Privacy Control: het control- of beheerdomein

Uit NORA Online
ISOR:Privacy Control /
Versie door Ruuddebruijn (Overleg | bijdragen) op 19 jun 2020 om 03:06 (titel)

(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van De Privacy Baseline.

Meer lezen

De Privacy Baseline
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

In dit hoofdstuk zijn richtlijnen opgenomen voor de specifieke beheeraspecten van de gegevensverwerking; dit houdt onder meer in dat een adequate technische- en organisatorische maatregelen moeten zijn ingericht, om de beheerprocessen vorm te geven.


Risico

Door het ontbreken van noodzakelijke maatregelen binnen het beheersingsdomein is het niet zeker dat de verwerking aan de vereisten voldoet en dat de governance van die omgeving toereikend is ingericht.

Doelstelling

De doelstelling van de laag algemene control (beheersing) is te zorgen voor en/of vast te stellen dat maatregelen ter waarborging van de privacy afdoende zijn ingericht.

Principes uit de De Privacy Baseline binnen dit aspect

IDprincipeCriterium
PRIV_C.01Intern toezichtDoor of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond.
PRIV_C.02Toegang gegevensverwerking voor betrokkenenDe verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG Art. 12, tenzij er een specifieke uitzonderingsgrond geldt.
PRIV_C.03Meldplicht DatalekkenDe verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de Autoriteit Persoonsgegevens, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.

Normen uit de De Privacy Baseline binnen dit aspect

IDStellingNorm
PRIV_C.01.01.01De verantwoordelijke en - indien aangesteld - de Functionaris voor gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd.Toezien op het voldoen aan de wettelijke verplichtingen
PRIV_C.01.01.02Als blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management.Evaluatierapportage bij niet voldoen
PRIV_C.01.01.03Er is een planning van activiteiten in het kader van het beoordelen van de compliancy.Planmatige controle op compliancy
PRIV_C.01.02.01Aangetoond is dat, conform PRIV_U.01: Doelbinding, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt.Rechtmatigheid van de verwerking aantonen
PRIV_C.01.02.02Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking).Rechtmatigheid aangetoond, toereikende verwerking
PRIV_C.01.02.03Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking ten aanzien van de betrokkene rechtmatig is.Rechtmatigheid aantonen
PRIV_C.01.02.04Bij het aantonen van de rechtmatigheid wordt gebruik gemaakt van de overeenkomsten voor de doorgiften zoals beschreven in PRIV_U.07: Doorgifte persoonsgegevens.Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte
PRIV_C.01.02.05Aangetoond is dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen).Gewaarborgde bescherming
PRIV_C.01.02.06Aangetoond is dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.Juiste en actuele gegevens
PRIV_C.01.02.07Aangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform B.03: Risicomanagement, Privacy by Design en de DPIA.Aantoonbaar behoorlijke verwerking
PRIV_C.01.02.08Aangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens, PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_C.02 Toegang gegevensverwerking voor betrokkenen.Aantoonbaar transparante verwerking
PRIV_C.01.02.09De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG Art. 5 lid 2.Compliancydossier
PRIV_C.01.02.10Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register (PRIV_U.02: Register van verwerkingsactiviteiten).Compliancy en compleetheid aantonen met het gegevensregister
PRIV_C.02.01.01De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens.Informatie aan betrokkene over de verwerking van persoonsgegevens
PRIV_C.02.01.02De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG Art. 15:
  1. De verwerkingsdoeleinden;
  2. De betrokken categorieën persoonsgegevens;
  3. De ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
  4. Indien mogelijk: de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of, als dat niet mogelijk is, de criteria om die termijn te bepalen;
  5. Dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat zijn persoonsgegevens te rectificeren of te wissen of de verwerking van de hem betreffende persoonsgegevens te beperken, alsmede het recht tegen die verwerking bezwaar te maken;
  6. Dat de betrokkene het recht heeft klacht in te dienen bij de AP;
  7. Wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
  8. Het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, inclusief nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
  9. Bij doorgifte aan een derde land of een internationale organisatie en op verzoek van betrokkene de informatie over van de passende waarborgen;
  10. Op verzoek van betrokkene een kopie van de persoonsgegevens die worden verwerkt.
Welke informatie wordt verstrekt
PRIV_C.02.01.03De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG Art. 14 lid 4.Geen afbreuk aan rechten en vrijheden van anderen
PRIV_C.02.02.01De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG Art. 12 lid 3 en 4, tenzij:
  • De complexiteit van de verzoeken en van het aantal verzoeken verlenging nodig maakt, en:
  • De informatie binnen een termijn van nog eens twee maanden worden verstrekt, en:
  • De betrokkene binnen één maand na ontvangst van het verzoek in kennis wordt gesteld van een dergelijke verlenging.
Tijdige verstrekking op verzoek van betrokkene
PRIV_C.02.02.02Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
  • Is de betrokkene onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek meegedeeld waarom het verzoek zonder gevolg is gebleven, en:
  • Is de betrokkene geïnformeerd over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
  • Tijdig informeren bij geen gevolg aan verzoek van betrokkene
    PRIV_C.02.03.01De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG Art. 12 lid 1. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG Art. 12 lid 7.Passende, begrijpelijke en toegankelijke wijze van informeren
    PRIV_C.02.03.02De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt.Informatie wordt schriftelijk en/of elektronisch verstrekt
    PRIV_C.02.03.03Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.Mondelinge informatieverstrekking
    PRIV_C.02.03.04Het verstrekken van de informatie en de communicatie zijn kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. Als de verzoeken buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, dan mag de verwerkingsverantwoordelijke ofwel:
    1. Een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan, ofwel:
    2. Weigeren gevolg te geven aan het verzoek.
    Kosteloos, tenzij onredelijk
    PRIV_C.02.03.05De verantwoordelijke beschikt over gegevens ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig PRIV_U.01: Doelbinding gegevensverwerking) om nog persoonsgegevens van betrokkene te verwerkenAVG Art. 11. Als identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld.Gegevens ter identificatie van de betrokkene
    PRIV_C.02.04.01De verantwoordelijke verstrekt geen informatie als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG Art. 23.Specifieke uitzonderingsgronden
    PRIV_C.03.01.01Een datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is.Datalek melden aan de AP
    PRIV_C.03.01.02De melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
  • De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
  • De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
  • Eisen aan de melding aan AP
    PRIV_C.03.01.03Een datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02).Datalek melden aan betrokkene
    PRIV_C.03.01.04In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
  • De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
  • Eisen aan de melding aan betrokkene
    PRIV_C.03.01.05De melding aan de betrokkene is in duidelijke en eenvoudige taal.Duidelijke en eenvoudige taal
    PRIV_C.03.02.01Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.Inbreuk melden aan verwerkingsverantwoordelijke
    PRIV_C.03.02.02De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen.Termijn voor melden aan AP
    PRIV_C.03.02.03Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.Motivering bij vertraagde melding
    PRIV_C.03.02.04De melding aan de betrokkene gebeurt onverwijld.Directe melding aan betrokkene
    PRIV_C.03.03.01De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.Registratie en documentatie van de inbreuken
    PRIV_C.03.03.02De documentatie stelt de AP in staat de naleving te controleren.Naleving controleren op basis van documentatie
    PRIV_C.03.03.03De documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.Noodzakelijke gegevens in de documentatie
    PRIV_C.03.03.04Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87.Kennisgeving vastleggen
    PRIV_C.03.04.01De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
  • Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, of:
  • Wanneer melding afbreuk zou doen aan een zwaarwegend belang;
  • De verantwoordelijke een aanbieder is van openbare elektronische communicatiediensten zoals bedoeld in de TelecommunicatiewetAVG Art. 95.
  • Uitzondering op meldplicht aan AP
    PRIV_C.03.04.02De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
    • Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of:
    • De verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of:
    • De verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of:
    • De mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of:
    • Het een verwerking is die berust op een andere wettelijke bepaling waarvoor een specifieke meldplicht geldt AVG Art. 23; UAVG Art. 42, of:
    • De organisatie een financiële onderneming is in de zin van de Wet op het financieel toezichtUAVG Art. 42.
    • De verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteitAVG overweging 18.
    Uitzondering op meldplicht aan betrokkene