De Privacy Baseline/alle principes alle eigenschappen

Uit NORA Online
Ga naar: navigatie, zoeken

In deze tabel staan alle Privacyprincipes uit De Privacy Baseline, met alle semantische eigenschappen van die principes. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen. Deze tabel is ook beschikbaar als csv download en in varianten met alleen specifieke eigenschappen

IDWikilinkTitelVersieaanduidingGebruik in Nederlandse publieke sectorStatus actualiteitPracticeRedactionele wijzigingsdatumPublicatiedatumBeschrijvingCriteriumDoelstellingRisicoBeveiligingsaspectInvalshoekIs uitwerking van (specificatie)PlaatjeConformiteitsindicatorKent element met zelfde titelHeeft bronIs uitwerking vanValt in normenkaderIs ouderpagina vanWordt gerealiseerd doorRelaties met bindende afspraken NORA
PRIVDe Privacy Baseline3.3In ontwikkelingActueelCIP29 juni 202016 oktober 2017De Privacy Baseline is een product van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en een onderdeel van de documentenreeks 'Grip op privacy'. Het doel van deze documentenreeks is praktische handvatten bieden aan organisaties die privacy in beleid en uitvoering controleerbaar willen implementeren.

Dit normenkader heeft betrekking op het onderwerp Privacy en bestaat uit privacyprincipes, onderliggende normen en begeleidende teksten. Deze wiki-versie is gebaseerd op en bedoeld als opvolger van versie 3.2; de overeenkomstige 'traditionele' publicatie vind je hier: Privacy Baseline versie 3.3.

De Privacy Baseline en ISOR

Voor de Privacy Baseline zijn de privacyprincipes uit de wet AVG gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat doorgaans gebruikt wordt voor Informatiebeveiliging. Omdat het normenkader tevens is gevormd naar de uitgangspunten van de SIVA-methode, is ervoor gekozen de Privacy Baseline ook in de ISOR te plaatsen, zoveel mogelijk in hetzelfde format als de normenkaders voor Informatiebeveiliging. Dat gaat aan de oppervlakte goed, maar er is een verschil in ontstaansgeschiedenis en dat betreft de indeling van de principes en onderliggende normen in Invalshoeken. Dit is een belangrijk kernonderdeel van de SIVA-methode, voorafgaand aan het opstellen van de principes en normen, om lacunes in de objectenanalyse te ontdekken.
Het onderwerp van de Privacy Baseline is echter niet Privacy, maar de Privacywetgeving. De pretentie van de Privacy Baseline niet om de wet op volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en consistentie te toetsen, doch om de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem een handzame en geannoteerde set van toetsbare criteria mee te geven die hem helpen zich aan de wet te houden. In de Privacy Baseline zal daarom bij invalshoek 'Onbekend' staan.

De aspecten B, U en C binnen de Privacy Baseline

De aspecten B, U en C clusteren respectievelijk de principes, criteria en normen voor het Beleidsdomein, het Uitvoeringsdomein en het Control- of Beheerdomein.

Het beleidsdomein
Het uitvoeringsdomein
Het control- of beheerdomein
Via deze startpagina's kom je gemakkelijk bij de desbetreffende principes en normen door naar beneden te scrollen.
NeeDe Privacy Baseline
PRIV_010Voorwoord3.3Actueel23 april 2020De Privacy Baseline
PRIV_011Inleiding en leeswijzer3.3Actueel23 april 2020De Privacy Baseline
PRIV_015Aanvullende informatie3.3Actueel23 april 2020De Privacy Baseline
PRIV_16Baseline format3.1De Privacy Baseline
PRIV_19Privacyprincipes en normen gesorteerd op conformiteitsindicator3.323 april 2020De Privacy Baseline
PRIV_BPrivacy Beleid: het beleidsdomein3.3In gebruikActueelCIP18 juni 2020In dit onderdeel van de Privacy Baseline zijn de richtlijnen opgenomen voor het algemeen beleid rondom privacy. Met dit beleid geeft de organisatie zowel de eigen afdelingen als andere partijen duidelijkheid over de kaders waarbinnen de verwerkingen van persoonsgegevens plaatsvinden. Dit beleid beschrijft ook aan welke voorwaarden processen en systemen moeten voldoen en hoe dit beleid op naleving wordt gecontroleerd.De doelstelling van het beleidsdomein is ervoor te zorgen dat op strategisch niveau afdoende randvoorwaarden en condities aanwezig zijn om de persoonsgegevens verantwoord te verwerken en opdat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken doelstellingen.Door het ontbreken van een door het management uitgevaardigd beleid ontstaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan het verwerken van de persoonsgegevens. Doorgaans zal dit een negatieve impact hebben op het realiseren van organisatiedoelstellingen (en het voldoen aan de eisen van de AVG).BeleidNeeDe Privacy Baseline
PRIV_B.01Privacy Beleid geeft duidelijkheid en sturing3.3In gebruikActueelCIP10 september 202016 oktober 2017Privacybeleid geeft op organisatie - en strategisch niveau duidelijkheid en daarmee sturing aan de inrichting van privacy.

Inhoud

Het privacybeleid geeft aan op welke wijze - door het treffen van maatregelen - voldaan wordt aan de van toepassing zijnde wet- en regelgeving. Omdat de wet- en regelgeving externe factoren zijn die kunnen veranderen, is periodieke review nodig om vast te stellen of het beleid nog voldoet. Maar ook interne factoren, zoals onvoldoende effectiviteit van het beleid en gewijzigde missie of visie, kunnen het nodig maken om te komen tot aanpassing van het beleid. Het volstaat dus niet om eenmalig beleid op te stellen en niet meer aan te passen. Door het beleidsproces cyclisch in te richten kan het beleid op de ontwikkelingen en de uitvoering afgestemd blijven.

Proces

De ontwikkeling van de organisatie tot een organisatie die aantoonbaar aan wet- en regelgeving voldoet (ofwel: 'compliant' is aan wet- en regelgeving), vraagt om een cyclisch proces. Dit houdt in dat er sprake is van een terugkoppelmechanisme waarbij - door inzicht in de uitvoering - het beleid kan worden bijgestuurd en gecorrigeerd. De Privacy Baseline is als cyclisch proces (Beleid, Uitvoering en Control) opgezet. Afspraken over hoe dit cyclische proces vormgegeven wordt maken onderdeel uit van het beleid.
De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'.Privacybeleid dient ervoor om op organisatie- en strategisch niveau duidelijkheid te geven over de inrichtingskeuzes van privacy en te waarborgen dat de verwerking van gegevens op een rechtmatige wijze plaatsvindt.Het ontbreken van een privacybeleid leidt ertoe dat de organisatie geen duidelijkheid heeft over wat precies wordt verwacht, waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden verwerkt (zoals: verzamelen, bewerken, inzien, etcetera).BeleidOnbekendprivacybeleidDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
Uitvoeringswet AVG
Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnen
Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelen
Invulling wettelijke beginselen; beschrijven van behoorlijke verwerking
Invulling wettelijke beginselen; beschrijven van transparante verwerking
Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevens
Invulling wettelijke beginselen; beschrijven van garanties bij doorgifte
Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerken
Privacybeleid; vastgesteld en gecommuniceerd
Privacybeleid i.r.t. sectorspecifieke wetgeving.
Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelen
Privacybeleid; cyclisch proces
Privacybeleid i.r.t. wet- en regelgeving
Invulling wettelijke beginselen; beschrijven van informeren bij inbreuk
Privacybeleid i.r.t. gedragscode
Invulling wettelijke beginselen; beschrijving van privacy by design
Privacybeleid; duidelijkheid over naleving en verantwoordingsplicht
Relatie PRIV B.01-AP31
Relatie PRIV B.01-AP05
Relatie PRIV B.01-AP32
Relatie PRIV B.01-AP33
PRIV_B.01.01.01Privacybeleid; duidelijkheid over naleving en verantwoordingsplicht3.3In gebruikActueelCIP25 mei 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.01.02Privacybeleid; cyclisch proces3.3In gebruikActueelCIP8 april 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.01.03Privacybeleid; vastgesteld en gecommuniceerd3.3In gebruikActueelCIP9 april 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.01.04Privacybeleid i.r.t. wet- en regelgeving3.3In gebruikActueelCIP18 mei 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.01.05Privacybeleid i.r.t. sectorspecifieke wetgeving.3.3In gebruikActueelCIP9 april 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.01.06Privacybeleid i.r.t. gedragscode3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendprivacybeleidDe Privacy Baseline
PRIV_B.01.02.01Invulling wettelijke beginselen; beschrijving van privacy by design3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.02Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelen3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.03Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerken3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.04Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevens3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.05Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelen3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.06Invulling wettelijke beginselen; beschrijven van transparante verwerking3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.07Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnen3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.08Invulling wettelijke beginselen; beschrijven van garanties bij doorgifte3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.09Invulling wettelijke beginselen; beschrijven van behoorlijke verwerking3.3In gebruikActueelCIP4 juni 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.01.02.10Invulling wettelijke beginselen; beschrijven van informeren bij inbreuk3.3In gebruikActueelCIP9 april 202016 oktober 2017BeleidOnbekendwettelijke beginselenDe Privacy Baseline
PRIV_B.02Organieke inbedding3.3In gebruikActueelCIP10 september 202016 oktober 2017Het waarborgen van de privacy ligt niet bij één persoon. Een veelheid van personen binnen een organisatie is betrokken om aan de vereisten van de wet- en regelgeving te kunnen voldoen.De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.Het doel van een heldere verdeling van taken en bevoegdheden, van middelen en rapportagelijnen is waarborgen dat op de juiste wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van het privacybeleid en de AVG.Door het ontbreken van een goede en inzichtelijke taakverdeling en de daarvoor benodigde middelen en rapportagelijnen is niet altijd duidelijk wie wat moet doen, waardoor de eisen van de AVG, de sectorspecifieke wetgeving en het privacybeleid niet effectief worden ingevuld.BeleidOnbekendverdeling van de taken en verantwoordelijkheden, benodigde middelen, rapportagelijnenDe Privacy BaselineUitvoeringswet AVG
AVG (Algemene Verordening Gegevensbescherming)
Functionaris Gegevensbescherming
Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix
Rapporteringslijnen
Verdeling taken en verantwoordelijkheden
Benodigde middelen
Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten
Relatie PRIV B.02-AP32
PRIV_B.02.01.01Verdeling taken en verantwoordelijkheden3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendverdeling van de taken en verantwoordelijkhedenDe Privacy Baseline
PRIV_B.02.01.02Functionaris Gegevensbescherming3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendverdeling van de taken en verantwoordelijkhedenDe Privacy Baseline
PRIV_B.02.01.03Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendverdeling van de taken en verantwoordelijkhedenDe Privacy Baseline
PRIV_B.02.01.04Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendverdeling van de taken en verantwoordelijkhedenDe Privacy Baseline
PRIV_B.02.02.01Benodigde middelen3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendbenodigde middelenDe Privacy Baseline
PRIV_B.02.03.01Rapporteringslijnen3.3In gebruikActueelCIP19 mei 202016 oktober 2017BeleidOnbekendrapporteringslijnenDe Privacy Baseline
PRIV_B.03Risicomanagement, Privacy by Design en de DPIA3.3In gebruikActueelCIP10 september 202016 oktober 2017Risicomanagement is een continu proces dat de privacyrisico's signaleert, beoordeelt en een passende behandeling daarvan bewaakt. Privacy-risicomanagement richt zich op het beheersen van privacyrisico's bij het verwerken, waaronder verzamelen, opslaan en doorgeven van persoonsgegevens. Door middel van privacy-risicomanagement worden, bij de ontwikkeling, de inrichting en de inzet van de gegevensverwerking voor de organisatie de privacyrisico's in lijn gebracht met het privacybeleid (zie: B01). Zo wordt voldaan aan de wet- en regelgeving en worden de belangen van de betrokkenen gewaarborgd.De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.Beoordeling van de privacyrisico's (de kans en hun potentiële omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht.Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de AVG voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt.BeleidOnbekendhet beoordelen van de privacyrisico's, passende maatregelen, aantonenDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Passende maatregelen, continuïteit
Passende maatregelen, passend
Het beoordelen van de privacyrisico's, bij wijzigingen
Passende maatregelen i.r.t. de DPIA
Aantonen aanpak risicomanagement
Het beoordelen van de privacyrisico's, advies van FG
Aantonen privacy by design
Aantonen toepassen DPIA toetsmodel
Aantonen onderkende risico's en maatregelen
Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten
Het beoordelen van de privacyrisico's, hoog risico
Het beoordelen van de privacyrisico's, i.r.t. DPIA
Passende maatregelen, technisch en organisatorisch
Relatie PRIV B.03-AP33
Relatie PRIV B.03-AP34
PRIV_B.03.01.01Het beoordelen van de privacyrisico's, hoog risico3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendhet beoordelen van de privacyrisico'sDe Privacy Baseline
PRIV_B.03.01.02Het beoordelen van de privacyrisico's, advies van FG3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendhet beoordelen van de privacyrisico'sDe Privacy Baseline
PRIV_B.03.01.03Het beoordelen van de privacyrisico's, bij wijzigingen3.3In gebruikActueelCIP16 oktober 201720 mei 2020BeleidOnbekendhet beoordelen van de privacyrisico'sDe Privacy Baseline
PRIV_B.03.01.04Het beoordelen van de privacyrisico's, i.r.t. DPIA3.3In gebruikActueelCIP16 oktober 201720 mei 2020BeleidOnbekendhet beoordelen van de privacyrisico'sDe Privacy Baseline
PRIV_B.03.02.01Passende maatregelen, technisch en organisatorisch3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendpassende maatregelenDe Privacy Baseline
PRIV_B.03.02.02Passende maatregelen, passend3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendpassende maatregelenDe Privacy Baseline
PRIV_B.03.02.03Passende maatregelen, continuïteit3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendpassende maatregelenDe Privacy Baseline
PRIV_B.03.02.04Passende maatregelen i.r.t. de DPIA3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendpassende maatregelenDe Privacy Baseline
PRIV_B.03.03.01Aantonen onderkende risico's en maatregelen3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendaantonenDe Privacy Baseline
PRIV_B.03.03.02Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendaantonenDe Privacy Baseline
PRIV_B.03.03.03Aantonen aanpak risicomanagement3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendaantonenDe Privacy Baseline
PRIV_B.03.03.04Aantonen toepassen DPIA toetsmodel3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendaantonenDe Privacy Baseline
PRIV_B.03.03.05Aantonen privacy by design3.3In gebruikActueelCIP20 mei 202016 oktober 2017BeleidOnbekendaantonenDe Privacy Baseline
PRIV_CPrivacy Control: het control- of beheerdomein3.3In gebruikActueelCIP20 mei 2020In dit hoofdstuk zijn richtlijnen opgenomen voor de specifieke beheeraspecten van de gegevensverwerking; dit houdt onder meer in dat een adequate technische- en organisatorische maatregelen moeten zijn ingericht, om de beheerprocessen vorm te geven.De doelstelling van de laag algemene control (beheersing) is te zorgen voor en/of vast te stellen dat maatregelen ter waarborging van de privacy afdoende zijn ingericht.Door het ontbreken van noodzakelijke maatregelen binnen het beheersingsdomein is het niet zeker dat de verwerking aan de vereisten voldoet en dat de governance van die omgeving toereikend is ingericht.ControlNeeDe Privacy Baseline
PRIV_C.01Intern toezicht3.3In gebruikActueelCIP10 september 202016 oktober 2017Binnen de organisatie wordt toezicht gehouden op de rechtmatigheid van de gegevensverwerking. Een gegevensverwerking is rechtmatig als deze voldoet aan de eisen die de AVG, sectorspecifieke wetgeving en/of een (eventuele) Gedragscode stelt.Door of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond.Het doel van 'Intern toezicht' is het garanderen van een rechtmatige, behoorlijke en transparantieInzicht in de werkwijze die de overheid hanteert. verwerking van persoonsgegevens, het garanderen van naleving van de AVG en van andere wet- en regelgeving betreffende de gegevensbescherming, en het garanderen en aantoonbaar maken van naleving van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens.Als de verwerking van persoonsgegevens niet voldoet aan de AVG, dan zijn de risico's tweeledig: de betrokkene loopt persoonlijke privacyrisico's en de verwerkingsverantwoordelijke wordt geconfronteerd met politiek-bestuurlijke en/of juridische maatregelen, verlies van vertrouwen en beschadiging van imago als gevolg van communicatieve of handhavende maatregelen van betrokkenen, derden en/of de toezichthoudende autoriteiten.ControlOnbekendinformatie en rechtmatigheid aangetoondDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Rechtmatigheid aantonen
Aantoonbaar transparante verwerking
Rechtmatigheid aangetoond, toereikende verwerking
Compliancy en compleetheid aantonen met het gegevensregister
Rechtmatigheid van de verwerking aantonen
Toezien op het voldoen aan de wettelijke verplichtingen
Juiste en actuele gegevens
Evaluatierapportage bij niet voldoen
Aantoonbaar behoorlijke verwerking
Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte
Compliancydossier
Gewaarborgde bescherming
Planmatige controle op compliancy
Relatie PRIV C.01-AP31
Relatie PRIV C.01-AP34
Relatie PRIV C.01-AP44
PRIV_C.01.01.01Toezien op het voldoen aan de wettelijke verplichtingen3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendevaluatieDe Privacy Baseline
PRIV_C.01.01.02Evaluatierapportage bij niet voldoen3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendevaluatieDe Privacy Baseline
PRIV_C.01.01.03Planmatige controle op compliancy3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendevaluatieDe Privacy Baseline
PRIV_C.01.02.01Rechtmatigheid van de verwerking aantonen3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.02Rechtmatigheid aangetoond, toereikende verwerking3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.03Rechtmatigheid aantonen3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.04Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte3.3In gebruikActueelCIP11 november 20196 mei 2019Controlrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.05Gewaarborgde bescherming3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.06Juiste en actuele gegevens3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.07Aantoonbaar behoorlijke verwerking3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.08Aantoonbaar transparante verwerking3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.09Compliancydossier3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.01.02.10Compliancy en compleetheid aantonen met het gegevensregister3.3In gebruikActueelCIP18 juni 202016 oktober 2017ControlOnbekendrechtmatigheid aangetoondDe Privacy Baseline
PRIV_C.02Toegang gegevensverwerking voor betrokkenen3.3In gebruikActueelCIP10 september 202016 oktober 2017Iedere betrokkene heeft (binnen grenzen van redelijkheid) het recht te weten of, door wie, waarvoor en op welke wijze zijn persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke moet deze transparantieInzicht in de werkwijze die de overheid hanteert. kunnen bieden. Deze transparantieInzicht in de werkwijze die de overheid hanteert. is nodig om de betrokkene of diens wettelijke vertegenwoordiger in staat te stellen - indien nodig - zonder onevenredige kosten en/of moeite zijn gegevens te laten corrigeren of de verantwoordelijke (in rechte) aan te spreken bij onrechtmatigheid van een gegevensverwerking opdat deze onrechtmatigheid beëindigd wordt.
Voorafgaand aan de verwerking van de persoonsgegevens worden betrokkenen geïnformeerd over de verwerking conform PRIV_U.05: Bewaren van persoonsgegevens, en zijn binnen de verwerkingen voorzieningen getroffen waarmee de betrokkene controle over zijn gegevens kan houden, PRIV_U.03: Kwaliteitsmanagement.
De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG Art. 12, tenzij er een specifieke uitzonderingsgrond geldt.Het doel van 'Toegang gegevensverwerking voor betrokkene' is om zo nodig transparantieInzicht in de werkwijze die de overheid hanteert. te bieden over de gegevensverwerking, zodat de betrokkene zijn rechten kan uitoefenen en zo de verantwoordelijke kan aanspreken bij onrechtmatigheid van een gegevensverwerking, opdat deze onrechtmatigheid beëindigd wordt.De organisatie is niet transparant, waardoor het inzicht in de rechtmatigheid van organisaties ontbreekt, waardoor het vertrouwen in een organisatie verloren gaat.ControlOnbekendinformatie over de verwerking van persoonsgegevens, tijdig, in een passende vorm, specifieke uitzonderingsgrondDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Specifieke uitzonderingsgronden
Tijdig informeren bij geen gevolg aan verzoek van betrokkene
Welke informatie wordt verstrekt
Geen afbreuk aan rechten en vrijheden van anderen
Tijdige verstrekking op verzoek van betrokkene
Informatie wordt schriftelijk en/of elektronisch verstrekt
Informatie aan betrokkene over de verwerking van persoonsgegevens
Mondelinge informatieverstrekking
Kosteloos, tenzij onredelijk
Passende, begrijpelijke en toegankelijke wijze van informeren
Gegevens ter identificatie van de betrokkene
Relatie PRIV C.02-AP26
Relatie PRIV C.02-AP30
Relatie PRIV C.02-AP34
PRIV_C.02.01.01InformatieBetekenisvolle gegevens. aan betrokkene over de verwerking van persoonsgegevens3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendinformatie over de verwerking van persoonsgegevensDe Privacy Baseline
PRIV_C.02.01.02Welke informatie wordt verstrekt3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendinformatie over de verwerking van persoonsgegevensDe Privacy Baseline
PRIV_C.02.01.03Geen afbreuk aan rechten en vrijheden van anderen3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendinformatie over de verwerking van persoonsgegevensDe Privacy Baseline
PRIV_C.02.02.01Tijdige verstrekking op verzoek van betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendtijdigDe Privacy Baseline
PRIV_C.02.02.02Tijdig informeren bij geen gevolg aan verzoek van betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendtijdigDe Privacy Baseline
PRIV_C.02.03.01Passende, begrijpelijke en toegankelijke wijze van informeren3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendin een passende vormDe Privacy Baseline
PRIV_C.02.03.02InformatieBetekenisvolle gegevens. wordt schriftelijk en/of elektronisch verstrekt3.3In gebruikActueelCIP16 oktober 201716 oktober 2017Controlin een passende vormDe Privacy Baseline
PRIV_C.02.03.03Mondelinge informatieverstrekking3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendin een passende vormDe Privacy Baseline
PRIV_C.02.03.04Kosteloos, tenzij onredelijk3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendin een passende vormDe Privacy Baseline
PRIV_C.02.03.05Gegevens ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendin een passende vormDe Privacy Baseline
PRIV_C.02.04.01Specifieke uitzonderingsgronden3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendspecifieke uitzonderingsgrondDe Privacy Baseline
PRIV_C.03Meldplicht Datalekken3.3In gebruikActueelCIP10 september 202016 oktober 2017Het bieden van inzicht in een datalek en de mogelijke gevolgen ervan, kan mogelijk (negatieve) consequenties voor de betrokkenen beperken. Een datalek is een "inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensAVG Art. 4.

NB: De Engelse tekst spreekt hier van "personal data breach".

De meldplicht datalekken wordt behandeld in AVG Art. 33 en 34. Zie ook AVG overweging 85. In de UAVG is niets over de meldplicht opgenomen, anders dan het uitsluiten van financiële ondernemingen als bedoeld in de Wet op het financieel toezicht (UAVG Art. 42).
De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de Autoriteit Persoonsgegevens, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.Het doel van 'Meldplicht datalekken' is negatieve consequenties van een datalek te beperken en waar mogelijk te voorkomen.Negatieve consequenties die de persoonlijke levenssfeer van de betrokkene treffen.ControlOnbekendmeldt een datalek, gestelde termijn, documenteert de inbreuk, uitzonderingDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
Uitvoeringswet AVG
Uitzondering op meldplicht aan betrokkene
Termijn voor melden aan AP
Datalek melden aan de AP
Registratie en documentatie van de inbreuken
Eisen aan de melding aan betrokkene
Uitzondering op meldplicht aan AP
Naleving controleren op basis van documentatie
Motivering bij vertraagde melding
Duidelijke en eenvoudige taal
Noodzakelijke gegevens in de documentatie
Inbreuk melden aan verwerkingsverantwoordelijke
Kennisgeving vastleggen
Directe melding aan betrokkene
Datalek melden aan betrokkene
Eisen aan de melding aan AP
Relatie PRIV C.03-AP30
PRIV_C.03.01.01Datalek melden aan de AP3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendmeldt een datalekDe Privacy Baseline
PRIV_C.03.01.02Eisen aan de melding aan AP3.3In gebruikActueelCIP16 oktober 2017Controlmeldt een datalekDe Privacy Baseline
PRIV_C.03.01.03Datalek melden aan betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendmeldt een datalekDe Privacy Baseline
PRIV_C.03.01.04Eisen aan de melding aan betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendmeldt een datalekDe Privacy Baseline
PRIV_C.03.01.05Duidelijke en eenvoudige taal3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendmeldt een datalekDe Privacy Baseline
PRIV_C.03.02.01Inbreuk melden aan verwerkingsverantwoordelijke3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendgestelde termijnDe Privacy Baseline
PRIV_C.03.02.02Termijn voor melden aan AP3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendgestelde termijnDe Privacy Baseline
PRIV_C.03.02.03Motivering bij vertraagde melding3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendgestelde termijnDe Privacy Baseline
PRIV_C.03.02.04Directe melding aan betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekendgestelde termijnDe Privacy Baseline
PRIV_C.03.03.01Registratie en documentatie van de inbreuken3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenddocumenteert de inbreukDe Privacy Baseline
PRIV_C.03.03.02Naleving controleren op basis van documentatie3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenddocumenteert de inbreukDe Privacy Baseline
PRIV_C.03.03.03Noodzakelijke gegevens in de documentatie3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenddocumenteert de inbreukDe Privacy Baseline
PRIV_C.03.03.04Kennisgeving vastleggen3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenddocumenteert de inbreukDe Privacy Baseline
PRIV_C.03.04.01Uitzondering op meldplicht aan AP3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenduitzonderingDe Privacy Baseline
PRIV_C.03.04.02Uitzondering op meldplicht aan betrokkene3.3In gebruikActueelCIP19 juni 202016 oktober 2017ControlOnbekenduitzonderingDe Privacy Baseline
PRIV_UPrivacy Uitvoering: het uitvoeringsdomein3.3In gebruikActueelCIP20 mei 2020In dit onderdeel van de Privacy Baseline zijn de eisen opgenomen voor de uitvoering van de gegevensverwerking. Het beleid dat op de beleidslaag vanuit het hogere managementniveau is ontwikkeld en bekrachtigd, is leidend voor de invulling van de specifieke aspecten van de gegevensverwerking.In het uitvoeringsdomein worden persoonsgegevens verwerkt. De verantwoordelijke voor de verwerking moet hier de verwerking realiseren onder de condities en randvoorwaarden die in het beleidsdomein zijn gedefinieerd. Personen waarvan de persoonsgegevens worden verwerkt (betrokkenen) moeten de zekerheid kunnen krijgen dat de verwerking conform de wet- en regelgeving gebeurt.Wanneer richtlijnen voor de specifieke aspecten van de gegevensverwerking ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de specifieke aspecten bij de verwerking van persoonlijke gegevens. Dit geeft onduidelijkheid bij de technische en organisatorische inrichting van de gegevensverwerkingen.UitvoeringNeeDe Privacy Baseline
PRIV_U.01Doelbinding gegevensverwerking3.3In gebruikActueelCIP10 september 202016 oktober 2017Het uitgangspunt van doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. is, dat gegevens worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doel. 'Welbepaald en uitdrukkelijk omschreven' houdt in dat men geen gegevens mag verzamelen zonder een precieze doelomschrijving. Het doel moet zijn bepaald alvorens men tot verzamelen overgaat. 'Welbepaald' houdt in dat deze doelomschrijving duidelijk moet zijn, niet zo vaag of ruim dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevens nodig zijn voor dat doel of niet. Het doel mag ook niet in de loop van het verzamelproces geformuleerd worden. 'Uitdrukkelijk omschreven' houdt in dat de verantwoordelijke het doel waarvoor hij verwerkt moet hebben omschreven.De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
  • De doeleinden, en:
  • De rechtvaardigingsgronden voor:
  1. De verdere verwerking op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
  2. De geautomatiseerde besluitvorming;
  3. De bijzondere categorieën persoonsgegevens;
  4. De persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten;
  5. Het nationaal identificerend nummer;
  6. De persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang.
Het doel van 'Doelbinding gegevensverwerking' is om te waarborgen dat persoonsgegevens alleen worden verzameld en (verder) verwerkt voor gerechtvaardigde doeleinden.Het ongeoorloofd en onrechtmatig verzamelen en (verder) verwerken van persoonsgegevens.UitvoeringOnbekendtijdig, welbepaald en uitdrukkelijk omschrevenDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
Uitvoeringswet AVG
Bijzondere categorieën persoonsgegevens; i.r.t. rechtsvordering, gerechten
Bijzondere categorieën persoonsgegevens; openbaar gemaakt door betrokkene
Bijzondere categorieën persoonsgegevens; noodzaak, vitale belangen, onmacht
Bijzondere categorieën persoonsgegevens; voorwaarden verwerking i.v.m. gezondheidszorg
Bijzondere categorieën persoonsgegevens; uitdrukkelijke toestemming
Vooraf in kennis stellen van (voornemen tot) verdere verwerking
Bijzondere categorieën persoonsgegevens; ledenadministratie, gerechtvaardigde activiteiten
Tijdig, welbepaald en uitdrukkelijk omschreven; doeleinden en rechtmatigheid
Bijzondere categorieën persoonsgegevens; noodzaak i.r.t verplichtingen en specifieke rechten
Bijzondere categorieën persoonsgegevens; algemeen belang i.r.t volksgezondheid
Persoonsgegevens van strafrechtelijke aard
Verdere verwerking i.r.t. andere doelen
Doeleinden; toereikend, ter zake dienend en beperkt
Bijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belang
Tijdig, welbepaald en uitdrukkelijk omschreven; SMART
Doeleinden; transparant, behoorlijk en veilig
Tijdig, welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking
Bijzondere categorieën persoonsgegevens, m.b.t. specifieke doeleinden met algemeen belang
Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR
Tijdig, welbepaald en uitdrukkelijk omschreven; noodzaak en verenigbaarheid
Doeleinden; rechtmatigheid
Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking
Het verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelen
Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt.
Geautomatiseerde besluitvorming; niet, tenzij
Bijzondere categorieën persoonsgegevens; gezondheidsgegevens
Persoonsgegevens van strafrechtelijke aard; eisen aan de verwerking
Nationaal identificerend nummer
Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belang
Geautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangen
Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens
Relatie PRIV U.01-AP15
Relatie PRIV U.01-AP27
PRIV_U.01.01.01Tijdig, welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendtijdig, welbepaald en uitdrukkelijk omschrevenDe Privacy Baseline
PRIV_U.01.01.02Tijdig, welbepaald en uitdrukkelijk omschreven; doeleinden en rechtmatigheid3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendtijdig, welbepaald en uitdrukkelijk omschrevenDe Privacy Baseline
PRIV_U.01.01.03Tijdig, welbepaald en uitdrukkelijk omschreven; noodzaak en verenigbaarheid3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendtijdig, welbepaald en uitdrukkelijk omschrevenDe Privacy Baseline
PRIV_U.01.01.04Tijdig, welbepaald en uitdrukkelijk omschreven; SMART3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendtijdig, welbepaald en uitdrukkelijk omschrevenDe Privacy Baseline
PRIV_U.01.02.01Doeleinden; toereikend, ter zake dienend en beperkt3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekenddoeleindenDe Privacy Baseline
PRIV_U.01.02.02Doeleinden; rechtmatigheid3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekenddoeleindenDe Privacy Baseline
PRIV_U.01.02.03Doeleinden; transparant, behoorlijk en veilig3.3In gebruikActueelCIP25 mei 202016 oktober 2017UitvoeringOnbekenddoeleindenDe Privacy Baseline
PRIV_U.01.03.01Verdere verwerking i.r.t. andere doelen3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging verdere verwerkingDe Privacy Baseline
PRIV_U.01.03.02Vooraf in kennis stellen van (voornemen tot) verdere verwerking3.3In gebruikActueelCIP3 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging verdere verwerkingDe Privacy Baseline
PRIV_U.01.04.01Bijzondere categorieën persoonsgegevens; uitdrukkelijke toestemming3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.02Bijzondere categorieën persoonsgegevens; noodzaak i.r.t verplichtingen en specifieke rechten3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.03Bijzondere categorieën persoonsgegevens; noodzaak, vitale belangen, onmacht3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.04Bijzondere categorieën persoonsgegevens; ledenadministratie, gerechtvaardigde activiteiten3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.05Bijzondere categorieën persoonsgegevens; openbaar gemaakt door betrokkene3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.06Bijzondere categorieën persoonsgegevens; i.r.t. rechtsvordering, gerechten3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.07Bijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belang3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.08Bijzondere categorieën persoonsgegevens; gezondheidsgegevens3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.09Bijzondere categorieën persoonsgegevens; voorwaarden verwerking i.v.m. gezondheidszorg3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.10Bijzondere categorieën persoonsgegevens; algemeen belang i.r.t volksgezondheid3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.04.11Bijzondere categorieën persoonsgegevens, m.b.t. specifieke doeleinden met algemeen belang3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendrechtvaardiging bijzondere categorieën persoonsgegevensDe Privacy Baseline
PRIV_U.01.05.01Persoonsgegevens van strafrechtelijke aard3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendstrafrechtelijke veroordelingen en strafbare feitenDe Privacy Baseline
PRIV_U.01.05.02Persoonsgegevens van strafrechtelijke aard; eisen aan de verwerking3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendstrafrechtelijke veroordelingen en strafbare feitenDe Privacy Baseline
PRIV_U.01.05.03Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR3.1In gebruikVervangenCIP16 oktober 2017Uitvoeringstrafrechtelijke veroordelingen en strafbare feitenDe Privacy Baseline
PRIV_U.01.05.04Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt.3.1In gebruikVervangenCIP16 oktober 2017Uitvoeringstrafrechtelijke veroordelingen en strafbare feitenDe Privacy Baseline
PRIV_U.01.05.05Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking3.1In gebruikVervangenCIP16 oktober 2017Uitvoeringstrafrechtelijke veroordelingen en strafbare feitenDe Privacy Baseline
PRIV_U.01.06.01Nationaal identificerend nummer3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendnationaal identificerend nummerDe Privacy Baseline
PRIV_U.01.07.01Geautomatiseerde besluitvorming; niet, tenzij3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendgeautomatiseerde besluitvormingDe Privacy Baseline
PRIV_U.01.07.02Geautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangen3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendgeautomatiseerde besluitvormingDe Privacy Baseline
PRIV_U.01.07.03Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendgeautomatiseerde besluitvormingDe Privacy Baseline
PRIV_U.01.08.01Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belang3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendwetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangDe Privacy Baseline
PRIV_U.01.08.02Het verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelen3.3In gebruikActueelCIP4 juni 202016 oktober 2017UitvoeringOnbekendwetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangDe Privacy Baseline
PRIV_U.02Register van verwerkingsactiviteiten3.3In gebruikActueelCIP10 september 202016 oktober 2017Om de naleving van de AVG aan te kunnen tonen dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevondenAVG overweging 82..
Binnen een organisatie kan dit via gegevensmanagement worden vastgelegd. De vastlegging maakt duidelijk hoe de verschillende organisatieonderdelen de bedrijfsprocessen ondersteunen en welke beveiligingsmaatregelen (op hoofdlijnen) zijn getroffen voor de verwerkingen en betrokkenen. Het register maakt toezicht op de verwerkingsactiviteiten mogelijk.
De verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens.Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens.Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen.UitvoeringOnbekendregister, actueel en samenhangend beeldDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Resultaten DPIA in register
Inhoud van het register van verwerkingsactiviteiten
Register van verwerker, inhoud van het register
De registers geven een samenhangend beeld
Register van verwerker, categorieën van verwerkingsactiviteiten
Register van verwerkingsverantwoordelijke
Beschrijving gegevensstromen
Register van verwerker, in schriftelijke elektronische vorm
Register van verwerker, niet bijgehouden als …
Actueel beeld voor de AP
Relatie PRIV U.02-AP16
Relatie PRIV U.02-AP17
PRIV_U.02.01.01Register van verwerkingsverantwoordelijke3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.01.02Inhoud van het register van verwerkingsactiviteiten3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.01.03Register van verwerker, categorieën van verwerkingsactiviteiten3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.01.04Register van verwerker, inhoud van het register3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.01.05Register van verwerker, in schriftelijke elektronische vorm3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.01.06Register van verwerker, niet bijgehouden als …3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendregisterDe Privacy Baseline
PRIV_U.02.02.01De registers geven een samenhangend beeld3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendactueel en samenhangend beeldDe Privacy Baseline
PRIV_U.02.02.02Actueel beeld voor de AP3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendactueel en samenhangend beeldDe Privacy Baseline
PRIV_U.02.02.03Beschrijving gegevensstromen3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendactueel en samenhangend beeldDe Privacy Baseline
PRIV_U.02.02.04Resultaten DPIA in register3.3In gebruikActueelCIP12 juni 202016 oktober 2017UitvoeringOnbekendactueel en samenhangend beeldDe Privacy Baseline
PRIV_U.03Kwaliteitsmanagement3.3In gebruikActueelCIP10 september 202016 oktober 2017Kwaliteitsmanagement zorgt voor de processen die bij onjuistheid en onnauwkeurigheid van de gegevens of bij ongewenste verwerking de gegevens rectificeren, volledig maken, wissen, de verwerking beperken of toestemming tot verwerking intrekken.De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit gebeurt op verzoek van betrokkene dan wordt deze over de status van de afhandeling geïnformeerd.'Kwaliteitsmanagement' moet ervoor zorgen dat een gegevensverwerking correct en in overeenstemming met de wens van betrokkenen is.Wanneer de gegevens onjuist of onnauwkeurig zijn ingevoerd of gecorrumpeerd raken, worden verkeerde conclusies over de betrokkene getrokken met negatieve consequenties of naar het oordeel van betrokkene ongewenste verwerking van zijn of haar persoonsgegevens tot gevolg.UitvoeringOnbekendjuistheid en nauwkeurigheid, gecorrigeerd, gestaakt of overgedragen, geïnformeerdDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Informatie over geen gevolg geven aan het correctieverzoek
Beperking van de verwerking op verzoek van de betrokkene
Maatregelen i.r.t. juistheid en nauwkeurigheid
Rechtstreekse overdracht
Aanvulling op verzoek van betrokkene
Maatregelen na openbaarmaking van persoonsgegevens
Recht op ongehinderde overdracht van gegevens
Identificatie van betrokkene
Geïnformeerd, schriftelijk of op andere wijze
Rectificatie op verzoek van betrokkene
Notificatie bij rectificatie, gegevenswissing of verwerkingsbeperking
Gegevens wissen op verzoek van de betrokkene
Informatie over afwikkeling correctieverzoek
Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt
Elektronische verwerking van het verzoek
Controle op juistheid en nauwkeurigheid
Staken van de verwerking op verzoek van betrokkene
Relatie PRIV U.03-AP33
Relatie PRIV U.03-AP25
Relatie PRIV U.03-AP44
Relatie PRIV U.03-AP26
PRIV_U.03.01.01Maatregelen i.r.t. juistheid en nauwkeurigheid3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendjuistheid en nauwkeurigheidDe Privacy Baseline
PRIV_U.03.01.02Controle op juistheid en nauwkeurigheid3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendjuistheid en nauwkeurigheidDe Privacy Baseline
PRIV_U.03.02.01Rectificatie op verzoek van betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.02Aanvulling op verzoek van betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.03Gegevens wissen op verzoek van de betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.04Staken van de verwerking op verzoek van betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.05Maatregelen na openbaarmaking van persoonsgegevens3.3In gebruikActueelCIP16 oktober 201713 juni 2020UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.06Beperking van de verwerking op verzoek van de betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.07Recht op ongehinderde overdracht van gegevens3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.02.08Rechtstreekse overdracht3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgecorrigeerd, gestaakt of overgedragenDe Privacy Baseline
PRIV_U.03.03.01Notificatie bij rectificatie, gegevenswissing of verwerkingsbeperking3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.03.03.02Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt3.3In gebruikVervangenCIP13 juni 202016 oktober 2017geïnformeerdDe Privacy Baseline
PRIV_U.03.03.03InformatieBetekenisvolle gegevens. over afwikkeling correctieverzoek3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.03.03.04Elektronische verwerking van het verzoek3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.03.03.05Geïnformeerd, schriftelijk of op andere wijze3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.03.03.06InformatieBetekenisvolle gegevens. over geen gevolg geven aan het correctieverzoek3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.03.03.07Identificatie van betrokkene3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendgeïnformeerdDe Privacy Baseline
PRIV_U.04Beveiligen van de verwerking van persoonsgegevens3.3In gebruikActueelCIP10 september 202016 oktober 2017Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder - in het geval van persoonsgegevens - ook de AVG).De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen voor verwerking van persoonsgegevens op een passend beveiligingsniveauAVG Art. 32.Het doel van 'beveiligen van de verwerking van persoonsgegevens' is persoonsgegevens te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking.Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevens.UitvoeringOnbekendtechnische en organisatorische maatregelen, een passend beveiligingsniveauDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
Uitvoeringswet AVG
Passend beschermingsniveau, proportioneel en subsidiair
Passend beveiligingsniveau
Organisatorische beveiliging, planmatig, aantoonbaar
Risicoanalyse
Gedragscode, certificering
Fysieke beveiliging, wijze van verzamelen
Toegang wordt beperkt
Relatie PRIV U.04-AP33
Relatie PRIV U.04-AP30
Relatie PRIV U.04-AP29
Relatie PRIV U.04-AP19
PRIV_U.04.01.01Toegang wordt beperkt3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendtechnische en organisatorische maatregelenDe Privacy Baseline
PRIV_U.04.01.02Fysieke beveiliging, wijze van verzamelen3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendtechnische en organisatorische maatregelenDe Privacy Baseline
PRIV_U.04.01.03Organisatorische beveiliging, planmatig, aantoonbaar3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendtechnische en organisatorische maatregelenDe Privacy Baseline
PRIV_U.04.01.04Passend beveiligingsniveau3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendtechnische en organisatorische maatregelenDe Privacy Baseline
PRIV_U.04.02.01Passend beschermingsniveau, proportioneel en subsidiair3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendDe Privacy Baseline
PRIV_U.04.02.02Risicoanalyse3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendeen passend beveiligingsniveauDe Privacy Baseline
PRIV_U.04.02.03Gedragscode, certificering3.3In gebruikActueelCIP13 juni 202016 oktober 2017UitvoeringOnbekendeen passend beveiligingsniveauDe Privacy Baseline
PRIV_U.05Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens3.3In gebruikActueelCIP10 september 202016 oktober 2017Wie persoonsgegevens verstrekt aan een organisatie heeft het recht te weten waarvoor, op welke wijze en door wie deze gegevens worden gebruikt. De organisatie heeft hiertoe een informatieplicht. Deze informatieplicht geldt ook wanneer persoonsgegevens van anderen worden ontvangen.De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG Art. 14.Het doel van 'Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens' is om transparantieInzicht in de werkwijze die de overheid hanteert. aan betrokkene te garanderen over de gegevensverzameling en de verwerking, zodat de betrokkene zijn rechten kan uitoefenen overeenkomstig de beginselen van behoorlijke en transparante verwerkingAVG Art. 12 en overweging 60.De organisatie is niet transparant, waardoor de organisatie niet kan verantwoorden dat de gegevensverwerking voldoet aan de beginselen van behoorlijke en transparante verwerking, met mogelijk hoge kosten tot gevolg.UitvoeringOnbekendtijdig, informatie, toestemming, uitzonderingDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
Uitvoeringswet AVG
Informatie over niet van betrokkene verkregen persoonsgegevens
Toestemming indien kind jonger is dan 16 jaar
Toestemming van de betrokkene vooraf
Informatievereisten bij verzoek om toestemming
Informatie aan betrokkene
Informeren bij toestemming soms niet verplicht
Toestemming vrijelijk gegeven
Informatie aan betrokkene indien andere bron
Relatie PRIV U.05-AP05
Relatie PRIV U.05-AP20
PRIV_U.05.01.01Toestemming van de betrokkene vooraf3.3In gebruikActueelCIP14 juni 202016 oktober 2017UitvoeringOnbekendtijdigDe Privacy Baseline
PRIV_U.05.01.02InformatieBetekenisvolle gegevens. over niet van betrokkene verkregen persoonsgegevens3.3In gebruikActueelCIP14 juni 202016 oktober 2017UitvoeringOnbekendtijdigDe Privacy Baseline
PRIV_U.05.02.01Informatievereisten bij verzoek om toestemming3.3In gebruikActueelCIP14 juni 202016 oktober 2017UitvoeringOnbekendinformatieDe Privacy Baseline
PRIV_U.05.02.02InformatieBetekenisvolle gegevens. aan betrokkene3.3In gebruikActueelCIP14 juni 202016 oktober 2017UitvoeringOnbekendinformatieDe Privacy Baseline
PRIV_U.05.02.03InformatieBetekenisvolle gegevens. aan betrokkene indien andere bron3.3In gebruikActueelCIP14 juni 202016 oktober 2017UitvoeringOnbekendinformatieDe Privacy Baseline
PRIV_U.05.03.01Informeren bij toestemming soms niet verplicht3.3In gebruikActueelCIP15 juni 202016 oktober 2017UitvoeringOnbekenduitzonderingDe Privacy Baseline
PRIV_U.05.04.01Toestemming vrijelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat3.3In gebruikActueelCIP15 juni 202016 oktober 2017UitvoeringOnbekendtoestemmingDe Privacy Baseline
PRIV_U.05.04.02Toestemming indien kind jonger is dan 16 jaar3.3In gebruikActueelCIP15 juni 202016 oktober 2017UitvoeringOnbekendtoestemmingDe Privacy Baseline
PRIV_U.06Bewaren van persoonsgegevens3.3In gebruikActueelCIP10 september 202016 oktober 2017Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld of niet langer dan de bewaartermijn die sectorspecifieke wetgeving stelt. De bewaartermijn kan worden beëindigd door actieve verwijdering van de gegevens of door anonimisering van de persoonsgegevens. Bij anonimisering zijn de gegevens niet meer herleidbaar tot de betrokkenen.
NB: De AVG is niet van toepassing op de persoonsgegevens van overleden personenAVG overweging 27: "De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen.".
Door het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden.Het doel van 'Bewaren van persoonsgegevens' is te borgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het te bereiken doel.Onnodig bewaarde persoonsgegevens kunnen worden verwerkt voor andere dan de oorspronkelijke doelen.UitvoeringOnbekendbewaartermijn, nodige maatregelenDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)
Uitvoeringswet AVG
Sectorspecifieke bewaartermijnen
Bewaartermijnen worden vastgesteld en bekrachtigd
Langere opslagperiode voor specifieke doelen (onderzoek, statistiek)
Maatregelen na verlopen bewaartermijn
Bewaking van de noodzaak tot bewaren
Maximale bewaartermijn
Relatie PRIV U.06-AP33
Relatie PRIV U.06-AP44
Relatie PRIV U.06-AP30
PRIV_U.06.01.01Maatregelen na verlopen bewaartermijn3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendnodige maatregelenDe Privacy Baseline
PRIV_U.06.01.02Bewaking van de noodzaak tot bewaren3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendnodige maatregelenDe Privacy Baseline
PRIV_U.06.02.01Bewaartermijnen worden vastgesteld en bekrachtigd3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendbewaartermijnDe Privacy Baseline
PRIV_U.06.02.02Maximale bewaartermijn3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendbewaartermijnDe Privacy Baseline
PRIV_U.06.02.03Sectorspecifieke bewaartermijnen3.3In gebruikActueelCIP16 oktober 201716 oktober 2017UitvoeringbewaartermijnDe Privacy Baseline
PRIV_U.06.02.04Langere opslagperiode voor specifieke doelen (onderzoek, statistiek)3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendbewaartermijnDe Privacy Baseline
PRIV_U.07Doorgifte persoonsgegevens3.3In gebruikActueelCIP10 september 202016 oktober 2017Doorgifte kan plaatsvinden aan verwerker(s) en aan andere verwerkingsverantwoordelijke(n). Een verwerker verricht de verwerking namens een verwerkingsverantwoordelijkeAVG Art. 28 lid 1.
NB: indien een verwerker in strijd met de Avg handelt, wordt die verwerker als verwerkingsverantwoordelijke beschouwdAVG Art. 28 lid 10.

Waar sprake is van meerdere verwerkingsverantwoordelijken, bepalen zij gezamenlijk de doelstellingen en middelen voor de verwerking en zijn zij gezamenlijke verwerkingsverantwoordelijkenAVG art. 27 lid 1.

Bij de doorgifte wordt onderscheid gemaakt tussen doorgifte binnen de EU, waar de AVG geldt, en doorgifte naar buiten de EU. Als doorgifte naar buiten de EU plaatsvindt, dan spreekt de AVG van doorgifte aan derde landen en internationale organisaties.
Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

Bij de doorgifte naar buiten de EU:

  • Is er een vertegenwoordiger, en:
  • Is geen sprake van uitzonderingsgronden, en:
  • Geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
  • Zijn er passende waarborgenAVG Art. 44, of:
  • Geldt een afwijking voor een specifieke situatie.
Het doel van de vereisten bij 'Doorgifte persoonsgegevens' is te waarborgen dat persoonsgegevens op een rechtmatige manier worden doorgegeven, op een juiste manier worden gebruikt en dat de verantwoordelijkheid voor deze rechtmatigheid en juistheid ingeregeld blijft.Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.UitvoeringOnbekendonderlinge verantwoordelijkheden, afdoende garantiesDe Privacy BaselineAVG (Algemene Verordening Gegevensbescherming)Adequaatheidsbesluit
Afwijking voor een specifieke situatie
Passende waarborgen, beëindigen van doorgifte en informeren van betrokkene
De onderlinge verantwoordelijkheden
Toestemming voor het door een andere verwerker laten uitvoeren van de verwerking
Uitzonderingsgrond voor de verwerking
Passende waarborgen bij afwezigheid adequaatheidsbesluit
Afdoende garanties formeel vastgelegd
Passende waarborgen bij aanwezigheid adequaatheidsbesluit
Bepalingen overeengekomen met de verwerker
Uitzonderingsgrond voor doorgifte
Vertegenwoordiger in de EU
Afdoende garanties voor passende maatregelen
Schriftelijk vastleggen
Relatie PRIV U.07-AP20
Relatie PRIV U.07-AP28
Relatie PRIV U.07-AP27
Relatie PRIV U.07-AP15
Relatie PRIV U.07-AP17
PRIV_U.07.01.01De onderlinge verantwoordelijkheden3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendonderlinge verantwoordelijkhedenDe Privacy Baseline
PRIV_U.07.02.01Afdoende garanties formeel vastgelegd3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendafdoende garantiesDe Privacy Baseline
PRIV_U.07.02.02Bepalingen overeengekomen met de verwerker3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendafdoende garantiesDe Privacy Baseline
PRIV_U.07.02.03Schriftelijk vastleggen3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendafdoende garantiesDe Privacy Baseline
PRIV_U.07.03.01Vertegenwoordiger in de EU3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendvertegenwoordigerDe Privacy Baseline
PRIV_U.07.03.02Afdoende garanties voor passende maatregelen3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendvertegenwoordigerDe Privacy Baseline
PRIV_U.07.03.03Toestemming voor het door een andere verwerker laten uitvoeren van de verwerking3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendvertegenwoordigerDe Privacy Baseline
PRIV_U.07.04.01Uitzonderingsgrond voor de verwerking3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekenduitzonderingsgrondDe Privacy Baseline
PRIV_U.07.04.02Uitzonderingsgrond voor doorgifte3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekenduitzonderingsgrondDe Privacy Baseline
PRIV_U.07.05.01Adequaatheidsbesluit3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendadequaatheidsbesluitDe Privacy Baseline
PRIV_U.07.06.01Passende waarborgen bij afwezigheid adequaatheidsbesluit3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendpassende waarborgenDe Privacy Baseline
PRIV_U.07.06.02Passende waarborgen bij aanwezigheid adequaatheidsbesluit3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendpassende waarborgenDe Privacy Baseline
PRIV_U.07.06.03Passende waarborgen, beëindigen van doorgifte en informeren van betrokkene3.1In gebruikActueelCIP16 oktober 2017Uitvoeringpassende waarborgenDe Privacy Baseline
PRIV_U.07.07.01Afwijking voor een specifieke situatie3.3In gebruikActueelCIP16 juni 202016 oktober 2017UitvoeringOnbekendafwijking voor een specifieke situatieDe Privacy Baseline