Privacy Beleid: het beleidsdomein
Uit NORA Online
ISOR:Privacy Beleid / (Doorverwezen vanaf ISOR:De Privacy Baseline Beleid)
Deze informatie is onderdeel van de Privacy Baseline.
Meer lezen | ||||||||||||||||||
In dit onderdeel van de Privacy Baseline zijn de richtlijnen opgenomen voor het algemeen beleid rondom privacy. Met dit beleid geeft de organisatie zowel de eigen afdelingen als andere partijen duidelijkheid over de kaders waarbinnen de verwerkingen van persoonsgegevens plaatsvinden. Dit beleid beschrijft ook aan welke voorwaarden processen en systemen moeten voldoen en hoe dit beleid op naleving wordt gecontroleerd.
Risico
Door het ontbreken van een door het management uitgevaardigd beleid ontstaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan het verwerken van de persoonsgegevens. Doorgaans zal dit een negatieve impact hebben op het realiseren van organisatiedoelstellingen (en het voldoen aan de eisen van de AVG).
Doelstelling
De doelstelling van het beleidsdomein is ervoor te zorgen dat op strategisch niveau afdoende randvoorwaarden en condities aanwezig zijn om de persoonsgegevens verantwoord te verwerken en opdat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken doelstellingen.
Principes uit de de Privacy Baseline binnen dit aspect
| ID | Principe | Criterium |
|---|---|---|
| PRIV_B.01 | Privacy Beleid geeft duidelijkheid en sturing | De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'. |
| PRIV_B.02 | Organieke inbedding | De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld. |
| PRIV_B.03 | Risicomanagement, Privacy by Design en de DPIA | De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen. |
Normen uit de de Privacy Baseline binnen dit aspect
| ID | Stelling | Norm |
|---|---|---|
| PRIV_B.01.01.01 | Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG Art. 5 lid 2. | Privacybeleid; duidelijkheid over naleving en verantwoordingsplicht |
| PRIV_B.01.01.02 | Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren. | Privacybeleid; cyclisch proces |
| PRIV_B.01.01.03 | Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens. | Privacybeleid; vastgesteld en gecommuniceerd |
| PRIV_B.01.01.04 | De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden. | Privacybeleid i.r.t. wet- en regelgeving |
| PRIV_B.01.01.05 | In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving. | Privacybeleid i.r.t. sectorspecifieke wetgeving. |
| PRIV_B.01.01.06 | In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)AVG Art. 25 en Art. 64 lid 2. | Privacybeleid i.r.t. gedragscode |
| PRIV_B.01.02.01 | Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen. | Invulling wettelijke beginselen; beschrijving van privacy by design |
| PRIV_B.01.02.02 | Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelen |
| PRIV_B.01.02.03 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt. | Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerken |
| PRIV_B.01.02.04 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren. | Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevens |
| PRIV_B.01.02.05 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. | Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelen |
| PRIV_B.01.02.06 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen. | Invulling wettelijke beginselen; beschrijven van transparante verwerking |
| PRIV_B.01.02.07 | Beschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren. | Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnen |
| PRIV_B.01.02.08 | Beschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd. | Invulling wettelijke beginselen; beschrijven van garanties bij doorgifte |
| PRIV_B.01.02.09 | Beschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond. | Invulling wettelijke beginselen; beschrijven van behoorlijke verwerking |
| PRIV_B.01.02.10 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen. | Invulling wettelijke beginselen; beschrijven van informeren bij inbreuk |
| PRIV_B.02.01.01 | De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is. | Verdeling taken en verantwoordelijkheden |
| PRIV_B.02.01.02 | De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:
| Functionaris Gegevensbescherming |
| PRIV_B.02.01.03 | Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst. | Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten |
| PRIV_B.02.01.04 | De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt. | Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix |
| PRIV_B.02.02.01 | Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan. | Benodigde middelen |
| PRIV_B.02.03.01 | De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd. | Rapporteringslijnen |
| PRIV_B.03.01.01 | Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1. | Het beoordelen van de privacyrisico's, hoog risico |
| PRIV_B.03.01.02 | Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in. | Het beoordelen van de privacyrisico's, advies van FG |
| PRIV_B.03.01.03 | Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11.. | Het beoordelen van de privacyrisico's, bij wijzigingen |
| PRIV_B.03.01.04 | Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36.. | Het beoordelen van de privacyrisico's, i.r.t. DPIA |
| PRIV_B.03.02.01 | De maatregelen bestaan uit technische en organisatorische maatregelen. | Passende maatregelen, technisch en organisatorisch |
| PRIV_B.03.02.02 | Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25. | Passende maatregelen, passend |
| PRIV_B.03.02.03 | De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) | Passende maatregelen, continuïteit |
| PRIV_B.03.02.04 | De resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen. | Passende maatregelen i.r.t. de DPIA |
| PRIV_B.03.03.01 | Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden. | Aantonen onderkende risico's en maatregelen |
| PRIV_B.03.03.02 | Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten. | Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten |
| PRIV_B.03.03.03 | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's. | Aantonen aanpak risicomanagement |
| PRIV_B.03.03.04 | Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | Aantonen toepassen DPIA toetsmodel |
| PRIV_B.03.03.05 | Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Aantonen privacy by design |
