Alle privacyprincipes alle eigenschappen

Uit NORA Online
Ga naar: navigatie, zoeken

Op deze pagina vind u alle eigenschappen van alle Privacyprincipes uit de NORANederlandse Overheid ReferentieArchitectuur. Privacyprincipes zijn themaprincipes die richtinggevende uitspraken doen over het thema of aspect Privacy.

Alle privacyprincipes

De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Privacyprincipes worden genoemd en gedefinieerd op de pagina Privacyprincipe. Deze tabel bevat alle mogelijke eigenschappen van Privacyprincipes, inclusief enkele technische checks. Er is ook een korte tabel met alleen de meest relevante inhoudelijke eigenschappen van privacyprincipes.

IDPrivacyprincipeTitelKent element met zelfde titelElementtypeVersieaanduidingGebruik in Nederlandse publieke sectorStatus actualiteitPracticeRedactionele wijzigingsdatumPublicatiedatumBeschrijvingCriteriumDoelstellingRisicoBeveiligingsaspectInvalshoekIs uitwerking van (specificatie)PlaatjeConformiteitsindicatorHeeft bronIs uitwerking van
PRIV_B.01Privacy Beleid geeft duidelijkheid en sturingPrivacy Beleid geeft duidelijkheid en sturingNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Privacybeleid geeft op organisatie - en strategisch niveau duidelijkheid en daarmee sturing aan de inrichting van privacy.

Inhoud

Het privacybeleid geeft aan op welke wijze - door het treffen van maatregelen - voldaan wordt aan de van toepassing zijnde wet- en regelgeving. Omdat de wet- en regelgeving externe factoren zijn, is periodieke review nodig om vast te stellen of het beleid nog voldoet. Het volstaat dus niet om eenmalig beleid op te stellen en niet meer aan te passen. Maar ook interne factoren, zoals onvoldoende effectiviteit van het beleid en gewijzigde missie of visie kunnen bepalend zijn om te komen tot aanpassing van het beleid. Door het beleidsproces cyclisch in te richten wordt bereikt dat het beleid op de ontwikkelingen en de uitvoering is afgestemd.

Proces

De ontwikkeling van de organisatie tot een organisatie die aantoonbaar aan wet- en regelgeving voldoet (ofwel: 'compliant' is aan wet- en regelgeving), vraagt om een cyclisch proces. Dit houdt in dat er sprake is van een terugkoppelmechanisme waarbij - door inzicht in de uitvoering - het beleid kan worden bijgestuurd en gecorrigeerd. De Privacy Baseline is als cyclisch proces (Beleid, Uitvoering en Control) opgezet. Afspraken hoe dit cyclische proces vormgegeven wordt maakt onderdeel uit van het beleid.
De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG art. 5 lid 1.Privacybeleid dient ervoor om op organisatie- en strategisch niveau duidelijkheid te geven over de inrichtingskeuzes van privacy en te waarborgen dat de verwerking van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd op een rechtmatige wijze plaatsvindt.Het ontbreken van een privacybeleid leidt ertoe dat de organisatie geen duidelijkheid heeft wat precies wordt verwacht, waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden verwerkt (waaronder verzamelen, bewerken, inzien et cetera).BeleidIntentieAvg Art. 5; 24; 40 en Uitvoeringswet Avg Art. 2; 4; 78 en 157privacybeleidDe Privacy Baseline
PRIV_B.02Organieke inbeddingOrganieke inbeddingNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Het waarborgen van de privacy ligt niet bij één persoon. Een veelheid van personen binnen een organisatie is betrokken om aan de vereisten van de wet- en regelgeving te kunnen voldoen.De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.Het doel van een heldere verdeling van taken en bevoegdheden, van middelen en rapportagelijnen is waarborgen dat op de juiste wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van het privacybeleid en de Avg.Door het ontbreken van een goede en inzichtelijke taakverdeling en de daarvoor benodigde middelen en rapportagelijnen is niet altijd duidelijk wie wat moet doen, waardoor de eisen van de Avg, de sectorspecifieke wetgeving en het privacybeleid niet effectief worden ingevuld.BeleidStructuurAvg Art. 5; 37; 38; 39 en Uitvoeringswet Avgverdeling van de taken en verantwoordelijkheden, benodigde middelen, rapportagelijnenDe Privacy Baseline
PRIV_B.03Risicomanagement, Privacy by Design en de GEBRisicomanagement, Privacy by Design en de GEBNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Risicomanagement is een continu proces dat de privacyrisico's signaleert, beoordeelt en een passende behandeling daarvan bewaakt. Privacy-risicomanagement richt zich op het beheersen van privacyrisico's bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., waaronder verzamelen, opslaan en doorgeven van persoonsgegevens. Door middel van privacy-risicomanagement worden, bij de ontwikkeling, de inrichting en de inzet van de gegevensverwerking de organisatie de privacyrisico's in lijn gebracht met het privacybeleid (zie: B01, §2.1.1). Zo wordt voldaan aan de wet- en regelgeving en waarbij de belangen van de betrokkenen gewaarborgd worden.De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.Beoordeling van de privacyrisico's (de kans en hun potentiele omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht.Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de Avg voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt.BeleidIntentieAvg Art. 24; 25; 35; 36; 42 en Uitvoeringswet Avghet beoordelen van de privacyrisico's, passende maatregelen, aantonenDe Privacy Baseline
PRIV_C.01Intern toezichtIntern toezichtNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Binnen de organisatie wordt toezicht gehouden op de rechtmatigheid van de gegevensverwerking. Een gegevensverwerking is rechtmatig als deze voldoet aan de eisen die de Avg, sectorspecifieke wetgeving en/of een (eventuele) Gedragscode stelt.Door of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond.Het doel van 'Intern toezicht' is het garanderen van een rechtmatige, behoorlijke en transparantieInzicht in de werkwijze die de overheid hanteert. verwerking van persoonsgegevens, het garanderen van naleving van de Avg en van andere wet- en regelgeving betreffende de gegevensbescherming, en het garanderen en aantoonbaar maken van naleving van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens.Als de verwerking van persoonsgegevens niet voldoe aan de Avg, dan zijn de risico's tweeledig: de betrokkene loopt persoonlijke privacyrisico's en de verwerkings-verantwoordelijke wordt geconfronteerd met politiek-bestuurlijke en/of juridische maatregelen, verlies van vertrouwen en beschadiging van imago als gevolg van communicatieve of handhavende maatregelen van betrokkenen, derden en/of de toezichthoudende autoriteiten.ControlFunctieAvg Art. 5 en Uitvoeringswet Avgevaluatie, rechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.02.Toegang gegevensverwerking voor betrokkenenToegang gegevensverwerking voor betrokkenenNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Iedere betrokkene heeft (binnen grenzen van redelijkheid) het recht te weten of, door wie, waarvoor en op welke wijze zijn persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke moet deze transparantieInzicht in de werkwijze die de overheid hanteert. kunnen bieden. Deze transparantieInzicht in de werkwijze die de overheid hanteert. is nodig om de betrokkene of diens wettelijke vertegenwoordiger in staat te stellen - indien nodig - zonder onevenredige kosten en/of moeite zijn gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te laten corrigeren of de verantwoordelijke (in rechte) aan te spreken bij onrechtmatigheid van een gegevensverwerking opdat deze onrechtmatigheid beëindigd wordt. Voorafgaand aan de verwerking van de persoonsgegevens worden betrokkenen geïnformeerd over de verwerking conform U.05 §2.2.5, en zijn binnen de verwerkingen voorzieningen getroffen waarmee de betrokkene controle over zijn gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd kan houden, conform U.03 §2.2.3.De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG art. 12., tenzij er een specifieke uitzonderingsgrond geldt.Het doel van 'Toegang gegevensverwerking voor betrokkene' is om zo nodig trans-parantie te bieden over de gegevensverwerking, zodat de betrokkene zijn rechten kan uitoefenen en zo de verantwoordelijke kan aanspreken bij onrecht¬matigheid van een gegevensverwerking, opdat deze onrechtmatigheid beëindigd wordt.De organisatie is niet transparant, waardoor het inzicht in de rechtmatigheid van organisaties ontbreekt, waardoor het vertrouwen in een organisatiede (interne en externe) partijen die met elkaar verbonden zijn om de gegevensverwerking tot stand te brengen, bijvoorbeeld overheidsinstanties en de samenwerkende partners in een keten en bijvoorbeeld ook commerciële partners aan wie een verwerkersovereenkomst wordt voorgelegd. verloren gaat.ControlGedragAvg Art. 11; 12; 15; 86 en Uitvoeringswet Avginformatie over de verwerking van persoonsgegevens, tijdig, in een passende vorm, specifieke uitzonderingsgrondDe Privacy Baseline
PRIV_C.03Meldplicht DatalekkenMeldplicht DatalekkenNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Het bieden van inzicht in een datalek en de mogelijke gevolgen ervan, kan mogelijk (negatieve) consequenties voor de betrokkenen beperken. Een datalek is een "inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd AVG art. 4. De Engelse tekst spreekt hier van "personal data breach". De meldplicht datalekken wordt behandeld in Avg art. 33 en 34. Zie ook Avg overweging 85..De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de AP, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.Het doel van 'Meldplicht datalekken' is negatieve consequenties van een datalek te beperken en waar mogelijk te voorkomen.Negatieve consequenties die persoonlijke levenssfeer van de betrokkene treffen.ControlFunctieAvg Art. 33; 34 en Uitvoeringswet Avgmeldt een datalek, gestelde termijn, documenteert de inbreuk, uitzonderingDe Privacy Baseline
PRIV_U.01Doelbinding gegevensverwerkingDoelbinding gegevensverwerkingNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Het uitgangspunt van doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. is, dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doel. 'Welbepaald en uitdrukkelijk omschreven' houdt in dat men geen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd mag verzamelen zonder een precieze doel-omschrijving. Het doel moet zijn bepaald alvorens men tot verzamelen overgaat. 'Welbepaald' houdt in dat deze doelomschrijving duidelijk moet zijn, niet zo vaag of ruim dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd nodig zijn voor dat doel of niet. Het doel mag ook niet in de loop van het verzamelproces geformuleerd worden. 'Uitdrukkelijk omschreven' houdt in dat de verantwoordelijke het doel waarvoor hij verwerkt moet hebben omschreven.De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
  • de doeleinden, en:
  • de rechtvaardigingsgronden voor:
  1. de verdere verwerking op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
  2. de geautomatiseerde besluitvorming;
  3. bijzondere persoonsgegevens;
  4. de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten;
  5. het nationaal identificerend nummer;
  6. de persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang.
Het doel van 'Doelbinding gegevensverwerking' is om te waarborgen dat persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd alleen worden verzameld en (verder) verwerkt voor gerechtvaardigde doeleinden.Het ongeoorloofd en onrechtmatig verzamelen en (verder) verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens.UitvoeringIntentieAvg Art. 5; 6; 9; 10; 22; 23 en Uitvoeringswet Avg Art. 22; 23; 24; 25; 26; 27; 28; 29; 30 en 31tijdig, welbepaald en uitdrukkelijk omschreven, de doeleinden, verdere verwerking, geautomatiseerde besluitvorming, bijzondere persoonsgegevens, strafrechtelijke veroordelingen en strafbare feiten, nationaal identificerend nummer, wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangDe Privacy Baseline
PRIV_U.02Register van verwerkingsactiviteitenRegister van verwerkingsactiviteitenNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Om de naleving van de Avg aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker, een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevondenAVG overweging 82.. Binnen een organisatie kan dit via gegevensmanagement worden vastgelegd. De vastlegging maakt duidelijk hoe de verschillende organisatieonderdelen de bedrijfsprocessen ondersteunen en welke beveiligingsmaatregelen (op hoofdlijnen) zijn getroffen voor de verwerkingen en betrokkenen. Het register maakt toezicht op de verwerkingsactiviteiten mogelijk.De verwerkingsverantwoordelijke en de verwerker hebben hun gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. en doorgeven van persoonsgegevens.Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens.Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën van persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen.UitvoeringGedragAvg Art. 30 en Uitvoeringswet Avgregister, actueel en samenhangend beeldDe Privacy Baseline
PRIV_U.03KwaliteitsmanagementKwaliteitsmanagementNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Kwaliteitsmanagement zorgt voor de processen die de verwerking, juistheid en nauwkeurigheid van de persoonsgegevens te bewaken en die, bij onjuistheid en onnauwkeurigheid van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of bij ongewenste verwerking, de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te rectificeren, te vervolledigen, te wissen, de verwerking te beperken en toestemming tot verwerking in te trekken.De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit op verzoek van betrokkene gebeurd wordt deze over de status van de afhandeling geïnformeerd.Kwaliteitsmanagement' moet ervoor zorgen dat een gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd¬verwerking correct en in overeenstemming met de wens van betrokkenen is.Wanneer de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd onjuist en onnauwkeurig zijn ingevoerd of gecorrumpeerd raken, worden verkeerde conclusies over de betrokkene getrokken met negatieve consequenties tot gevolg of naar het oordeel van betrokkene ongewenste verwerking van zijn of haar persoonsgegevens.UitvoeringFunctieAvg Art. 7 lid 3; 11 lid 2; 12; 16; 17; 18; 19; 20; 21; 22; 23 en Uitvoeringswet Avgjuistheid en nauwkeurigheid, gecorrigeerd, gestaakt of overgedragen, geïnformeerdDe Privacy Baseline
PRIV_U.04Beveiligen van de verwerking van persoonsgegevensBeveiligen van de verwerking van persoonsgegevensNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder de Avg).De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen om een verwerking van persoonsgegevens op een passend niveau te beveiligenAVG art. 32..Het doel van 'Beveiligen van de verwerking van persoonsgegevens' is om persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking.Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd.UitvoeringGedragAvg Art. 32 en Uitvoeringswet Avg § 5.2.4technische en organisatorische maatregelen, passend niveau te beveiligenDe Privacy Baseline
PRIV_U.05Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensInformatieverstrekking aan betrokkene bij verzameling persoonsgegevensNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Wie persoonsgegevens verstrekt aan een organisatie heeft het recht te weten waarvoor, op welke wijze en door wie deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gebruikt. De organisatie heeft hiertoe een informatieplicht. Deze informatieplicht geldt ook wanneer persoonsgegevens van anderen worden ontvangen.De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG art. 14..Het doel van 'Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens' is om transparantieInzicht in de werkwijze die de overheid hanteert. aan betrokkene te garanderen over de gegevensverzameling en de verwerkingAVG art. 12 en overweging 60., zodat de betrokkene zijn rechten kan uitoefenen overeenkomstig de beginselen van behoorlijke en transparante verwerkingAVG overweging 60..De organisatie is niet transparant, waardoor de organisatie niet kan verantwoorden dat de gegevensverwerking voldoet aan de beginselen van behoorlijke en transparante verwerking, met mogelijk hoge kosten tot gevolg.UitvoeringGedragAvg Art. 13; 14; 15 en Uitvoeringswet Avg § 4.2.1tijdig, informatie, toestemming, uitzonderingDe Privacy Baseline
PRIV_U.06Bewaren van persoonsgegevensBewaren van persoonsgegevensNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld of niet langer dan de bewaartermijn die sectorspecifieke wetgeving stelt. De bewaartermijn kan worden beëindigd door actieve verwijdering van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of door anonimisering van de persoonsgegevens. Bij anonimisering zijn de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet meer herleidbaar tot de betrokkenenAVG overweging 27: "De Avg is niet van toepassing op de persoonsgegevens van overleden personen. De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen.".Door het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden.Het doel van 'Bewaren persoonsgegevens' is te borgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het te bereiken doel.Onnodig bewaarde persoonsgegevens kunnen worden verwerkt voor andere dan de oorspronkelijke doelen.UitvoeringFunctieAvg Art. 5 lid 1e en Uitvoeringswet Avg Art. 43bewaartermijn, nodige maatregelenDe Privacy Baseline
PRIV_U.07Doorgifte persoonsgegevensDoorgifte persoonsgegevensNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Doorgifte kan plaatsvinden aan verwerker(s) en aan andere verwerkingsverantwoordelijke(n). Een verwerker verricht de verwerking namens een verwerkingsverantwoordelijkeAVG art. 28 lid 1.AVG art. 28 lid 10. Indien een verwerker in strijd met de Avg handelt, wordt die verwerker als verwerkingsverantwoordelijke beschouwd. Waar sprake is van meerdere verwerkingsverantwoordelijken, bepalen zij gezamenlijk de doelstellingen en middelen voor de verwerking en zijn zij gezamenlijke verwerkingsverantwoordelijkenAVG art. 27 lid 1.. Bij de doorgifte wordt onderscheid gemaakt tussen doorgifte binnen de EU, waar de Avg geldt, en doorgifte naar buiten de EU. Als doorgifte naar buiten de EU plaatsvindt, dan spreekt de Avg van doorgifte aan derde landen en internationale organisaties.Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

Bij de doorgifte naar buiten de EU:

  • is er een vertegenwoordiger, en:
  • is geen sprake van uitzonderingsgronden

en:

  • geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
  • zijn er passende waarborgenAVG art. 44., of:
  • geldt een afwijking voor een specifieke situatie.
Het doel van de vereisten bij 'Doorgifte persoonsgegevens' is te waarborgen dat persoonsgegevens op een rechtmatige manier worden doorgegeven, op een juiste manier worden gebruikt en dat de verantwoordelijkheid voor deze rechtmatigheid en juistheid ingeregeld blijft.Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.UitvoeringFunctieAvg Art. 26; 27; 28; 29; 44; 45; 46; 47; 48; 49; 96 en Uitvoeringswet Avgonderlinge verantwoordelijkheden, afdoende garanties, vertegenwoordiger, uitzonderingsgrond, adequaatheidsbesluit, passende waarborgen, afwijking voor een specifieke situatieDe Privacy Baseline
PRxxxxPrixxxPrixxxNeePrivacyprincipe3.1In gebruikActueelCIP16 oktober 201716 oktober 2017Privacybeleid geeft op organisatie - en strategisch niveau duidelijkheid en daarmee sturing aan de inrichting van privacy. De ontwikkeling van de organisatie tot een organisatie die aantoonbaar aan wet- en regelgeving voldoet (ofwel: 'compliant' is aan wet- en regelgeving), vraagt om een cyclisch proces. Dit houdt in dat er sprake is van een terugkoppelmechanisme waarbij - door inzicht in de uitvoering - het beleid kan worden bijgestuurd en gecorrigeerd. De Privacy Baseline is als cyclisch proces (Beleid, Uitvoering en Control) opgezet. Afspraken hoe dit cyclische proces vormgegeven wordt maakt onderdeel uit van het beleid.De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG art. 5 lid 1.Privacybeleid dient ervoor om op organisatie- en strategisch niveau duidelijkheid te geven over de inrichtingskeuzes van privacy en te waarborgen dat de verwerking van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd op een rechtmatige wijze plaatsvindt.Het ontbreken van een privacybeleid leidt ertoe dat de organisatie geen duidelijkheid heeft wat precies wordt verwacht, waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden verwerkt (waaronder verzamelen, bewerken, inzien et cetera).BeleidIntentieAvg Art. 5; 24; 40 en Uitvoeringswet Avg Art. 2; 4; 78 en 157xxxDe Pxxx