Relaties Privacy Baseline met Afgeleide Principes
Let op: Deze pagina moet nog herzien worden in het kader van het RFC Bindende architectuurafspraken 2022 dat per 1-1-2023 ingaat. Er is een backlog van informatieve pagina's die geraakt worden door deze ingrijpende veranderingen.
Help mee bij het herzien en actualiseren van deze pagina: nora@ictu.nl
Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) heeft de Afgeleide Principes getoetst op de borging van privacy, door deze naast de criteria van de Privacy Baseline te leggen. De afgeleide principes van de NORA en de criteria van de Privacy Baseline zijn onderzocht op 'common ground'. Deze exercitie is ook bedoeld om kritisch te kijken of er nog aanvullingen of aanpassingen van de afgeleide principes nodig zijn.
Privacy Baseline CIP[bewerken]
De behoefte om de privacywetten 'grijpbaarder' te maken was de aanleiding voor het ontstaan van de Privacy Baseline van het CIP. Binnen het CIP-netwerk werd aangedragen dat men de strekking en de bedoelingen van de privacywetgeving begreep, maar de toepassing in de organisatie lastig vond. De tweede aanleiding was het in zwang komen van de term 'informatieveiligheid', waarin informatiebeveiliging en privacybescherming met elkaar worden verknoopt.
Het idee van de Privacy Baseline is om de privacywetgeving te presenteren als een traditioneel normenkader, zoals we dat in de discipline van de Informatiebeveiliging al langer kennen. De privacywetgeving, aanvankelijk de Wet Bescherming Persoonsgegevens en vanaf mei 2018 de AVG (Algemene Verordening Gegevensbescherming), is in de Privacy Baseline vertaald naar 13 criteria die vervolgens systematisch zijn uitgewerkt in 'conformiteitsindicatoren': concrete aanwijzingen over hoe je het betreffende principe kunt verwezenlijken. Er is een analogie met de bekende nomenkaders voor de informatiebeveiliging, maar in zijn aanpak stoelt de Privacy Baseline op de systematische benadering van de SIVA-methodiek. Deze is de afgelopen jaren door CIP verspreid en wordt steeds meer toegepast in overheidskringen. Er zijn drie typen baseline principes: de b staat voor het beleidsdomein, de u voor het uitvoeringsdomein en de c voor controle/beheer.
Relaties Principes Privacy Baseline (=Privacyprincipes) en Afgeleide Principes[bewerken]
De relaties tussen de baseline en de afgeleide principes zijn soms behoorlijk 1-op-1, maar soms vereist de bedoelde overeenkomst enige lenigheid van denken. Dit komt door de uiteenlopende herkomst en scope van de NORA en Privacy Baseline. U01 Doelbinding en Doelbinding (AP) Doelbinding zijn bijvoorbeeld één op één te vertalen. Voor de doorgifte van persoonsgegevens is ook Doelbinding (AP) Doelbinding van belang, maar dit privacy baseline principe is terug te vinden in nog vier AP's.
Hieronder staat een overzicht van de gevonden common ground tussen de Privacy Baseline Principes aan de linkerkant en de Afgeleide Principes aan de rechterkant. De eventuele toelichting van de relatie vind je in het midden. Heb je op of aanmerkingen? Schroom deze dan niet te melden via: nora@ictu.nl.
| ID | Privacy Baseline Principe | Beschrijving relatie | ID NORA | NORA principe |
|---|---|---|---|---|
| PRIV_C.02 | Toegang gegevensverwerking voor betrokkenen | Doordat een betrokkene inzage heeft in de eigen informatie en de gegevensverwerking (het gebruik) kan een betrokkene zien hoe de privacy wordt geborgd. | AP26 | Afnemer heeft inzage |
| PRIV_U.03 | Kwaliteitsmanagement | AP26 | Afnemer heeft inzage | |
| PRIV_U.07 | Doorgifte persoonsgegevens | In de afspraken is de dienst nauwkeurig beschreven, is bekend wie de afnemers zijn en zijn de afspraken nauwkeurig vastgelegd. Dit gebeurt voorafgaand aan de gegevenslevering. | AP28 | Afspraken vastgelegd |
| PRIV_U.03 | Kwaliteitsmanagement | AP33 | Baseline kwaliteit diensten | |
| PRIV_U.06 | Bewaren van persoonsgegevens | AP33 | Baseline kwaliteit diensten | |
| PRIV_U.04 | Beveiligen van de verwerking van persoonsgegevens | AP33 | Baseline kwaliteit diensten | |
| PRIV_B.03 | Risicomanagement, Privacy by Design en de DPIA | De risico's en de genomen maatregelen, bestaande uit de gehanteerde baseline en de benodigde aanvullende maatregelen zijn duideljk. Om het passend zijn van de maatregelen in de tijd te borgen vindt er continu management plaats, waarbij de resultaten worden meegenomen in de criteria B.01 Privacybeleid en B.02 Organieke inbedding. | AP33 | Baseline kwaliteit diensten |
| PRIV_B.01 | Privacy Beleid geeft duidelijkheid en sturing | In het beleid is vastgelegd aan welke baseline het dienstenportfolio moet voldoen, zodat duidelijk is aan welke kwaliteitscriteria wordt voldaan. Het volwassenheidsmodel helpt de baseline te hanteren. | AP33 | Baseline kwaliteit diensten |
| PRIV_U.06 | Bewaren van persoonsgegevens | AP44 | Controleerbaarheid | |
| PRIV_U.03 | Kwaliteitsmanagement | AP44 | Controleerbaarheid | |
| PRIV_C.01 | Intern toezicht | AP44 | Controleerbaarheid | |
| PRIV_U.04 | Beveiligen van de verwerking van persoonsgegevens | AP29 | De dienstverlener voldoet aan de norm | |
| PRIV_U.01 | Doelbinding gegevensverwerking | Doelbinding wordt geborgd door het van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk vastleggen en omschrijven van de doeleinden en de rechtvaardigingsgronden. | AP15 | Doelbinding (AP) |
| PRIV_U.07 | Doorgifte persoonsgegevens | Van alle uit te wisselen en uitgewisselde objecten moet eenduidig zijn vastgelegd hoe aan de privacywetgeving wordt en blijft voldaan. | AP15 | Doelbinding (AP) |
| PRIV_U.01 | Doelbinding gegevensverwerking | Van iedere doelbinding ligt vast wie namens de organisatie verantwoordelijk is voor de doelbinding: de verwerkingsverantwoordelijke. | AP27 | Een verantwoordelijke organisatie |
| PRIV_U.07 | Doorgifte persoonsgegevens | De onderlinge verantwoordelijkheden moeten eenduidig zijn vastgelegd, zodat de betrokkene weet wie aan te spreken. | AP27 | Een verantwoordelijke organisatie |
| PRIV_U.02 | Register van verwerkingsactiviteiten | In het register zijn alle objecten eenduidig vastgelegd. | AP16 | Identificatie informatie-objecten |
| PRIV_U.07 | Doorgifte persoonsgegevens | Over alle gegevensuitwisselingen heen moet een actueel en samenhangend beeld bestaan. | AP17 | Informatie-objecten systematisch beschreven |
| PRIV_U.02 | Register van verwerkingsactiviteiten | Van de persoonsgegevens zijn de metagegevens vastgelegd, zodat duidelijk is of er uitwisseling / door wie verwerking plaatsvindt en er een actueel en samenhangend beeld ontstaat (transparant en toegankelijk). | AP17 | Informatie-objecten systematisch beschreven |
| PRIV_U.05 | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | De gegevensverwerking dient nauwkeurig en helder (transparant) te zijn beschreven, zodat duidelijk is op welke wettelijke basis of goedkeuring van betrokkene de gegevensverwerking kan plaatsvinden en hoe een eventueel afgegeven goedkeuring kan worden ingetrokken. De goedkeuring vindt in een dialoog plaats. | AP05 | Nauwkeurige dienstbeschrijving |
| PRIV_B.01 | Privacy Beleid geeft duidelijkheid en sturing | Van de dienst (in AVG-termen: de gegevensverwerking) is duidelijk hoe de privacy wordt gewaarborgd. | AP05 | Nauwkeurige dienstbeschrijving |
| PRIV_C.01 | Intern toezicht | Het houden van intern toezicht is nodig om te bepalen of de verwerking / dienst aan de vereisten voldoet en maakt daarmee onderdeel uit van het gestructureerde cyclisch proces. | AP31 | PDCA-cyclus in besturing kwaliteit |
| PRIV_B.01 | Privacy Beleid geeft duidelijkheid en sturing | Borging vindt plaats in een cyclisch beleidscyclus. Deze is in het privacybeleid vastgelegd. | AP31 | PDCA-cyclus in besturing kwaliteit |
| PRIV_U.07 | Doorgifte persoonsgegevens | Van alle partijen waaraan gegevens worden doorgegeven moeten afspraken vastliggen hoe het klantcontact is geregeld. | AP20 | Persoonlijke benadering |
| PRIV_U.05 | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Dit criterium geldt voor alle klantcontacten en alle verwerkingen. | AP20 | Persoonlijke benadering |
| PRIV_U.04 | Beveiligen van de verwerking van persoonsgegevens | De AVG geeft rechten van de burger een centrale plaats; door de introductie in de wet van het ontwikkelprincipe Privacy by Design en de vereisten van PET, en de eis van Privacy by Default, moet de dienstverlener ook in de ontwikkelstadia rekening houden met de afnemer van de dienst, in dit geval de burger, wiens informatie in de beoogde gegevensverwerking wordt gebruikt. | AP19 | Perspectief gebruiker |
| PRIV_B.01 | Privacy Beleid geeft duidelijkheid en sturing | Het privacybeleid is op het hoogste niveau van de organisatie goedgekeurd en geldt daarmee voor de gehele organisatie, waardoor de samenhang over der verschillende domeinen heen en voor de gehele dienstenportfolio geldt. | AP32 | Sturing kwaliteit op het hoogste niveau |
| PRIV_B.02 | Organieke inbedding | De verantwoordelijkheden zijn in de TVB van de organisatie vastgelegd. Deze TVB is op het hoogste niveau vastgesteld. | AP32 | Sturing kwaliteit op het hoogste niveau |
| PRIV_U.03 | Kwaliteitsmanagement | De kwaliteit en daarmee de juistheid en nauwkeurig-heid van de persoonsgegevens wordt in de gegevens-verwerking geborgd. Bij onnauwkeurigheid, ook wanneer een gegeven niet meer actueel is, zijn er processen, waarmee de gegevens gecorrigeerd, gestaakt en zonodig overgedragen kunnen worden. Deze mogelijk gaat verder dan interne controle op de juistheid. Ook de juistheid in de ogen van de betrokkene moet zijn gewaarborgd. | AP25 | Transparante dienstverlening |
| PRIV_C.02 | Toegang gegevensverwerking voor betrokkenen | AP34 | Verantwoording besturing kwaliteit | |
| PRIV_B.03 | Risicomanagement, Privacy by Design en de DPIA | AP34 | Verantwoording besturing kwaliteit | |
| PRIV_C.01 | Intern toezicht | Toezicht maakt het de verantwoordelijke van de gegevensverwerking mogelijk om op ieder niveau verantwoording te kunnen afleggen over de kwaliteit van de privacyborging. | AP34 | Verantwoording besturing kwaliteit |
| PRIV_U.04 | Beveiligen van de verwerking van persoonsgegevens | De normen waaraan de informatiebeveiliging moet voldoen zijn vastgelegd. | AP30 | Verantwoording dienstlevering mogelijk |
| PRIV_U.06 | Bewaren van persoonsgegevens | Dit criterium legt de bewaartermijn en de wijze van bewaren vast. Dit is direct gerelateerd aan rechtmatigheid. | AP30 | Verantwoording dienstlevering mogelijk |
| PRIV_C.03 | Meldplicht Datalekken | Als het beschermen van de privacy niet aan de kwaliteitscriteria heeft voldaan waarbij mogelijk de privacy bij is geschaad, dan wordt aan betrokkene(n) en bevoegde controlerende instanties daarover duidelijkheid verschaft en verantwoording afgelegd. | AP30 | Verantwoording dienstlevering mogelijk |
| PRIV_C.02 | Toegang gegevensverwerking voor betrokkenen | Door het bieden van toegang kan verantwoording worden gegeven over hoe de dienst wordt geleverd / de verwerking wordt vormgegeven en hoe het beheer plaatsvindt. | AP30 | Verantwoording dienstlevering mogelijk |