.02.02.01 | De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG Art. 12 lid 3 en 4, tenzij:
- De complexiteit van de verzoeken en van het aantal verzoeken verlenging nodig maakt, en:
- De informatie binnen een termijn van nog eens twee maanden worden verstrekt, en:
- De betrokkene binnen één maand na ontvangst van het verzoek in kennis wordt gesteld van een dergelijke verlenging.
| Tijdige verstrekking op verzoek van betrokkene |
PRIV_C.02.02.02 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
Is de betrokkene onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek meegedeeld waarom het verzoek zonder gevolg is gebleven, en:
Is de betrokkene geïnformeerd over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen. | Tijdig informeren bij geen gevolg aan verzoek van betrokkene |
PRIV_C.02.03.01 | De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG Art. 12 lid 1. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG Art. 12 lid 7. | Passende, begrijpelijke en toegankelijke wijze van informeren |
PRIV_C.02.03.02 | De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt. | Informatie wordt schriftelijk en/of elektronisch verstrekt |
PRIV_C.02.03.03 | Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is. | Mondelinge informatieverstrekking |
PRIV_C.02.03.04 | Het verstrekken van de informatie en de communicatie zijn kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. Als de verzoeken buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, dan mag de verwerkingsverantwoordelijke ofwel:
- Een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan, ofwel:
- Weigeren gevolg te geven aan het verzoek.
| Kosteloos, tenzij onredelijk |
PRIV_C.02.03.05 | De verantwoordelijke beschikt over gegevens ter identificatie van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig PRIV_U.01: Doelbinding gegevensverwerking) om nog persoonsgegevens van betrokkene te verwerkenAVG Art. 11. Als identificatie niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld. | Gegevens ter identificatie van de betrokkene |
PRIV_C.02.04.01 | De verantwoordelijke verstrekt geen informatie als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG Art. 23. | Specifieke uitzonderingsgronden |
PRIV_C.03.01.01 | Een datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is. | Datalek melden aan de AP |
PRIV_C.03.01.02 | De melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. | Eisen aan de melding aan AP |
PRIV_C.03.01.03 | Een datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02). | Datalek melden aan betrokkene |
PRIV_C.03.01.04 | In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. | Eisen aan de melding aan betrokkene |
PRIV_C.03.01.05 | De melding aan de betrokkene is in duidelijke en eenvoudige taal. | Duidelijke en eenvoudige taal |
PRIV_C.03.02.01 | Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. | Inbreuk melden aan verwerkingsverantwoordelijke |
PRIV_C.03.02.02 | De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. | Termijn voor melden aan AP |
PRIV_C.03.02.03 | Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. | Motivering bij vertraagde melding |
PRIV_C.03.02.04 | De melding aan de betrokkene gebeurt onverwijld. | Directe melding aan betrokkene |
PRIV_C.03.03.01 | De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Registratie en documentatie van de inbreuken |
PRIV_C.03.03.02 | De documentatie stelt de AP in staat de naleving te controleren. | Naleving controleren op basis van documentatie |
PRIV_C.03.03.03 | De documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Noodzakelijke gegevens in de documentatie |
PRIV_C.03.03.04 | Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87. | Kennisgeving vastleggen |
PRIV_C.03.04.01 | De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, of:
Wanneer melding afbreuk zou doen aan een zwaarwegend belang;
De verantwoordelijke een aanbieder is van openbare elektronische communicatiediensten zoals bedoeld in de TelecommunicatiewetAVG Art. 95. | Uitzondering op meldplicht aan AP |
PRIV_C.03.04.02 | De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
- Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of:
- De verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of:
- De verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of:
- De mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of:
- Het een verwerking is die berust op een andere wettelijke bepaling waarvoor een specifieke meldplicht geldt AVG Art. 23; UAVG Art. 42, of:
- De organisatie een financiële onderneming is in de zin van de Wet op het financieel toezichtUAVG Art. 42.
- De verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteitAVG overweging 18.
| Uitzondering op meldplicht aan betrokkene |