Privacy Beleid

Uit NORA Online
ISOR:Privacy Beleid / (Doorverwezen vanaf ISOR:De Privacy Baseline Beleid)
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van de Privacy Baseline.

Meer lezen

de Privacy Baseline
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

In dit onderdeel van de Privacy Baseline zijn de eisen opgenomen voor het algemeen beleid rondom privacy, ook wel genoemd het beleidsdomein. Met dit beleid geeft de organisatie zowel de eigen afdelingen als andere partijen duidelijkheid over de kaders waarbinnen de verwerkingen van persoonsgegevens plaatsvinden. Dit beleid beschrijft ook aan welke voorwaarden processen en systemen moeten voldoen en hoe dit beleid op naleving wordt gecontroleerd.


Risico

Het ontbreken van een door het management uitgevaardigd beleid geeft het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de verwerking van persoonsgegevens. Dit zal een negatieve impact hebben op de realisatie van organisatiedoelstellingen (en het voldoen aan de eisen van de Avg).

Doelstelling

De doelstelling van het beleidsdomein is zorgdragen dat op strategisch niveau afdoende randvoorwaarden en condities bestaan om persoonsgegevens verantwoord te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., opdat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken doelstellingen.

Principes uit de de Privacy Baseline binnen dit aspect

IDprincipeCriterium
PRIV_B.01Privacy Beleid geeft duidelijkheid en sturingDe organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG art. 5 lid 1.
PRIV_B.02Organieke inbeddingDe verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.
PRIV_B.03Risicomanagement, Privacy by Design en de GEBDe verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.

Normen uit de de Privacy Baseline binnen dit aspect

IDStellingNorm
PRIV_B.01.01.01Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG art. 5 lid 2..Privacybeleid; duidelijkheid inzake verantwoordingsplicht
PRIV_B.01.01.02Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren.Privacybeleid als cyclisch proces
PRIV_B.01.01.03Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens.Privacybeleid; vastgesteld en gecommuniceerd
PRIV_B.01.01.04De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden.Privacybeleid i.r.t. wet- en regelgeving
PRIV_B.01.01.05In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving.Privacybeleid i.r.t. sectorspecifieke wetgeving.
PRIV_B.01.01.06In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de Avg nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan wordt gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor de Gegevensbescherming (FG)AVG art. 25 en art. 64 lid 2.Privacybeleid i.r.t. gedragscode
PRIV_B.01.02.01Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform B.03, §2.1.3 toepassen van Privacy by Design, het uitvoeren van GEB's en het gebruik van standaard instellingen.Invulling geven aan de wettelijke beginselen, beschrijving van privacy by design
PRIV_B.01.02.02Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform U.01, §2.2.1, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet op een met die doeleinden onverenigbare wijze worden verwerkt.Invulling geven aan de wettelijke beginselen, beschrijving van de doeleinden voor het verzamelen
PRIV_B.01.02.03Beschreven is hoe gewaarborgd wordt dat, conform U.01, §2.2.1, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt.Invulling geven aan de wettelijke beginselen, beschrijven van minimalisatie van verwerken
PRIV_B.01.02.04Beschreven is hoe gewaarborgd wordt dat, conform U.03, §2.2.3, de persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn onverwijld worden gewist of worden gerectificeerd.Invulling geven aan de wettelijke beginselen, beschrijven van juistheid en actualiteit van de gegevens
PRIV_B.01.02.05Beschreven is hoe gewaarborgd wordt dat, conform U.04, §2.2.4, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe de verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.Invulling geven aan de wettelijke beginselen, beschrijven van passende technische en organisatorische maatregelen
PRIV_B.01.02.06Beschreven is hoe gewaarborgd wordt dat, conform U.05, §2.2.5 en C.02, §2.3.2, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen.Invulling geven aan de wettelijke beginselen, beschrijven van transparante verwerking
PRIV_B.01.02.07Beschreven is hoe gewaarborgd wordt dat, conform U.06, §2.2.6, persoonsgegevens niet langer worden bewaard dan waarvoor zij worden verwerkt noodzakelijk is en in welke vorm de opslag moet plaatsvinden zodat na deze periode de betrokkenen niet langer zijn te identificeren.Invulling geven aan de wettelijke beginselen, beschrijven van maximale bewaartermijnen
PRIV_B.01.02.08Beschreven is hoe gewaarborgd wordt dat, conform U.07, §2.2.7, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd zodat aangetoond kan worden dat ook bij de doorgifte aan de Avg wordt voldaan en wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd.Invulling geven aan de wettelijke beginselen, beschrijven van garanties bij doorgifte
PRIV_B.01.02.09Beschreven is hoe gewaarborgd wordt hoe, conform C.01. §2.3.1, verantwoor-delijken aantonen dat gedurende en na de verwerking de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register , conform U.02 §2.2.2, en een dossier kan worden aangetoond.Invulling geven aan de wettelijke beginselen, beschrijven van behoorlijke verwerking
PRIV_B.01.02.10Beschreven is hoe gewaarborgd wordt dat, C.03, §2.3.3, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en / of vrijheden van natuurlijke personen.Invulling geven aan de wettelijke beginselen, beschrijven van informeren bij inbreuk
PRIV_B.02.01.01De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is ten alle tijde duidelijk wie deze verantwoordelijke is.Verdeling taken en verantwoordelijkheden
PRIV_B.02.01.02De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van het volgende situaties aan de orde is:
  • het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  • er is stelselmatige observatie op grote schaal vereist: een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  • de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd betreffen bijzondere categorieën, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, conform U.01/04 of Avg art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of Avg art. 10.
In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkings-verantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een Functionaris voor de Gegevensbescherming hebben aangewezen.
Functionaris Gegevensbescherming
PRIV_B.02.01.03Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst.Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten
PRIV_B.02.01.04De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt.Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix
PRIV_B.02.02.01Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.Benodigde middelen
PRIV_B.02.03.01De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de Functionaris voor de Gegevensbescherming zijn vastgesteld en vastgelegd.Rapporteringsmiddelen
PRIV_B.03.01.01Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een GEB uitgevoerdAVG art. 35 lid 1..Het beoordelen van de privacyrisico's, hoog risico
PRIV_B.03.01.02Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een GEB diens advies in.Het beoordelen van de privacyrisico's, advies van FG
PRIV_B.03.01.03Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (GEB) wordt uitgevoerdAVG Avg art. 35 lid 11..Het beoordelen van de privacyrisico's, bij wijigingen
PRIV_B.03.01.04Wanneer uit een GEB blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de APAVG art. 36..Het beoordelen van de privacyrisico's, i.r.t. de GEB
PRIV_B.03.02.01De maatregelen bestaan uit technische en organisatorische maatregelen.Passende maatregelen, technisch en organisatorisch
PRIV_B.03.02.02Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG art. 25..Passende maatregelen, passend
PRIV_B.03.02.03De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffect beoordelingen (GEB's).Passende maatregelen, continuíteit
PRIV_B.03.02.04De resultaten van de GEB worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.Passende maatregelen, i.r.t. de GEB
PRIV_B.03.03.01Van alle verwerkingen waarop een GEB is uitgevoerd is een GEB rapportage beschikbaar, waardoor bekend welke risico's bestaan en welke maatregelen genomen (moeten) worden.Aantonen onderkende risico's en maatregelen
PRIV_B.03.03.02Een procesbeschrijving is aanwezig voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten.Aantonen uitvoeren GEB en opvolgen GEB uitkomsten
PRIV_B.03.03.03De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de GEB's.Aantonen aanpak risicomanagement
PRIV_B.03.03.04Een tot standaard verheven GEB toetsmodel wordt toegepast; dit model voldoet aan de in de Avg gestelde eisen.Aantonen toepassen GEB toetsmodel
PRIV_B.03.03.05Privacy by Design en de GEB en maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Aantonen privacy by design