Alle privacyprincipes alle eigenschappen

Uit NORA Online
Ga naar: navigatie, zoeken

Op deze pagina vind u alle eigenschappen van alle Privacyprincipes uit de NORANederlandse Overheid ReferentieArchitectuur. Privacyprincipes zijn themaprincipes die richtinggevende uitspraken doen over het thema of aspect Privacy.

Alle privacyprincipes

De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Privacyprincipes worden genoemd en gedefinieerd op de pagina Privacyprincipe. Deze tabel bevat alle mogelijke eigenschappen van Privacyprincipes, inclusief enkele technische checks. Er is ook een korte tabel met alleen de meest relevante inhoudelijke eigenschappen van privacyprincipes.

ID Privacyprincipe Titel Kent element met zelfde titel Elementtype Versieaanduiding Gebruik in Nederlandse publieke sector Status actualiteit Practice Redactionele wijzigingsdatum Publicatiedatum Beschrijving Criterium Doelstelling Risico Beveiligingsaspect Invalshoek Is uitwerking van (specificatie) Plaatje Conformiteitsindicator Heeft bron Is uitwerking van
PRIV_B.01 Privacy Beleid geeft duidelijkheid en sturing Privacy Beleid geeft duidelijkheid en sturing Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Privacybeleid geeft op organisatie - en strategisch niveau duidelijkheid en daarmee sturing aan de inrichting van privacy.

Inhoud

Het privacybeleid geeft aan op welke wijze - door het treffen van maatregelen - voldaan wordt aan de van toepassing zijnde wet- en regelgeving. Omdat de wet- en regelgeving externe factoren zijn, is periodieke review nodig om vast te stellen of het beleid nog voldoet. Het volstaat dus niet om eenmalig beleid op te stellen en niet meer aan te passen. Maar ook interne factoren, zoals onvoldoende effectiviteit van het beleid en gewijzigde missie of visie kunnen bepalend zijn om te komen tot aanpassing van het beleid. Door het beleidsproces cyclisch in te richten wordt bereikt dat het beleid op de ontwikkelingen en de uitvoering is afgestemd.

Proces

De ontwikkeling van de organisatie tot een organisatie die aantoonbaar aan wet- en regelgeving voldoet (ofwel: 'compliant' is aan wet- en regelgeving), vraagt om een cyclisch proces. Dit houdt in dat er sprake is van een terugkoppelmechanisme waarbij - door inzicht in de uitvoering - het beleid kan worden bijgestuurd en gecorrigeerd. De Privacy Baseline is als cyclisch proces (Beleid, Uitvoering en Control) opgezet. Afspraken hoe dit cyclische proces vormgegeven wordt maakt onderdeel uit van het beleid.
De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG art. 5 lid 1. Privacybeleid dient ervoor om op organisatie- en strategisch niveau duidelijkheid te geven over de inrichtingskeuzes van privacy en te waarborgen dat de verwerking van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd op een rechtmatige wijze plaatsvindt. Het ontbreken van een privacybeleid leidt ertoe dat de organisatie geen duidelijkheid heeft wat precies wordt verwacht, waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden verwerkt (waaronder verzamelen, bewerken, inzien et cetera). Beleid Intentie Avg Art. 5; 24; 40 en Uitvoeringswet Avg Art. 2; 4; 78 en 157 privacybeleid De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_B.02 Organieke inbedding Organieke inbedding Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Het waarborgen van de privacy ligt niet bij één persoon. Een veelheid van personen binnen een organisatie is betrokken om aan de vereisten van de wet- en regelgeving te kunnen voldoen. De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld. Het doel van een heldere verdeling van taken en bevoegdheden, van middelen en rapportagelijnen is waarborgen dat op de juiste wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van het privacybeleid en de Avg. Door het ontbreken van een goede en inzichtelijke taakverdeling en de daarvoor benodigde middelen en rapportagelijnen is niet altijd duidelijk wie wat moet doen, waardoor de eisen van de Avg, de sectorspecifieke wetgeving en het privacybeleid niet effectief worden ingevuld. Beleid Structuur Avg Art. 5; 37; 38; 39 en Uitvoeringswet Avg verdeling van de taken en verantwoordelijkheden, benodigde middelen, rapportagelijnen De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_B.03 Risicomanagement- Privacy by Design en de GEB Risicomanagement, Privacy by Design en de GEB Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Risicomanagement is een continu proces dat de privacyrisico's signaleert, beoordeelt en een passende behandeling daarvan bewaakt. Privacy-risicomanagement richt zich op het beheersen van privacyrisico's bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., waaronder verzamelen, opslaan en doorgeven van persoonsgegevens. Door middel van privacy-risicomanagement worden, bij de ontwikkeling, de inrichting en de inzet van de gegevensverwerking de organisatie de privacyrisico's in lijn gebracht met het privacybeleid (zie: B01, §2.1.1). Zo wordt voldaan aan de wet- en regelgeving en waarbij de belangen van de betrokkenen gewaarborgd worden. De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen. Beoordeling van de privacyrisico's (de kans en hun potentiele omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht. Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de Avg voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt. Beleid Intentie Avg Art. 24; 25; 35; 36; 42 en Uitvoeringswet Avg het beoordelen van de privacyrisico's, passende maatregelen, aantonen De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_C.01 Intern toezicht Intern toezicht Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Binnen de organisatie wordt toezicht gehouden op de rechtmatigheid van de gegevensverwerking. Een gegevensverwerking is rechtmatig als deze voldoet aan de eisen die de Avg, sectorspecifieke wetgeving en/of een (eventuele) Gedragscode stelt. Door of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond. Het doel van 'Intern toezicht' is het garanderen van een rechtmatige, behoorlijke en transparantieInzicht in de werkwijze die de overheid hanteert. verwerking van persoonsgegevens, het garanderen van naleving van de Avg en van andere wet- en regelgeving betreffende de gegevensbescherming, en het garanderen en aantoonbaar maken van naleving van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens. Als de verwerking van persoonsgegevens niet voldoe aan de Avg, dan zijn de risico's tweeledig: de betrokkene loopt persoonlijke privacyrisico's en de verwerkings-verantwoordelijke wordt geconfronteerd met politiek-bestuurlijke en/of juridische maatregelen, verlies van vertrouwen en beschadiging van imago als gevolg van communicatieve of handhavende maatregelen van betrokkenen, derden en/of de toezichthoudende autoriteiten. Control Functie Avg Art. 5 en Uitvoeringswet Avg evaluatie, rechtmatigheid aangetoond De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_C.02. Toegang gegevensverwerking voor betrokkenen Toegang gegevensverwerking voor betrokkenen Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Iedere betrokkene heeft (binnen grenzen van redelijkheid) het recht te weten of, door wie, waarvoor en op welke wijze zijn persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke moet deze transparantieInzicht in de werkwijze die de overheid hanteert. kunnen bieden. Deze transparantieInzicht in de werkwijze die de overheid hanteert. is nodig om de betrokkene of diens wettelijke vertegenwoordiger in staat te stellen - indien nodig - zonder onevenredige kosten en/of moeite zijn gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te laten corrigeren of de verantwoordelijke (in rechte) aan te spreken bij onrechtmatigheid van een gegevensverwerking opdat deze onrechtmatigheid beëindigd wordt. Voorafgaand aan de verwerking van de persoonsgegevens worden betrokkenen geïnformeerd over de verwerking conform U.05 §2.2.5, en zijn binnen de verwerkingen voorzieningen getroffen waarmee de betrokkene controle over zijn gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd kan houden, conform U.03 §2.2.3. De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG art. 12., tenzij er een specifieke uitzonderingsgrond geldt. Het doel van 'Toegang gegevensverwerking voor betrokkene' is om zo nodig trans-parantie te bieden over de gegevensverwerking, zodat de betrokkene zijn rechten kan uitoefenen en zo de verantwoordelijke kan aanspreken bij onrecht¬matigheid van een gegevensverwerking, opdat deze onrechtmatigheid beëindigd wordt. De organisatie is niet transparant, waardoor het inzicht in de rechtmatigheid van organisaties ontbreekt, waardoor het vertrouwen in een organisatiede (interne en externe) partijen die met elkaar verbonden zijn om de gegevensverwerking tot stand te brengen, bijvoorbeeld overheidsinstanties en de samenwerkende partners in een keten en bijvoorbeeld ook commerciële partners aan wie een verwerkersovereenkomst wordt voorgelegd. verloren gaat. Control Gedrag Avg Art. 11; 12; 15; 86 en Uitvoeringswet Avg informatie over de verwerking van persoonsgegevens, tijdig, in een passende vorm, specifieke uitzonderingsgrond De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_C.03 Meldplicht Datalekken Meldplicht Datalekken Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Het bieden van inzicht in een datalek en de mogelijke gevolgen ervan, kan mogelijk (negatieve) consequenties voor de betrokkenen beperken. Een datalek is een "inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd AVG art. 4. De Engelse tekst spreekt hier van "personal data breach". De meldplicht datalekken wordt behandeld in Avg art. 33 en 34. Zie ook Avg overweging 85.. De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de AP, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt. Het doel van 'Meldplicht datalekken' is negatieve consequenties van een datalek te beperken en waar mogelijk te voorkomen. Negatieve consequenties die persoonlijke levenssfeer van de betrokkene treffen. Control Functie Avg Art. 33; 34 en Uitvoeringswet Avg meldt een datalek, gestelde termijn, documenteert de inbreuk, uitzondering De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_U.01 Doelbinding gegevensverwerking Doelbinding gegevensverwerking Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Het uitgangspunt van doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. is, dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doel. 'Welbepaald en uitdrukkelijk omschreven' houdt in dat men geen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd mag verzamelen zonder een precieze doel-omschrijving. Het doel moet zijn bepaald alvorens men tot verzamelen overgaat. 'Welbepaald' houdt in dat deze doelomschrijving duidelijk moet zijn, niet zo vaag of ruim dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd nodig zijn voor dat doel of niet. Het doel mag ook niet in de loop van het verzamelproces geformuleerd worden. 'Uitdrukkelijk omschreven' houdt in dat de verantwoordelijke het doel waarvoor hij verwerkt moet hebben omschreven. De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
  • de doeleinden, en:
  • de rechtvaardigingsgronden voor:
  1. de verdere verwerking op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
  2. de geautomatiseerde besluitvorming;
  3. bijzondere persoonsgegevens;
  4. de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten;
  5. het nationaal identificerend nummer;
  6. de persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang.
Het doel van 'Doelbinding gegevensverwerking' is om te waarborgen dat persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd alleen worden verzameld en (verder) verwerkt voor gerechtvaardigde doeleinden. Het ongeoorloofd en onrechtmatig verzamelen en (verder) verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens. Uitvoering Intentie Avg Art. 5; 6; 9; 10; 22; 23 en Uitvoeringswet Avg Art. 22; 23; 24; 25; 26; 27; 28; 29; 30 en 31 tijdig, welbepaald en uitdrukkelijk omschreven, de doeleinden, verdere verwerking, geautomatiseerde besluitvorming, bijzondere persoonsgegevens, strafrechtelijke veroordelingen en strafbare feiten, nationaal identificerend nummer, wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_U.02 Register van verwerkingsactiviteiten Register van verwerkingsactiviteiten Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Om de naleving van de Avg aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker, een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevondenAVG overweging 82.. Binnen een organisatie kan dit via gegevensmanagement worden vastgelegd. De vastlegging maakt duidelijk hoe de verschillende organisatieonderdelen de bedrijfsprocessen ondersteunen en welke beveiligingsmaatregelen (op hoofdlijnen) zijn getroffen voor de verwerkingen en betrokkenen. Het register maakt toezicht op de verwerkingsactiviteiten mogelijk. De verwerkingsverantwoordelijke en de verwerker hebben hun gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. en doorgeven van persoonsgegevens. Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens. Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën van persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen. Uitvoering Gedrag Avg Art. 30 en Uitvoeringswet Avg register, actueel en samenhangend beeld De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_U.03 Kwaliteitsmanagement Kwaliteitsmanagement Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Kwaliteitsmanagement zorgt voor de processen die de verwerking, juistheid en nauwkeurigheid van de persoonsgegevens te bewaken en die, bij onjuistheid en onnauwkeurigheid van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of bij ongewenste verwerking, de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te rectificeren, te vervolledigen, te wissen, de verwerking te beperken en toestemming tot verwerking in te trekken. De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit op verzoek van betrokkene gebeurd wordt deze over de status van de afhandeling geïnformeerd. Kwaliteitsmanagement' moet ervoor zorgen dat een gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd¬verwerking correct en in overeenstemming met de wens van betrokkenen is. Wanneer de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd onjuist en onnauwkeurig zijn ingevoerd of gecorrumpeerd raken, worden verkeerde conclusies over de betrokkene getrokken met negatieve consequenties tot gevolg of naar het oordeel van betrokkene ongewenste verwerking van zijn of haar persoonsgegevens. Uitvoering Functie Avg Art. 7 lid 3; 11 lid 2; 12; 16; 17; 18; 19; 20; 21; 22; 23 en Uitvoeringswet Avg juistheid en nauwkeurigheid, gecorrigeerd, gestaakt of overgedragen, geïnformeerd De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_U.04 Beveiligen van de verwerking van persoonsgegevens Beveiligen van de verwerking van persoonsgegevens Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder de Avg). De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen om een verwerking van persoonsgegevens op een passend niveau te beveiligenAVG art. 32.. Het doel van 'Beveiligen van de verwerking van persoonsgegevens' is om persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking. Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. Uitvoering Gedrag Avg Art. 32 en Uitvoeringswet Avg § 5.2.4 technische en organisatorische maatregelen, passend niveau te beveiligen De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_U.05 Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Wie persoonsgegevens verstrekt aan een organisatie heeft het recht te weten waarvoor, op welke wijze en door wie deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gebruikt. De organisatie heeft hiertoe een informatieplicht. Deze informatieplicht geldt ook wanneer persoonsgegevens van anderen worden ontvangen. De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG art. 14.. Het doel van 'Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens' is om transparantieInzicht in de werkwijze die de overheid hanteert. aan betrokkene te garanderen over de gegevensverzameling en de verwerkingAVG art. 12 en overweging 60., zodat de betrokkene zijn rechten kan uitoefenen overeenkomstig de beginselen van behoorlijke en transparante verwerkingAVG overweging 60.. De organisatie is niet transparant, waardoor de organisatie niet kan verantwoorden dat de gegevensverwerking voldoet aan de beginselen van behoorlijke en transparante verwerking, met mogelijk hoge kosten tot gevolg. Uitvoering Gedrag Avg Art. 13; 14; 15 en Uitvoeringswet Avg § 4.2.1 tijdig, informatie, toestemming, uitzondering De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_U.06 Bewaren van persoonsgegevens Bewaren van persoonsgegevens Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld of niet langer dan de bewaartermijn die sectorspecifieke wetgeving stelt. De bewaartermijn kan worden beëindigd door actieve verwijdering van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of door anonimisering van de persoonsgegevens. Bij anonimisering zijn de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet meer herleidbaar tot de betrokkenenAVG overweging 27: "De Avg is niet van toepassing op de persoonsgegevens van overleden personen. De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen.". Door het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden. Het doel van 'Bewaren persoonsgegevens' is te borgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het te bereiken doel. Onnodig bewaarde persoonsgegevens kunnen worden verwerkt voor andere dan de oorspronkelijke doelen. Uitvoering Functie Avg Art. 5 lid 1e en Uitvoeringswet Avg Art. 43 bewaartermijn, nodige maatregelen De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
PRIV_U.07 Doorgifte persoonsgegevens Doorgifte persoonsgegevens Nee Privacyprincipe 3.1 In gebruik Actueel CIP 16 oktober 2017 16 oktober 2017 Doorgifte kan plaatsvinden aan verwerker(s) en aan andere verwerkingsverantwoordelijke(n). Een verwerker verricht de verwerking namens een verwerkingsverantwoordelijkeAVG art. 28 lid 1.AVG art. 28 lid 10. Indien een verwerker in strijd met de Avg handelt, wordt die verwerker als verwerkingsverantwoordelijke beschouwd. Waar sprake is van meerdere verwerkingsverantwoordelijken, bepalen zij gezamenlijk de doelstellingen en middelen voor de verwerking en zijn zij gezamenlijke verwerkingsverantwoordelijkenAVG art. 27 lid 1.. Bij de doorgifte wordt onderscheid gemaakt tussen doorgifte binnen de EU, waar de Avg geldt, en doorgifte naar buiten de EU. Als doorgifte naar buiten de EU plaatsvindt, dan spreekt de Avg van doorgifte aan derde landen en internationale organisaties. Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

Bij de doorgifte naar buiten de EU:

  • is er een vertegenwoordiger, en:
  • is geen sprake van uitzonderingsgronden

en:

  • geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
  • zijn er passende waarborgenAVG art. 44., of:
  • geldt een afwijking voor een specifieke situatie.
Het doel van de vereisten bij 'Doorgifte persoonsgegevens' is te waarborgen dat persoonsgegevens op een rechtmatige manier worden doorgegeven, op een juiste manier worden gebruikt en dat de verantwoordelijkheid voor deze rechtmatigheid en juistheid ingeregeld blijft. Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle. Uitvoering Functie Avg Art. 26; 27; 28; 29; 44; 45; 46; 47; 48; 49; 96 en Uitvoeringswet Avg onderlinge verantwoordelijkheden, afdoende garanties, vertegenwoordiger, uitzonderingsgrond, adequaatheidsbesluit, passende waarborgen, afwijking voor een specifieke situatie De Privacy Baseline Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet AVG
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen