Privacy in de NORA: verschil tussen versies

Uit NORA Online
Ga naar: navigatie, zoeken
(inleiding)
(cip uitgeschreven en link)
(3 tussenliggende versies door dezelfde gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem niet weergegeven)
Regel 1: Regel 1:
{{Concept|rianne.bennink@ictu.nl}}
+
Om te toetsen hoe privacy geborgd is in de NORA zijn de basis en afgeleide principes nagelopen door het [https://www.cip-overheid.nl/ Centrum voor Informatiebeveiliging en Privacybescherming] (CIP). Bijkomend doel van deze exercitie is om een idee te krijgen over of de (afgeleide) principes van de NORA voldoende houvast bieden vanuit het perspectief van privacy. Hieronder vind je een overzicht van de principes die bijdragen aan het borgen van privacy en de rationale daarachter. Heb je op of aanmerkingen op deze lijst, laat dat dan vooral weten aan ons via [mailto:nora@ictu.nl nora@ictu.nl]
Om te toetsen hoe privacy geborgd is in de NORA zijn de basis en afgeleide principes nagelopen door het CIP. Bijkomend doel is om een idee te krijgen over of de (afgeleide) principes van de NORA voldoende houvast bieden vanuit het perspectief van privacy. Hieronder vind je een (voorlopig) overzicht van de principes die bijdragen aan het borgen van privacy en de rationale daarachter.  
 
  
 
==Privacy in de Basis Principes==
 
==Privacy in de Basis Principes==
Hieronder volgt een beschrijving van hoe de basisprincipes gerelateerd zijn aan het thema privacy.
+
{{Kaderrechts|Aan privacy gerelateerde Basis principes:
{{Kaderrechts|Relevante Basis principes:
 
 
* BP08 [[Vertrouwelijkheid]]  
 
* BP08 [[Vertrouwelijkheid]]  
 
* BP06 [[Transparant]]  
 
* BP06 [[Transparant]]  
Regel 10: Regel 8:
 
* BP01 [[Proactief]]
 
* BP01 [[Proactief]]
 
* BP07 [[Noodzakelijk]]}}
 
* BP07 [[Noodzakelijk]]}}
 
 
Het Basisprincipe 8 [[Vertrouwelijkheid]] is de belangrijkste doelstelling voor overheden in NORA, die bescherming van persoonsgegevens borgt. Want: ‘De dienstverlener garandeert dat informatie alleen toegankelijk is voor bevoegde personen en alleen wordt gebruikt voor het doel waarmee zij is verzameld.’  
 
Het Basisprincipe 8 [[Vertrouwelijkheid]] is de belangrijkste doelstelling voor overheden in NORA, die bescherming van persoonsgegevens borgt. Want: ‘De dienstverlener garandeert dat informatie alleen toegankelijk is voor bevoegde personen en alleen wordt gebruikt voor het doel waarmee zij is verzameld.’  
  
Regel 22: Regel 19:
  
 
==Privacy in de Afgeleide Principes==
 
==Privacy in de Afgeleide Principes==
 
+
{{Kaderrechts| Aan privacy gerelateerde Afgeleide Principes:
{{Kaderrechts|Relevante Afgeleide Principes:
 
 
* AP05 [[Nauwkeurige dienstbeschrijving]]
 
* AP05 [[Nauwkeurige dienstbeschrijving]]
 
* AP15 [[Doelbinding|Doelbinding]]
 
* AP15 [[Doelbinding|Doelbinding]]
Regel 43: Regel 39:
 
* AP43 [[Vertrouwelijkheid]]
 
* AP43 [[Vertrouwelijkheid]]
 
* AP44 [[Controleerbaarheid]]}}
 
* AP44 [[Controleerbaarheid]]}}
+
'''Doelbinding'''
 +
 
 +
[[Doelbinding]] (AP15) beschrijft dat het doel waarmee gegevens worden gebruikt verenigbaar moet zijn met het doel waarmee ze verzameld zijn. Dit moet voorkomen dat persoonsgegevens voor andere dan de ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden’ worden gebruikt. Deze doelbinding kan vast worden gelegd in de meta-data [[Afspraken vastgelegd]](AP28).
 +
 
 +
'''Informatiebeveiliging'''
 +
 
 +
AP’s 40- 44 zijn recent toegevoegd om ervoor te zorgen dat informatiebeveiliging beter geborgd is in de NORA. Informatiebeveiliging en privacy liggen als thema’s dicht bij elkaar, goede informatiebeveiliging is een randvoorwaarde voor het garanderen van privacy. Daarmee zijn de nieuwe informatiebeveiliging AP’s 42, 43 en 44 essentieel voor het borgen van privacy. Waarbij AP43 [[Vertrouwelijkheid]] direct bijdraagt aan de realisatie van het BP08 [[Vertrouwelijk]]. AP44 draagt vooral bij aan de [[transparantie]] (BP06). En [[Integriteit|Integriteit (van gegevens)]]AP42 houdt vooral verband met de betrouwbaarheid van de gegevens (BP09). 
  
Doelbinding (AP15) beschrijft dat het doel waarmee gegevens worden gebruikt verenigbaar moet zijn met het doel waarmee ze verzameld zijn. Dit moet voorkomen dat persoonsgegevens voor andere dan de ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden’ worden gebruikt. Deze doelbinding kan vast worden gelegd in de meta-data (AP28).
+
'''Gebruikersperspectief'''
  
AP’s 40- 44 zijn recent toegevoegd om ervoor te zorgen dat informatiebeveiliging beter geborgd is in de NORA. Informatiebeveiliging en privacy liggen als thema’s dicht bij elkaar. Het is dan misschien ook niet verwonderlijk dat de nieuwe informatiebeveiliging AP’s 42, 43 en 44 als essentieel voor het borgen van privacy worden gezien. Waarbij AP43 Vertrouwelijkheid direct bijdraagt aan de realisatie van het BP08 Vertrouwelijk. AP44 draagt vooral bij aan de transparantie (BP06). En AP42 houdt vooral verband met de betrouwbaarheid van de gegevens (BP09). Informatiebeveiliging op zichzelf is ook noodzakelijk om bescherming van persoonsgegevens en daarmee privacy überhaupt zo goed mogelijk te borgen.
+
Vanuit het gebruikersperspectief wordt privacy versterkt door inzicht in je eigen gegevens door [[Transparante dienstverlening]] AP25, [[Afnemer heeft inzage]] AP26 en [[controleerbaarheid]] AP44. Daarmee is [[Verantwoording dienstlevering mogelijk]] AP30. Er moet sowieso met [[vertrouwelijkheid]] AP43 met informatie worden omgegaan .  
 
Vanuit het gebruikersperspectief wordt privacy versterkt door: inzicht in de eigen gegevens door transparante dienstverlening (25), inzage (26) en controleerbaarheid (44). Ook is verantwoording hierover mogelijk (30). Vervolgens mag je ervan uitgaan dat er vertrouwelijk met je informatie wordt omgegaan (43).  
 
  
AP24 Proactief realiseert BP01 Proactief en daarmee het ‘by design’ aspect van privacy by design
+
'''By design'''
  
De AP’s 27-34 zorgen ervoor dat privacy by design bestuurlijk geborgd is doordat; in de keten één organisatie verantwoordelijk is (AP27), de afspraken zijn vastgelegd (AP28), en de dienstverlener aan de norm voldoet (AP29), waarbij verantwoording mogelijk is (AP30), de kwaliteit van de dienst bestuurd wordt op basis van cyclische terugkoppeling (AP31), er op het hoogste niveau op kwaliteit gestuurd wordt (AP32), de kwaliteitscriteria, standaarden en best practices zijn vertaald in een baseline waaraan de dienst voldoet (AP33) en de dienstverlener legt bestuurlijke verantwoording af over de mate van transparantie en control (AP34).
+
AP24 [[Proactief]] realiseert BP01 [[Proactief]] en daarmee het ‘by design’ aspect van privacy by design. De AP’s 27-34 zorgen ervoor dat privacy by design bestuurlijk geborgd is doordat; in de keten is [[Een verantwoordelijke organisatie]] AP27, [[Afspraken vastgelegd]] AP28 en [[De dienstverlener voldoet aan de norm]] AP29. Hierdoor is [[Verantwoording dienstlevering mogelijk]] AP30. De kwaliteit van de dienst wordt via een [[PDCA-cyclus in besturing kwaliteit]] AP31 verder geborgd. [[Sturing kwaliteit op het hoogste niveau]] AP32 betekend dat dit op het hoogste niveau belegd is. De kwaliteitscriteria, standaarden en best practices zijn vertaald in een [[Baseline kwaliteit diensten]] AP33 en de dienstverlener legt bestuurlijke verantwoording af over de mate van transparantie en control via AP34: [[Verantwoording besturing kwaliteit]].
  
 
[[Categorie:Onderwerpen]]
 
[[Categorie:Onderwerpen]]
 
[[Categorie:Privacy]][[Categorie:Thema's]]
 
[[Categorie:Privacy]][[Categorie:Thema's]]

Versie van 9 nov 2017 om 15:20

Om te toetsen hoe privacy geborgd is in de NORANederlandse Overheid Referentie Architectuur zijn de basis en afgeleide principes nagelopen door het Centrum voor Informatiebeveiliging en Privacybescherming (CIP). Bijkomend doel van deze exercitie is om een idee te krijgen over of de (afgeleide) principes van de NORANederlandse Overheid Referentie Architectuur voldoende houvast bieden vanuit het perspectief van privacy. Hieronder vind je een overzicht van de principes die bijdragen aan het borgen van privacy en de rationale daarachter. Heb je op of aanmerkingen op deze lijst, laat dat dan vooral weten aan ons via nora@ictu.nl

Privacy in de Basis Principes

Aan privacy gerelateerde Basis principes:

Het Basisprincipe 8 Vertrouwelijkheid is de belangrijkste doelstelling voor overheden in NORANederlandse Overheid Referentie Architectuur, die bescherming van persoonsgegevens borgt. Want: ‘De dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers) garandeert dat informatie alleen toegankelijk is voor bevoegde personen en alleen wordt gebruikt voor het doel waarmee zij is verzameld.’

Basisprincipe 6 Transparant transparant is een voorwaarwaarde om voor controleerbaarheid. Als het onbekend is waarvoor persoonsgegevens worden gebruikt is het lastig om te toetsen of dit rechtmatig wordt gedaan.

Basisprincipe nummer 9 Betrouwbaar heeft vooral betrekking op de juistheid en daarmee betrouwbaarheidDe mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. Maar afnemers mogen er ook van uitgaan dat de dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers) zich aan de afspraken houdt, bijvoorbeeld in het geval van privacy de Wbp en vanaf 25 mei 2018 de AVG.

Proactief (BP01) is de grondhouding van privacy by design. Als organisatie denk je proactief na over hoe je gegevensverwerkingsprocessen zo inricht dat de privacy geborgd is in het ontwerpen van de informatiehuishoudingHet totaal aan regels en voorzieningen gericht op de informatiestromen en –opslag of archivering ter ondersteuning van de primaire processen..

BP07 Noodzakelijk stelt dat afnemers niet worden geconfronteerd met onnodige vragen. Daarmee is dit principe gekoppeld aan het afgeleide principe ‘eenmalige uitvraag’. Dit stimuleert de overheid om reeds beschikbare informatie optimaal te gebruiken. Daarmee staat dit principe soms op gespannen voet met het afgeleide principe ‘doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.’ en dus met het borgen van privacy.

Privacy in de Afgeleide Principes

Doelbinding

Doelbinding (AP15) beschrijft dat het doel waarmee gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gebruikt verenigbaar moet zijn met het doel waarmee ze verzameld zijn. Dit moet voorkomen dat persoonsgegevens voor andere dan de ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden’ worden gebruikt. Deze doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. kan vast worden gelegd in de meta-data Afspraken vastgelegd(AP28).

Informatiebeveiliging

AP’s 40- 44 zijn recent toegevoegd om ervoor te zorgen dat informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beter geborgd is in de NORANederlandse Overheid Referentie Architectuur. Informatiebeveiliging en privacy liggen als thema’s dicht bij elkaar, goede informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. is een randvoorwaarde voor het garanderen van privacy. Daarmee zijn de nieuwe informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. AP’s 42, 43 en 44 essentieel voor het borgen van privacy. Waarbij AP43 Vertrouwelijkheid direct bijdraagt aan de realisatie van het BP08 Vertrouwelijk. AP44 draagt vooral bij aan de transparantie (BP06). En Integriteit (van gegevens)AP42 houdt vooral verband met de betrouwbaarheidDe mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (BP09).

Gebruikersperspectief

Vanuit het gebruikersperspectief wordt privacy versterkt door inzicht in je eigen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd door Transparante dienstverlening AP25, Afnemer heeft inzage AP26 en controleerbaarheid AP44. Daarmee is Verantwoording dienstlevering mogelijk AP30. Er moet sowieso met vertrouwelijkheid AP43 met informatie worden omgegaan .

By design

AP24 Proactief realiseert BP01 Proactief en daarmee het ‘by design’ aspect van privacy by design. De AP’s 27-34 zorgen ervoor dat privacy by design bestuurlijk geborgd is doordat; in de keten is Een verantwoordelijke organisatie AP27, Afspraken vastgelegd AP28 en De dienstverlener voldoet aan de norm AP29. Hierdoor is Verantwoording dienstlevering mogelijk AP30. De kwaliteit van de dienst wordt via een PDCA-cyclus in besturing kwaliteit AP31 verder geborgd. Sturing kwaliteit op het hoogste niveau AP32 betekend dat dit op het hoogste niveau belegd is. De kwaliteitscriteria, standaarden en best practices zijn vertaald in een Baseline kwaliteit diensten AP33 en de dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers) legt bestuurlijke verantwoording af over de mate van transparantieInzicht in de werkwijze die de overheid hanteert. en control via AP34: Verantwoording besturing kwaliteit.