Risicomanagement, Privacy by Design en de GEB

Uit NORA Online
ISOR:Risicomanagement- Privacy by Design en de GEB /
Versie door Jbreeman (Overleg | bijdragen) op 3 sep 2018 om 12:45 (s uitwerking vaan aangepast)

Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)

Verwante principes

Privacy Beleid: het beleidsdomein
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Risicomanagement is een continu proces dat de privacyrisico's signaleert, beoordeelt en een passende behandeling daarvan bewaakt. Privacy-risicomanagement richt zich op het beheersen van privacyrisico's bij het verwerken, waaronder verzamelen, opslaan en doorgeven van persoonsgegevens. Door middel van privacy-risicomanagement worden, bij de ontwikkeling, de inrichting en de inzet van de gegevensverwerking de organisatie de privacyrisico's in lijn gebracht met het privacybeleid (zie: B01, §2.1.1). Zo wordt voldaan aan de wet- en regelgeving en waarbij de belangen van de betrokkenen gewaarborgd worden.


Criterium

De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.

Doelstelling

Beoordeling van de privacyrisico's (de kans en hun potentiele omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht.

Risico

Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de Avg voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt.

Indeling binnen ISOR

Dit privacyprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet AVG , in het bijzonder van Avg Art. 24; 25; 35; 36; 42 en Uitvoeringswet Avg.

Onderliggende normen

IDConformiteitsindicatorStellingPagina
PRIV_B.03.01.01het beoordelen van de privacyrisico'sWanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1.Het beoordelen van de privacyrisico's, hoog risico
PRIV_B.03.01.02het beoordelen van de privacyrisico'sWanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in.Het beoordelen van de privacyrisico's, advies van FG
PRIV_B.03.01.03het beoordelen van de privacyrisico'sTen minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11..Het beoordelen van de privacyrisico's, bij wijzigingen
PRIV_B.03.01.04het beoordelen van de privacyrisico'sWanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36..Het beoordelen van de privacyrisico's, i.r.t. DPIA
PRIV_B.03.02.01passende maatregelenDe maatregelen bestaan uit technische en organisatorische maatregelen.Passende maatregelen, technisch en organisatorisch
PRIV_B.03.02.02passende maatregelenPassende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25.Passende maatregelen, passend
PRIV_B.03.02.03passende maatregelenDe maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's)Passende maatregelen, continuïteit
PRIV_B.03.02.04passende maatregelenDe resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.Passende maatregelen i.r.t. de DPIA
PRIV_B.03.03.01aantonenVan alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden.Aantonen onderkende risico's en maatregelen
PRIV_B.03.03.02aantonenEen procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten.Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten
PRIV_B.03.03.03aantonenDe risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's.Aantonen aanpak risicomanagement
PRIV_B.03.03.04aantonenEen tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.Aantonen toepassen DPIA toetsmodel
PRIV_B.03.03.05aantonenPrivacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Aantonen privacy by design