Doorgifte persoonsgegevens

Uit NORA Online
ISOR:Doorgifte persoonsgegevens / (Doorverwezen vanaf Doorgifte persoonsgegevens)
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)
ID: PRIV_U.07
Privacyprincipe
Versie: 3.3
Status: Actueel
Publicatiedatum: 16-10-2017
Redactionele wijzigingsdatum: 10-9-2020
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de U van Uitvoering
Uitvoering
Invalshoek:
alt=Onbekend link = IFGS Structuur

Onbekend

Verwante principes

Privacy Uitvoering: het uitvoeringsdomein
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Doorgifte kan plaatsvinden aan verwerker(s) en aan andere verwerkingsverantwoordelijke(n). Een verwerker verricht de verwerking namens een verwerkingsverantwoordelijkeAVG Art. 28 lid 1.
NB: indien een verwerker in strijd met de Avg handelt, wordt die verwerker als verwerkingsverantwoordelijke beschouwdAVG Art. 28 lid 10.
Waar sprake is van meerdere verwerkingsverantwoordelijken, bepalen zij gezamenlijk de doelstellingen en middelen voor de verwerking en zijn zij gezamenlijke verwerkingsverantwoordelijkenAVG art. 27 lid 1.
Bij de doorgifte wordt onderscheid gemaakt tussen doorgifte binnen de EU, waar de AVG geldt, en doorgifte naar buiten de EU. Als doorgifte naar buiten de EU plaatsvindt, dan spreekt de AVG van doorgifte aan derde landen en internationale organisaties.


Criterium

Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

Bij de doorgifte naar buiten de EU:

  • Is er een vertegenwoordiger, en:
  • Is geen sprake van uitzonderingsgronden, en:
  • Geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
  • Zijn er passende waarborgenAVG Art. 44, of:
  • Geldt een afwijking voor een specifieke situatie.

Doelstelling

Het doel van de vereisten bij 'Doorgifte persoonsgegevens' is te waarborgen dat persoonsgegevens op een rechtmatige manier worden doorgegeven, op een juiste manier worden gebruikt en dat de verantwoordelijkheid voor deze rechtmatigheid en juistheid ingeregeld blijft.

Risico

Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.

Indeling binnen ISOR

Dit privacyprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG (Algemene Verordening Gegevensbescherming) Art. 26; 27; 28; 29; 44; 45; 46; 47; 48; 49; 96

Onderliggende normen

IDConformiteitsindicatorStelling 
PRIV_U.07.01.01onderlinge verantwoordelijkhedenBij doorgifte aan een andere verantwoordelijke zijn:
  1. De respectieve verantwoordelijkheden duidelijk, zodat door alle partijen aan de AVG-verplichtingen voldaan kan worden, met name met betrekking tot<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 26 lid 1</sup>:
    1. De uitoefening van de rechten van de betrokkene, conform [[ISOR:Toegang gegevensverwerking voor betrokkenen|PRIV_C.02: Toegang gegevensverwerking voor betrokkenen]], en:
    2. Het informeren van de betrokkenen bij ontvangst van de persoonsgegevens, conform [[ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens|PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens]]
  2. De regeling met de respectieve verantwoordelijkheden aan de betrokkene beschikbaar gesteld<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 26 lid 3</sup>.
ISOR:De onderlinge verantwoordelijkheden
PRIV_U.07.02.01afdoende garantiesDe verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 28 lid 2</sup>, met daarin:
  • Het onderwerp en de duur van de verwerking.
  • De aard en het doel van de verwerking waarvoor de persoonsgegevens worden verstrekt, inclusief:
    1. Welke persoonsgegevens worden verstrekt aan de verwerker;
    2. Hoe dataminimalisatie is toegepast;
  • Het soort persoonsgegevens, inclusief de classificatie van de persoonsgegevens;
  • De categorieën van betrokkenen, en:
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.
    		• ISOR:Afdoende garanties door verwerker in een overeenkomst of andere rechtshandeling vastgelegd
    PRIV_U.07.02.02afdoende garantiesIn de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
  • De persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften;
  • De gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
  • De beveiliging van de verwerking is geborgd, conform [[ISOR:Beveiligen van de verwerking van persoonsgegevens|PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens]], inclusief:
    1. Welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben.
    2. Welke procedure wordt gevolgd in geval van een datalek.
    3. In welke landen de persoonsgegevens worden opgeslagen.
  • De vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker.
  • Passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief:
    1. Hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker;
    2. Het contact dat de verwerker mag hebben met de betrokkenen.
  • De verwerkingsverantwoordelijke bijstand wordt verleend om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking.
  • Na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terugbezorgd worden en bestaande kopieën worden verwijderd, conform [[ISOR:Bewaren van persoonsgegevens|PRIV_U.06: Bewaren van persoonsgegevens]].
  • De verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties.
  • De verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de AVG of op andere wet- en regelgeving inzake gegevensbescherming.
    		• ISOR:Vormvereisten aan eisen voor afdoende garanties door verwerker
    PRIV_U.07.02.03afdoende garantiesDe overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld.ISOR:Afdoende garanties
    PRIV_U.07.03.01vertegenwoordigerAls een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de EU aangewezen, tenzij:
  • Sprake is van een incidentele verwerking die geen grootschalige verwerking van bijzondere categorieën persoonsgegevens betreft, of:
  • Bij de verwerking van persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten en waarbij de kans gering is dat zij een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
  • Het een verwerking door een overheidsinstantie of overheidsorgaan betreft.
    		• ISOR:Vertegenwoordiger in de EU
    PRIV_U.07.03.02vertegenwoordigerDe verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie [[ISOR:Risicomanagement- Privacy by Design en de GEB|PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA]]), door de verwerker.ISOR:Vertegenwoordiger i.r.t. afdoende garanties over het toepassen van passende technische en organisatorische maatregelen
    PRIV_U.07.03.03vertegenwoordigerEen verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijke<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 28 lid 1</sup>.ISOR:Vertegenwoordiger i.r.t. het door een andere verwerker uitvoeren van de verwerking
    PRIV_U.07.04.01uitzonderingsgrondDe verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaat<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 48</sup>.ISOR:Uitzonderingsgrond t.a.v. de verwerking
    PRIV_U.07.04.02uitzonderingsgrondDe doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie.ISOR:Uitzonderingsgrond t.a.v. doorgifte
    PRIV_U.07.05.01adequaatheidsbesluitDoorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 45</sup>.ISOR:Adequaatheidsbesluit
    PRIV_U.07.06.01passende waarborgenWanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat er<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 46</sup>:
  • Een juridisch bindend en afdwingbaar instrument is tussen overheidsinstanties of -organen;
  • Door de AP goedgekeurde bindende bedrijfsvoorschriften zijn;
  • standaardbepalingen zijn inzake gegevensbescherming die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn vastgesteld ;
  • Standaardbepalingen zijn inzake gegevensbescherming die door een AP zijn vastgesteld en die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn goedgekeurd ;
  • Een goedgekeurde gedragscode is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen toe te passen, waaronder waarborgen voor de rechten van de betrokkenen;
  • Een goedgekeurd certificeringmechanisme is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen, of:
  • Door de AP passende waarborgen zijn, waarbij er met name:
    1. Contractbepalingen zijn tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of:
    2. Bepalingen zijn opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.
    		• ISOR:Passende waarborgen bij afwezigheid adequaatheidsbesluit
    PRIV_U.07.06.02passende waarborgenAls bindende bedrijfsvoorschriften worden gebruikt om passende waarborgen te bieden, dan:
  • Zijn die juridisch bindend of van toepassing en worden deze gehandhaafd door alle betrokken leden van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen; met inbegrip van hun werknemers;
  • Kunnen betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens, en:
  • Zijn de hier beknopt weergegeven elementen vastgelegd<sup class="noot"> zie voor de volledige weergave AVG Art. 47 lid 1</sup>:
    1. De structuur en de contactgegevens;
    2. De toepassing van de algemene beginselen inzake gegevensbescherming;
    3. De rechten van betrokkenen;
    4. De aanvaarding van aansprakelijkheid voor alle inbreuken;
    5. De wijze waarop informatie wordt verschaft over de bindende bedrijfsvoorschriften;
    6. De taken van elke Functionaris voor gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op:
    7. De naleving van de bindende bedrijfsvoorschriften binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen,
      1. Opleiding, en:
      2. De behandeling van klachten;
  • De klachtenprocedures;
  • De bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd;
  • De procedures om die veranderingen in de regels te melden, te registreren en aan de AP te melden;
  • De procedure voor samenwerking met de AP;
  • De procedures om eventuele wettelijke voorschriften aan de AP te melden, en:
  • De passende opleiding inzake gegevensbescherming voor personeel.
    		• ISOR:Passende waarborgen bij aanwezigheid adequaatheidsbesluit
    PRIV_U.07.06.03passende waarborgenWanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 49.</sup>.ISOR:Passende waarborgen- beëindigen van doorgifte en informeren van betrokkene

    Het geheel van bewerkingen die worden uitgevoerd op persoonsgegevens

    Ga naar de pagina met de definitie van 'verwerking'

    Datgene wat je wil bereiken in de context van een missie.

    Ga naar de pagina met de definitie van 'doel'

    De plicht of verplichting om bepaalde taken uit te voeren en daarover verantwoording af te leggen.

    Ga naar de pagina met de definitie van 'verantwoordelijkheid'

    Een verzameling bestaande uit mensen en/of organisaties die samenwerken om specifieke doelen te bereiken.

    Ga naar de pagina met de definitie van 'organisatie'

    De wet- en regelgeving en/of het beleid die van toepassing zijn.

    Ga naar de pagina met de definitie van 'grondslag'

    Een fundamentele en algemeen toepasbare regel, gebaseerd op een overtuiging en die geldt als richtlijn.

    Ga naar de pagina met de definitie van 'principe'

    De mogelijkheid van een entiteit om een object te benaderen en te gebruiken.

    Ga naar de pagina met de definitie van 'toegang'

    De specificatie van een proces of een (daaruit samengestelde) workflow en de uitvoerder van elke handeling daarin.

    Ga naar de pagina met de definitie van 'procedure'

    Een ondersteunde voorziening.

    Ga naar de pagina met de definitie van 'dienst'

    De betekenis die mensen geven aan gegevens in een context.

    Ga naar de pagina met de definitie van 'informatie'

    Het proces waarin alle operationele activiteiten van de dienstverlener worden uitgevoerd.

    Ga naar de pagina met de definitie van 'uitvoeren'

    Een samenhangende set van handelingen als onderdeel van een processtap.

    Ga naar de pagina met de definitie van 'activiteit'

    Een object dat gedrag kan vertonen.

    Ga naar de pagina met de definitie van 'entiteit'
    Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Doorgifte_persoonsgegevens&oldid=43735"