De Privacy Baseline
Uit NORA Online
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
|
| ||||||||||||
De Privacy Baseline is een product van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en is daar een onderdeel van de documentenreeks 'Grip op Privacy.' Het doel van deze documenten is om praktische handvatten te bieden aan organisaties die privacy in beleid en uitvoering controleerbaar willen implementeren.
Dit normenkader heeft dus betrekking op het onderwerp Privacy en bestaat uit privacyprincipes, onderliggende normen en begeleidende teksten. Die zijn gebaseerd op de oorspronkelijke CIP-publicatie (PDF, 2,18 MB)
Ontstaansgeschiedenis en relatie met ISOR
Voor de Privacy Baseline zijn de privacyprincipes uit de wet AVG gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat doorgaans gebruikt wordt voor Informatiebeveiliging. Omdat het normenkader tevens is gevormd naar de uitgangspunten van de SIVA-methode is ervoor gekozen de Privacy Baseline ook in de ISOR te plaatsen, in hetzelfde format als de normenkaders Informatiebeveiliging.
Een verschil in ontstaansgeschiedenis is de indeling van de principes en onderliggende normen in Invalshoeken, een belangrijk kernonderdeel van de SIVA-methode om lacunes in de objectenanalyse te ontdekken. Het onderwerp van de Privacy Baseline is echter niet Privacy, maar de Privacywet. De pretentie is dan ook niet om deze op volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en consistentie te toetsen, doch om de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem een handzame en geannoteerde set van toetsbare criteria mee te geven die hem helpen zich aan de wet te houden. Toch hebben we zoveel mogelijk - achteraf - de invalshoek ingevuld in de Privacy Baseline om de eenvormigheid binnen de ISOR te vergroten en een indicatie te geven van het handelingsperspectief voor het betreffende onderdeel.
Binnen dit normenkader
Inleidende teksten
- → Voorwoord versie 3.0
- → Inleiding bij versie 3.1
- → Beginselen van de Avg en de Baseline
- → Zelf persoonsgegevens verwerken of uitbesteden
- → Verwerkersovereenkomst
- → Werken met persoonsgegevens
- → Verwerking van persoonsgegevens
- → Verwerkingsverantwoordelijke en verwerker
- → Persoonsgegevens en bijzondere persoonsgegevens
- → De ACT doelen van privacybescherming
- → Risico's bij niet voldoen aan de Avg
- → Baseline format
Relatie tussen principes en onderliggende normen
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
Indelingen binnen De Privacy Baseline
Alle onderdelen van De Privacy Baseline zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'. De IFGS-aanduiding is hier achteraf toegevoegd als indicatie van het handelingsperspectief.
De principes en onderliggende normen van De Privacy Baseline zijn op basis hiervan in een aantal overzichten gezet:Principes uit De Privacy Baseline
In deze tabel staan alle principes uit De Privacy Baseline, met het unieke ID, Criterium en de trefwoorden die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / Control)
en in uitgebreide versie met alle bestaande eigenschappen.
Beleid
| ID | Criterium | |
|---|---|---|
| PRIV_B.01 | Privacy Beleid geeft duidelijkheid en sturing | De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG art. 5 lid 1. |
| PRIV_B.02 | Organieke inbedding | De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld. |
| PRIV_B.03 | Risicomanagement, Privacy by Design en de GEB | De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen. |
Uitvoering
| ID | Criterium | |
|---|---|---|
| PRIV_U.01 | Doelbinding gegevensverwerking | De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
|
| PRIV_U.02 | Register van verwerkingsactiviteiten | De verwerkingsverantwoordelijke en de verwerker hebben hun gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. en doorgeven van persoonsgegevens. |
| PRIV_U.03 | Kwaliteitsmanagement | De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit op verzoek van betrokkene gebeurd wordt deze over de status van de afhandeling geïnformeerd. |
| PRIV_U.04 | Beveiligen van de verwerking van persoonsgegevens | De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen om een verwerking van persoonsgegevens op een passend niveau te beveiligenAVG art. 32.. |
| PRIV_U.05 | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG art. 14.. |
| PRIV_U.06 | Bewaren van persoonsgegevens | Door het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden. |
| PRIV_U.07 | Doorgifte persoonsgegevens | Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.
Bij de doorgifte naar buiten de EU:
en:
|
Control
| ID | Criterium | |
|---|---|---|
| PRIV_C.01 | Intern toezicht | Door of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond. |
| PRIV_C.02. | Toegang gegevensverwerking voor betrokkenen | De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG art. 12., tenzij er een specifieke uitzonderingsgrond geldt. |
| PRIV_C.03 | Meldplicht Datalekken | De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de AP, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt. |
Onderliggende normen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit De Privacy Baseline. Van links tot rechts zie je het unieke ID van de norm, welk trefwoord van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / control)
en in uitgebreide versie.
Beleid
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| PRIV_B.01.01.01 | privacybeleid | Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG art. 5 lid 2.. | Privacybeleid; duidelijkheid inzake verantwoordingsplicht |
| PRIV_B.01.01.02 | privacybeleid | Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren. | Privacybeleid als cyclisch proces |
| PRIV_B.01.01.03 | privacybeleid | Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens. | Privacybeleid; vastgesteld en gecommuniceerd |
| PRIV_B.01.01.04 | privacybeleid | De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden. | Privacybeleid i.r.t. wet- en regelgeving |
| PRIV_B.01.01.05 | privacybeleid | In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving. | Privacybeleid i.r.t. sectorspecifieke wetgeving. |
| PRIV_B.01.01.06 | privacybeleid | In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de Avg nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan wordt gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor de Gegevensbescherming (FG)AVG art. 25 en art. 64 lid 2. | Privacybeleid i.r.t. gedragscode |
| PRIV_B.01.02.01 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform B.03, §2.1.3 toepassen van Privacy by Design, het uitvoeren van GEB's en het gebruik van standaard instellingen. | Invulling geven aan de wettelijke beginselen, beschrijving van privacy by design |
| PRIV_B.01.02.02 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform U.01, §2.2.1, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Invulling geven aan de wettelijke beginselen, beschrijving van de doeleinden voor het verzamelen |
| PRIV_B.01.02.03 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.01, §2.2.1, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt. | Invulling geven aan de wettelijke beginselen, beschrijven van minimalisatie van verwerken |
| PRIV_B.01.02.04 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.03, §2.2.3, de persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn onverwijld worden gewist of worden gerectificeerd. | Invulling geven aan de wettelijke beginselen, beschrijven van juistheid en actualiteit van de gegevens |
| PRIV_B.01.02.05 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.04, §2.2.4, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe de verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. | Invulling geven aan de wettelijke beginselen, beschrijven van passende technische en organisatorische maatregelen |
| PRIV_B.01.02.06 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.05, §2.2.5 en C.02, §2.3.2, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen. | Invulling geven aan de wettelijke beginselen, beschrijven van transparante verwerking |
| PRIV_B.01.02.07 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.06, §2.2.6, persoonsgegevens niet langer worden bewaard dan waarvoor zij worden verwerkt noodzakelijk is en in welke vorm de opslag moet plaatsvinden zodat na deze periode de betrokkenen niet langer zijn te identificeren. | Invulling geven aan de wettelijke beginselen, beschrijven van maximale bewaartermijnen |
| PRIV_B.01.02.08 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.07, §2.2.7, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd zodat aangetoond kan worden dat ook bij de doorgifte aan de Avg wordt voldaan en wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd. | Invulling geven aan de wettelijke beginselen, beschrijven van garanties bij doorgifte |
| PRIV_B.01.02.09 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt hoe, conform C.01. §2.3.1, verantwoor-delijken aantonen dat gedurende en na de verwerking de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register , conform U.02 §2.2.2, en een dossier kan worden aangetoond. | Invulling geven aan de wettelijke beginselen, beschrijven van behoorlijke verwerking |
| PRIV_B.01.02.10 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, C.03, §2.3.3, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en / of vrijheden van natuurlijke personen. | Invulling geven aan de wettelijke beginselen, beschrijven van informeren bij inbreuk |
| PRIV_B.02.01.01 | verdeling van de taken en verantwoordelijkheden | De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is ten alle tijde duidelijk wie deze verantwoordelijke is. | Verdeling taken en verantwoordelijkheden |
| PRIV_B.02.01.02 | verdeling van de taken en verantwoordelijkheden | De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van het volgende situaties aan de orde is:
| Functionaris Gegevensbescherming |
| PRIV_B.02.01.03 | verdeling van de taken en verantwoordelijkheden | Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst. | Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten |
| PRIV_B.02.01.04 | verdeling van de taken en verantwoordelijkheden | De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt. | Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix |
| PRIV_B.02.02.01 | benodigde middelen | Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan. | Benodigde middelen |
| PRIV_B.02.03.01 | rapportagelijnen | De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de Functionaris voor de Gegevensbescherming zijn vastgesteld en vastgelegd. | Rapporteringsmiddelen |
| PRIV_B.03.01.01 | het beoordelen van de privacyrisico's | Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een GEB uitgevoerdAVG art. 35 lid 1.. | Het beoordelen van de privacyrisico's, hoog risico |
| PRIV_B.03.01.02 | het beoordelen van de privacyrisico's | Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een GEB diens advies in. | Het beoordelen van de privacyrisico's, advies van FG |
| PRIV_B.03.01.03 | het beoordelen van de privacyrisico's | Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (GEB) wordt uitgevoerdAVG Avg art. 35 lid 11.. | Het beoordelen van de privacyrisico's, bij wijigingen |
| PRIV_B.03.01.04 | het beoordelen van de privacyrisico's | Wanneer uit een GEB blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de APAVG art. 36.. | Het beoordelen van de privacyrisico's, i.r.t. de GEB |
| PRIV_B.03.02.01 | passende maatregelen | De maatregelen bestaan uit technische en organisatorische maatregelen. | Passende maatregelen, technisch en organisatorisch |
| PRIV_B.03.02.02 | passende maatregelen | Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG art. 25.. | Passende maatregelen, passend |
| PRIV_B.03.02.03 | passende maatregelen | De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffect beoordelingen (GEB's). | Passende maatregelen, continuíteit |
| PRIV_B.03.02.04 | passende maatregelen | De resultaten van de GEB worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen. | Passende maatregelen, i.r.t. de GEB |
| PRIV_B.03.03.01 | aantonen | Van alle verwerkingen waarop een GEB is uitgevoerd is een GEB rapportage beschikbaar, waardoor bekend welke risico's bestaan en welke maatregelen genomen (moeten) worden. | Aantonen onderkende risico's en maatregelen |
| PRIV_B.03.03.02 | aantonen | Een procesbeschrijving is aanwezig voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten. | Aantonen uitvoeren GEB en opvolgen GEB uitkomsten |
| PRIV_B.03.03.03 | aantonen | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de GEB's. | Aantonen aanpak risicomanagement |
| PRIV_B.03.03.04 | aantonen | Een tot standaard verheven GEB toetsmodel wordt toegepast; dit model voldoet aan de in de Avg gestelde eisen. | Aantonen toepassen GEB toetsmodel |
| PRIV_B.03.03.05 | aantonen | Privacy by Design en de GEB en maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Aantonen privacy by design |
Uitvoering
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| PRIV_U.01.01.01 | tijdig, welbepaald en uitdrukkelijk omschreven | Het doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd-verwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG art. 5 lid 1 en overweging 50.. | Tijdig welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking |
| PRIV_U.01.01.02 | tijdig, welbepaald en uitdrukkelijk omschreven | Van alle gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG art. 5 lid 1b.. | Tijdig welbepaald en uitdrukkelijk omschreven, rechtmatigheid en doelmatigheid |
| PRIV_U.01.01.03 | tijdig, welbepaald en uitdrukkelijk omschreven | Het doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd noodzakelijk zijn voor het doel en bij verdere verwerking of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd verenigbaar zijn met het oorspronkelijke doelAVG art. 6 lid 4.. | Tijdig welbepaald en uitdrukkelijk omschreven verenigbaarheid met oorspronkelijke doel |
| PRIV_U.01.01.04 | tijdig, welbepaald en uitdrukkelijk omschreven | Het doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden. | Tijdig welbepaald en uitdrukkelijk omschreven, SMART |
| PRIV_U.01.02.01 | de doeleinden | De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel data minimalisatie genoemd). | Doeleinden, toereikend, ter zake dienend en beperkt |
| PRIV_U.01.02.02 | de doeleinden | De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG art. 6 lid 1.:
| Doeleinden, rechtmatig |
| PRIV_U.01.02.03 | de doeleinden | Persoonsgegevens moeten behoorlijk en transparant worden verwerkt ten opzichte van de betrokkeneAVG art. 5. De AVG is niet van toepassing op de persoonsgegevens van overleden personen (Avg overweging 27).
Hiertoe:
| Doeleinden, behoorlijk en transparant |
| PRIV_U.01.03.01 | verdere verwerking | De verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld is alleen mogelijk, wanneer:
| Verdere verwerking i.r.t. ander doelen dan dat waarvoor de persoonsgegevens zijn verzameld is |
| PRIV_U.01.03.02 | verdere verwerking | Wanneer de verwerkingsverantwoordelijke een verdere verwerking voorneemt moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie U.05, §2.2.5). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61.. | Voornemens voor verdere verwerking |
| PRIV_U.01.04.01 | geautomatiseerde besluitvorming | Er vindt geen verwerking van persoonsgegevens plaats waaruit ras of etnische afkomst blijkt, tenzij:
| Bijzondere persoonsgegevens, m.b.t. ras of etnische afkomst |
| PRIV_U.01.04.02 | geautomatiseerde besluitvorming | Er vindt geen verwerking van persoonsgegevens plaats waaruit politieke opvattingen blijkt, tenzij:
| Bijzondere persoonsgegevens, m.b.t. politieke opvattingen |
| PRIV_U.01.04.03 | geautomatiseerde besluitvorming | Er vindt geen verwerking van persoonsgegevens plaats waaruit religieuze of levensbeschouwelijke overtuigingen blijkt, tenzij:
| Bijzondere persoonsgegevens, m.b.t. religieuze of levensbeschouwende overtuigingen |
| PRIV_U.01.04.04 | geautomatiseerde besluitvorming | Er vindt geen verwerking van persoonsgegevens plaats waaruit het lidmaatschap van een vakbond blijkt, tenzij aan /04.09 is voldaan. | Bijzondere persoonsgegevens, m.b.t. lidmaatschap vakbond |
| PRIV_U.01.04.05 | geautomatiseerde besluitvorming | Er vindt geen verwerking van persoonsgegevens plaats van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, tenzij:
| Bijzondere persoonsgegevens, m.b.t. genetische gegevens |
| PRIV_U.01.04.06 | geautomatiseerde besluitvorming | Er vindt geen verwerking van persoonsgegevens plaats van biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd met het oog op de unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon, tenzij:
| Bijzondere persoonsgegevens, m.b.t. biometrische gegevens |
| PRIV_U.01.04.07 | geautomatiseerde besluitvorming | Er vindt geen verwerking van persoonsgegevens plaats van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid, tenzij:
| Bijzondere persoonsgegevens, m.b.t. gezondheidsgegevens |
| PRIV_U.01.04.08 | geautomatiseerde besluitvorming | Er vindt geen verwerking van persoonsgegevens plaats met betrekking tot iemands seksuele gedrag of seksuele gerichtheid, tenzij aan /04.09 is voldaan De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid handhaven of invoeren.. | Bijzondere persoonsgegevens, m.b.t. sexueel gedrag of gerichtheid |
| PRIV_U.01.04.09 | geautomatiseerde besluitvorming | Indien wel de in /04.01 - /04.08 genoemde verwerkingen plaats vindt is aan één van de onderstaande voorwaarden voldaan :
| Bijzondere persoonsgegevens, m.b.t. voorwaarden aan de verwerking |
| PRIV_U.01.04.10 | geautomatiseerde besluitvorming | De voorwaarden b, g en h van /04.09 zijn niet van toepassing als de verwerking geschiedt doorUitvoeringswet AVG art. 23.:
| Bijzondere persoonsgegevens, m.b.t. noodzakelijke uitzonderingen |
| PRIV_U.01.04.11 | geautomatiseerde besluitvorming | Het verbod om bijzondere persoonsgegevens te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., is vanuit het algemeen belang (punt g) niet van toepassing indienUitvoeringswet AVG art. 28.:
| Bijzondere persoonsgegevens, m.b.t. verplichtingen of algemeen belang |
| PRIV_U.01.05.01 | strafrechtelijke veroordelingen en strafbare feiten | Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerktUitvoeringswet AVG art. 31.:
| Strafrechtelijke veroordelingen en strafbare feiten |
| PRIV_U.01.05.02 | strafrechtelijke veroordelingen en strafbare feiten | De verwerking vindt alleen plaats onder toezicht van de overheid of indien de verwerking is toegestaan bij wet- en regelgeving die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheidAVG art. 10.. | Strafrechtelijke veroordelingen en strafbare feiten, eisen aan de verwerking |
| PRIV_U.01.05.03 | strafrechtelijke veroordelingen en strafbare feiten | De verwerking van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over personeel in dienst van de verwerkingsverantwoordelijke, vindt plaats overeenkomstig regels die zijn vastgesteld in overeenstemming met de procedure als bedoeld in de Wet op de ondernemingsradenUitvoeringswet AVG art. 31 lid 2.. | Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR |
| PRIV_U.01.05.04 | strafrechtelijke veroordelingen en strafbare feiten | Het verbod om persoonsgegevens te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd voor de doeleinden waarvoor deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerktUitvoeringswet AVG art. 31 lid 3.. | Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt. |
| PRIV_U.01.05.05 | strafrechtelijke veroordelingen en strafbare feiten | De verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen is toegestaan indien dit geschied door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken indien de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaadUitvoeringswet AVG art. 31 lid 4.. | Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking |
| PRIV_U.01.06.01 | nationaal identificerend nummer | Het bepalen van een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet bepaaldUitvoeringswet AVG art. 44.:
| Nationaal identificerend nummer |
| PRIV_U.01.07.01 | geautomatiseerde besluitvorming | Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluit:
| Geautomatiseerde besluitvorming, geen geautomatiseerde individuele besluitvorming tenzij |
| PRIV_U.01.07.02 | geautomatiseerde besluitvorming | In de bij punten a) en c) in /07.01 bedoelde gevallen heeft de verwerkingsverant-woordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten. | Geautomatiseerde besluitvorming, m.b.t. rechten en vrijheden en gerechtvaardigde belangen van de betrokkene |
| PRIV_U.01.07.03 | geautomatiseerde besluitvorming | Bij de bij punten a) en c) in /07.01 bedoelde besluiten zijn niet gebaseerd op de bijzondere categorieën van persoonsgegevens, tenzij /04.01 punt a) of g), van toepassing is en passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen. | Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens |
| PRIV_U.01.08.01 | wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang | De verwerking van (bijzondere) persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats zover Invulling van art. 9 lid 2j. Uitvoeringswet Avg art. 27.:
| Eisen aan het verwerken van (bijzondere) persoonsgegevens |
| PRIV_U.01.08.02 | wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang | Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maat-regelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen:
| Eisen aan het verwerken van persoonsgegevens |
| PRIV_U.02.01.01 | register | Elke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (/01.06). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke. | Register van verwerkingsverantwoordelijke |
| PRIV_U.02.01.02 | register | Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerdAVG art. 30 lid 1.:
| Register van verwerkingsverantwoordelijke, inhoud van het register |
| PRIV_U.02.01.03 | register | De verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (/01.06). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker. | Register van verwerker, categorieën van verwerkingsactiviteiten |
| PRIV_U.02.01.04 | register | Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerdAVG art. 30 lid 1.:
1) de naam en de contactgegevens van: a) de verwerkers b) iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt. In voorkomend geval: i) de vertegenwoordiger van de verwerkingsverantwoordelijke, of: ii) de verwerker en van de Functionaris voor de Gegevensbescherming; 2) de categorieën van verwerkingen die voor rekening van iedere verwerkings-verantwoordelijke zijn uitgevoerd; 3) bij doorgiften aan een derde land of een internationale organisatie: a) de doorgifte van verstrekte persoonsgegevens b) de vermelding van dat derde land of die internationale organisatie c) de documenten inzake de passende waarborgen; 4) een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk). | Register van verwerker, inhoud van het register |
| PRIV_U.02.01.05 | register | Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. | Register van verwerker, in schriftelijke elektronische vorm |
| PRIV_U.02.01.06 | register | Het register hoeft niet te worden bijgehouden, indien:
| Register van verwerker, niet bijgehouden als … |
| PRIV_U.02.02.01 | actueel en samenhangend beeld | De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld. | Op verzoek van AP wordt middels de registers een actueel en samenhangend beeld |
| PRIV_U.02.02.02 | actueel en samenhangend beeld | Op verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Registers van de verwerkingsverantwoordelijke en van de verwerker geven één actueel en samenhangend beeld |
| PRIV_U.02.02.03 | actueel en samenhangend beeld | De onderlinge samenhang (gegevensstromen) en afhankelijkheden tussen:
| Actueel en samenhangend beeld t.a.v. gegevensstromen |
| PRIV_U.02.02.04 | actueel en samenhangend beeld | Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (GEB) meegenomen als onderdeel van de opname van de verwerking in het register. | Actueel en samenhangend beeld bij nieuwe en bij wijziging van bestaande verwerkingen |
| PRIV_U.03.01.01 | juistheid en nauwkeurigheid | De verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen. | Maatregelen i.r.t. juistheid en nauwkeurigheid |
| PRIV_U.03.01.02 | juistheid en nauwkeurigheid | De verwerkingsverantwoordelijke voert periodiek controles op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan hogere management. | Controle op juistheid en nauwkeurigheid |
| PRIV_U.03.02.01 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG art. 16 lid 1.. | Gecorrigeerd, gestaakt of overgedragen, rectificatie op verzoek van betrokkene |
| PRIV_U.03.02.02 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG art. 16 lid 1.. | Gecorrigeerd, gestaakt of overgedragen, vervollediging op verzoek van betrokkene |
| PRIV_U.03.02.03 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG art. 17 lid 1.:
| Gecorrigeerd, gestaakt of overgedragen, wissen op verzoek van betrokkene |
| PRIV_U.03.02.04 | gecorrigeerd, gestaakt of overgedragen | Bij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG art. 21 lid 1.. | Gecorrigeerd, gestaakt of overgedragen, steken van de verwerking op verzoek van betrokkene |
| PRIV_U.03.02.05 | gecorrigeerd, gestaakt of overgedragen | Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van, die persoonsgegevens te wissenAVG art. 17 lid 2.. | Gecorrigeerd, gestaakt of overgedragen redelijke maatregelen na openbaarmaking van persoonsgegevens |
| PRIV_U.03.02.06 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van betrokkene wordt de verwerking beperkt, indien:
| Gecorrigeerd, gestaakt of overgedragen, beperking van de verwerking op verzoek van betrokkene |
| PRIV_U.03.02.07 | gecorrigeerd, gestaakt of overgedragen | De betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG art. 20., als de verwerking berust op:
en geldt niet als:
| Gecorrigeerd, gestaakt of overgedragen, recht op ontvangst van gegevens en op overdragen van gegevens aan andere verwerkingsverantwoordelijke |
| PRIV_U.03.02.08 | gecorrigeerd, gestaakt of overgedragen | De betrokkene kan de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien /02.07 geldt en dit technisch mogelijk is. | Gecorrigeerd, gestaakt of overgedragen, overdracht aan andere verwerkingsverantwoordelijke |
| PRIV_U.03.03.01 | geïnformeerd | De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergtAVG art. 19.. | Geïnformeerd, van iedere ontvanger van elke rectificatie, gegevenswissing of verwerkingsbeperking |
| PRIV_U.03.03.02 | geïnformeerd | De verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaanAVG art. 19.. | Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt |
| PRIV_U.03.03.03 | geïnformeerd | De verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaanAVG art. 19.. | Geïnformeerd, bretrokkene over gevolg van verzoek van betrokken |
| PRIV_U.03.03.04 | geïnformeerd | De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. | Geïnformeerd, elketronische verwerking van het verzoek |
| PRIV_U.03.03.06 | geïnformeerd | Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG art. 12 lid 3.. | Geïnformeerd, informeren bij geen gevolg geven aan het verzoek |
| PRIV_U.03.03.07 | geïnformeerd | De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt, kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG art. 12 lid 5.. | Geïnformeerd, schriftelijk of op andere wijze |
| PRIV_U.03.03.08 | geïnformeerd | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG art. 12 lid 4.. | Geïnformeerd, identificatie van betrokkene |
| PRIV_U.04.01.01 | technische en organisatorische maatregelen | De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG art. 32 lid 3.. | Technische en organisatorische maatregelen, beperkte toegang |
| PRIV_U.04.01.02 | technische en organisatorische maatregelen | Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
| Technische en organisatorische maatregelen, fysieke beveiliging |
| PRIV_U.04.01.03 | technische en organisatorische maatregelen | Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan. | Technische en organisatorische maatregelen, organisatorische beveiliging |
| PRIV_U.04.01.04 | technische en organisatorische maatregelen | De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG art. 32. Dit is 'het informatiebeveiligingsartikel':
| Technische en organisatorische maatregelen, passend beveiligingsniveau |
| PRIV_U.04.02.01 | passend niveau te beveiligen | De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair. | Passend niveau, technische, organisatorische en fysieke beveiligingsmaatregelen |
| PRIV_U.04.02.02 | passend niveau te beveiligen | De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, hetzij per ongeluk hetzij onrechtmatigAVG art. 32 lid 2.. | Passend niveau, gebaseerd op analyse van het verwerkingsrisico |
| PRIV_U.04.02.03 | passend niveau te beveiligen | Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn. | Passend niveau, aantoonbaarheid |
| PRIV_U.05.01.01 | tijdig | De toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG art. 6 lid 1.Vetgedrukte tekst, het doorgeven aan derden en het verder verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.AVG art. 14 lid 3.. Dit geldt voor persoonsgegevens die via betrokkenen of anderen wordt of is verkregen. | Tijdig, toestemming van de betrokkene vooraf |
| PRIV_U.05.01.02 | tijdig | InformatieBetekenisvolle gegevens. over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevensAVG art. 14 lid 3.. | Tijdig, verstrekken van informatie |
| PRIV_U.05.02.01 | informatie | Het verzoek om toestemming bestaat in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenhedenAVG art. 7 lid 2.. | Informatie, verzoek om toestemming |
| PRIV_U.05.02.02 | informatie | Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG art. 13.:
| Informatie aan betrokkene |
| PRIV_U.05.02.03 | informatie | Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG art. 7.:
| Informatie aan betrokkene bij ontvangst gegevens bij een ander dan de betrokkene |
| PRIV_U.05.03.01 | uitzondering | De verplichting tot het verstrekken van informatie geldt niet, indien:
| Toestemming, vrijelijk gegeven |
| PRIV_U.05.04.01 | toestemming | De toestemming moet door de betrokkene vrijelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG art. 14 lid 4.. | Uitzondering |
| PRIV_U.05.04.02 | toestemming | Bij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG art. 8.. | Toestemming, toestemming of machtiging door ouderlijk verantwoordelijke |
| PRIV_U.06.01.01 | nodige maatregelen | Als de bewaartermijnen verlopen, zijn de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd verwijderd, vernietigd of geanonimiseerd. | Nodige maatregelen, verwijderd, vernietigd of geanonimiseerd |
| PRIV_U.06.01.02 | nodige maatregelen | De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren. | Nodige maatregelen, beoordeling evt. langere bewaartermijn |
| PRIV_U.06.02.01 | bewaartermijn | Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd. | Bewaartermijn, vastgesteld en bekrachtigd |
| PRIV_U.06.02.02 | bewaartermijn | De bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG art. 5 lid 1e.. | Bewaartermijn, maximale periode |
| PRIV_U.06.02.03 | bewaartermijn | Als in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn. | Bewaartermijn, in sectorspecifieke wetgeving vastgelegde bewaartermijn |
| PRIV_U.06.02.04 | bewaartermijn | Wanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e. en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AvgAVG art. 89 lid 1.. | Bewaartermijn, eisen aan evt. langere opslagperiode |
| PRIV_U.07.01.01 | onderlinge verantwoordelijkheden | Bij doorgifte aan een andere verantwoordelijke zijn:
| De onderlinge verantwoordelijkheden |
| PRIV_U.07.02.01 | afdoende garanties | De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegd, metAVG art. 28 lid 2. daarin:
- welke persoonsgegevens worden verstrekt aan de verwerker; - hoe dataminimalisatie is toegepast;
- de classificatie van de persoonsgegevens;
| Afdoende garanties door verwerker in een overeenkomst of andere rechtshandeling vastgelegd |
| PRIV_U.07.02.02 | afdoende garanties | In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
a. de persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften; b. de gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen zijn gebonden; c. de beveiliging van de verwerking is geborgd, conform U.04 §2.2.4, inclusief:
d. de vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker; e. passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief:
f. de verwerkingsverantwoordelijke bijstand wordt verleent om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking; g. na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkings-verantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terug-bezorgd worden en bestaande kopieën worden verwijderd, conform U.06 §2.2.6; h. de verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties. i. de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de Avg of op andere Wet- en regelgeving inzake gegevensbescherming. | Vormvereisten aan eisen voor afdoende garanties door verwerker |
| PRIV_U.07.02.03 | afdoende garanties | De overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld. | Afdoende garanties |
| PRIV_U.07.03.01 | vertegenwoordiger | Als een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoor-diger in de EU aangewezen, tenzij:
| Vertegenwoordiger in de EU |
| PRIV_U.07.03.02 | vertegenwoordiger | De verwerking door een verwerker vindt alleen plaats als een verwerkings-verantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, zie B.03 §2.1.3, door de verwerker. | Vertegenwoordiger i.r.t. afdoende garanties over het toepassen van passende technische en organisatorische maatregelen |
| PRIV_U.07.03.03 | vertegenwoordiger | Een verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG art. 28 lid 1.. | Vertegenwoordiger i.r.t. het door een andere verwerker uitvoeren van de verwerking |
| PRIV_U.07.04.01 | uitzonderingsgrond | De verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkings-verantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Avg art. 48. | Uitzonderingsgrond t.a.v. de verwerking |
| PRIV_U.07.04.02 | uitzonderingsgrond | De doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën van persoonsgegevens aan een derde land of een internationale organisatie. | Uitzonderingsgrond t.a.v. doorgifte |
| PRIV_U.07.05.01 | adequaatheidsbesluit | Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG art. 45.. | Adequaatheidsbesluit |
| PRIV_U.07.06.01 | passende waarborgen | Wanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG art. 46.:
| Passende waarborgen bij afwezigheid adequaatheidsbesluit |
| PRIV_U.07.06.02 | passende waarborgen | Als bindende bedrijfsvoorschriften (/05.01 punt b) worden gebruikt om passende waarborgen te bieden, dan:
| Passende waarborgen bij aanwezigheid adequaatheidsbesluit |
| PRIV_U.07.06.03 | passende waarborgen | Wanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49.. | Passende waarborgen, beëindigen van doorgifte en informeren van betrokkene |
| PRIV_U.07.07.01 | afwijking voor een specifieke situatie | Afwijking voor een specifieke situatie |
Control
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| PRIV_C.01.01.01 | evaluatie | De verantwoordelijke en - indien aangesteld - de Functionaris voor de Gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd. | Evaluatie, controle op het voldoen aan wettelijke verplichtingen |
| PRIV_C.01.01.02 | evaluatie | Als blijkt dat toch niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management. | Evaluatie, rapportage bij niet voldoen |
| PRIV_C.01.01.03 | evaluatie | Er is een planning van activiteiten in het kader van het beoordelen van de compliancy. | Evaluatie, planning en compliancy |
| PRIV_C.01.02.01 | rechtmatigheid aangetoond | Aangetoond is dat, conform Doelbinding gegevensverwerking, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt (doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.). | Rechtmatigheid aangetoond, welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden |
| PRIV_C.01.02.02 | rechtmatigheid aangetoond | Aangetoond is dat, conform Doelbinding gegevensverwerking, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). | Rechtmatigheid aangetoond, toereikende verwerking |
| PRIV_C.01.02.03 | rechtmatigheid aangetoond | Aangetoond is dat, conform Doelbinding gegevensverwerking, de verwerking ten aanzien van de betrokkene rechtmatig is (rechtmatigheid). | Rechtmatigheid aangetoond, rechtmatige verwerking |
| PRIV_C.01.02.04 | rechtmatigheid aangetoond | Bij het aantonen van de rechtmatigheid, Rechtmatigheid aangetoond, rechtmatige verwerking, wordt gebruik gemaakt van de overeenkomsten voor de doorgiften (conform Doorgifte persoonsgegevens). | Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte |
| PRIV_C.01.02.05 | rechtmatigheid aangetoond | Aangetoond is dat, conform Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen). | Rechtmatigheid aangetoond, passende en gewaarborgde beveiliging |
| PRIV_C.01.02.06 | rechtmatigheid aangetoond | Aangetoond is dat, conform Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (juistheid). | Rechtmatigheid aangetoond, juiste en actuele gegevens |
| PRIV_C.01.02.07 | rechtmatigheid aangetoond | Aangetoond is dat, conform B.03 §2.1.3, de wijze van verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. ten aanzien van de betrokkene behoorlijk is (behoorlijkheid). | Rechtmatigheid aangetoond, behoorlijke verwerking |
| PRIV_C.01.02.08 | rechtmatigheid aangetoond | Aangetoond is dat, conform U.05 §2.2.5 en C.02 en §2.3.2, de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is (transparantieInzicht in de werkwijze die de overheid hanteert.). | Rechtmatigheid aangetoond, transparante verwerking |
| PRIV_C.01.02.09 | rechtmatigheid aangetoond | De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG art. 5 lid 2.. | Rechtmatigheid aangetoond, compliancy |
| PRIV_C.01.02.10 | rechtmatigheid aangetoond | Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register conform U.02 §2.2.2. | Rechtmatigheid aangetoond, gebruik van gegevensregister |
| PRIV_C.02.01.01 | informatie over de verwerking van persoonsgegevens | De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van hem betreffende persoonsgegevens. | Informatie over de verwerking van persoonsgegevens aan betrokkene |
| PRIV_C.02.01.02 | informatie over de verwerking van persoonsgegevens | De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG art. 15.:
| Informatie over de verwerking van persoonsgegevens, inhoudelijkheid |
| PRIV_C.02.01.03 | informatie over de verwerking van persoonsgegevens | De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG art. 14 lid 4.. | Informatie over de verwerking van persoonsgegevens, evt. afbreuk aan rechten cq. vrijheden van anderen |
| PRIV_C.02.02.01 | tijdig | De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG art. 12 lid 3 en 4., tenzij:
| Tijdige verstrekking op verzoek van betrokkene |
| PRIV_C.02.02.02 | tijdig | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
| Tijdig verstrekking bij geen gevolg op verzoek van betrokkene |
| PRIV_C.02.03.01 | in een passende vorm | De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG art. 12 lid 1.. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG art. 12 lid 7.. | Passende vorm, begrijpelijke en toegankelijke wijze van communicatie |
| PRIV_C.02.03.02 | in een passende vorm | De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt. | Passende vorm, gekozen van medium |
| PRIV_C.02.03.03 | in een passende vorm | Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is. | Passende vorm bij mondelinge verstrekking |
| PRIV_C.02.03.04 | in een passende vorm | Het verstrekken van de informatie en het verstrekken van de communicatie is kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond, of: buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, mag de verwerkingsverantwoordelijke, ofwel:
| Passende vorm, eventuele kosten |
| PRIV_C.02.03.05 | in een passende vorm | De verantwoordelijke heeft gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden niet behouden, verkrijgen of verwerkt als er geen doeleinden, conform U.01 §2.2.1).zijn om nog persoonsgegevens van betrokkene te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.AVG art. 11.Als identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld. | Passende vorm, gegevens ter identificatie |
| PRIV_C.02.04.01 | specifieke uitzonderingsgrond | De verantwoordelijke heeft geen informatie verstrekt als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG art. 23.. | Specifieke uitzonderingsgrond |
| PRIV_C.03.01.01 | meldt een datalek | Een datalek is, tenzij een uitzondering van toepassing is (zie /04.01) op basis van de Avg gemeld bij de AP. | Meldt een datalek, aan AP |
| PRIV_C.03.01.02 | meldt een datalek | De melding aan de AP bevat ten minsteAVG art. 33a lid 3.:
| Meldt een datalek, eisen aan de melding aan AP |
| PRIV_C.03.01.03 | meldt een datalek | Een datalek is, tenzij een uitzonderingen van toepassing is (zie /04.02), gemeld aan de betrokkene. | Meldt een datalek, melding aan betrokkene |
| PRIV_C.03.01.04 | meldt een datalek | In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoons¬gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten minste het volgende omschreven of meegedeeldAVG art. 33, lid 3b, 3c en 3d. :
| Meldt een datalek, eisen aan de melding aan betrokkene |
| PRIV_C.03.01.05 | meldt een datalek | De melding aan de betrokkene is in duidelijke en eenvoudige taal. | Meldt een datalek, in duidelijke en eenvoudige taal |
| PRIV_C.03.02.01 | gestelde termijn | Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. | Termijn melden aan verwerkingsverantwoordelijke |
| PRIV_C.03.02.02 | gestelde termijn | De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. | Termijn melden aan AP |
| PRIV_C.03.02.03 | gestelde termijn | Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. | Termijn, motivering bij vertraagd melden |
| PRIV_C.03.02.04 | gestelde termijn | De melding aan de betrokkene gebeurt onverwijld. | Termijn aan betrokkene |
| PRIV_C.03.03.01 | documenteert de inbreuk | De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Documenteert de inbreuk, eisen aan de registratie |
| PRIV_C.03.03.02 | documenteert de inbreuk | De documentatie stelt de AP in staat de naleving te controleren. | Documenteert de inbreuk, mogelijkheid tot controle |
| PRIV_C.03.03.03 | documenteert de inbreuk | De documentatie bevat de noodzakelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Documenteert de inbreuk, noodzakelijke gegevens |
| PRIV_C.03.03.04 | documenteert de inbreuk | Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkene Overweging 87.. | Documenteert de inbreuk, m.b.t. kennisgeving |
| PRIV_C.03.04.01 | uitzondering | De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
| Uitzondering op melden van datalek aan AP |
| PRIV_C.03.04.02 | uitzondering | De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
| Uitzondering op melden van datalek aan betrokkene |
