Privacy Uitvoering

Uit NORA Online
ISOR:Privacy Uitvoering / (Doorverwezen vanaf ISOR:De Privacy Baseline Uitvoering)
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van De Privacy Baseline.

Meer lezen

De Privacy Baseline
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

In dit onderdeel van de Privacy Baseline zijn de eisen opgenomen voor uitvoering van de gegevensverwerking, ook wel genoemd het uitvoeringsdomein. Het beleid dat op de beleidslaag vanuit het hogere management niveau is ontwikkeld en bekrachtigd, is leidend voor de invulling van de specifieke aspecten van de gegevensverwerking.


Risico

Wanneer richtlijnen voor de specifieke aspecten van de gegevensverwerking ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de specifieke aspecten bij de verwerking van persoonlijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. Dit geeft onduidelijkheid bij de technische en organisatorische inrichting van de gegevensverwerkingen.

Doelstelling

In het uitvoeringsdomein worden persoonsgegevens verwerkt. De verantwoordelijke voor de verwerking moet hier de verwerking realiseren onder de condities en randvoorwaarden die in het beleidsdomein zijn gedefinieerd. Personen waarvan de persoonsgegevens worden verwerkt (betrokkenen) moeten de zekerheid kunnen krijgen dat de verwerking conform de wet- en regelgeving gebeurt.

Principes uit de De Privacy Baseline binnen dit aspect

IDprincipeCriterium
PRIV_U.01Doelbinding gegevensverwerkingDe verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
  • de doeleinden, en:
  • de rechtvaardigingsgronden voor:
  1. de verdere verwerking op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
  2. de geautomatiseerde besluitvorming;
  3. bijzondere persoonsgegevens;
  4. de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten;
  5. het nationaal identificerend nummer;
  6. de persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang.
PRIV_U.02Register van verwerkingsactiviteitenDe verwerkingsverantwoordelijke en de verwerker hebben hun gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. en doorgeven van persoonsgegevens.
PRIV_U.03KwaliteitsmanagementDe verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit op verzoek van betrokkene gebeurd wordt deze over de status van de afhandeling geïnformeerd.
PRIV_U.04Beveiligen van de verwerking van persoonsgegevensDe verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen om een verwerking van persoonsgegevens op een passend niveau te beveiligenAVG art. 32..
PRIV_U.05Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensDe verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG art. 14..
PRIV_U.06Bewaren van persoonsgegevensDoor het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden.
PRIV_U.07Doorgifte persoonsgegevensBij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

Bij de doorgifte naar buiten de EU:

  • is er een vertegenwoordiger, en:
  • is geen sprake van uitzonderingsgronden

en:

  • geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
  • zijn er passende waarborgenAVG art. 44., of:
  • geldt een afwijking voor een specifieke situatie.

Normen uit de De Privacy Baseline binnen dit aspect

IDStellingNorm
PRIV_U.01.01.01Het doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd-verwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG art. 5 lid 1 en overweging 50..Tijdig welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking
PRIV_U.01.01.02Van alle gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG art. 5 lid 1b..Tijdig welbepaald en uitdrukkelijk omschreven, rechtmatigheid en doelmatigheid
PRIV_U.01.01.03Het doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd noodzakelijk zijn voor het doel en bij verdere verwerking of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd verenigbaar zijn met het oorspronkelijke doelAVG art. 6 lid 4..Tijdig welbepaald en uitdrukkelijk omschreven verenigbaarheid met oorspronkelijke doel
PRIV_U.01.01.04Het doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden.Tijdig welbepaald en uitdrukkelijk omschreven, SMART
PRIV_U.01.02.01De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel data minimalisatie genoemd).Doeleinden, toereikend, ter zake dienend en beperkt
PRIV_U.01.02.02De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG art. 6 lid 1.:
  1. de betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  4. de verwerking is noodzakelijk om vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Dit punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun wettelijke taken.
  7. De rechtsgrond voor de verwerking moet worden vastgesteld bij het recht dat op de verwerkingsverantwoordelijke van toepassing isAVG art. 6 lid 3..
Doeleinden, rechtmatig
PRIV_U.01.02.03Persoonsgegevens moeten behoorlijk en transparant worden verwerkt ten opzichte van de betrokkeneAVG art. 5. De AVG is niet van toepassing op de persoonsgegevens van overleden personen (Avg overweging 27).

Hiertoe:

  1. dient de gegevensverwerking transparant te zijn (U.02, §2.2.2) en U.05 (§2.2.5).
  2. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist te zijn en zo nodig te worden bijgewerkt (U.03. §2.2.3).
  3. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd passend te worden beveiligd (U.04, §2.2.4).
  4. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet langer dan noodzakelijk te worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren is (U.06, §2.2.6).
Doeleinden, behoorlijk en transparant
PRIV_U.01.03.01De verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld is alleen mogelijk, wanneer:
  • de verdere verwerking verenigbaar is met het doel waarvoor de persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aanvankelijk zijn verzameld en de verwerkingsverantwoordelijke bij de beoordeling van de verenigbaarheid onder meer rekening houdt metAVG art. 6 lid 4.:
    1. ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de voorgenomen verdere verwerking;
    2. het kader waarin de persoonsgegevens zijn verzameld, met name wat betreft de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke;
    3. de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerktAVG art. 9. en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerktAVG art. 10.;
    4. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
    5. het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering. Of:
  • de verdere verwerking plaatsvindt op basis van de toestemming van betrokkene; Of:
  • wanneer de verdere verwerking berust op een wettelijke bepaling waarbij een specifieke uitzondering geldt.
  • Verdere verwerking i.r.t. ander doelen dan dat waarvoor de persoonsgegevens zijn verzameld is
    PRIV_U.01.03.02Wanneer de verwerkingsverantwoordelijke een verdere verwerking voorneemt moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie U.05, §2.2.5). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61..Voornemens voor verdere verwerking
    PRIV_U.01.04.01Er vindt geen verwerking van persoonsgegevens plaats waaruit ras of etnische afkomst blijkt, tenzij:
    • aan /04.09 is voldaan, of:
    • de verwerking geschiedtUitvoeringswet AVG art. 22.:
    1. met het oog op de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene en slechts voor zover dit voor dit doel onvermijdelijk is;
    2. met het doel personen van een bepaalde etnische of culturele minderheids-groep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen verband houdende met de grond ras of etnische afkomst op te heffen of te verminderen en slechts indien:
      1. dit voor dat doel noodzakelijk is;
      2. de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd slechts betrekking hebben op het geboorteland van de betrokkene, van diens ouders of grootouders, dan wel op andere, bij wet vastgestelde criteria, op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een minderheidsgroep behoort als bedoeld in de aanhef van onderdeel b, en:
      3. de betrokkene daartegen geen schriftelijk bezwaar heeft gemaakt.
    Bijzondere persoonsgegevens, m.b.t. ras of etnische afkomst
    PRIV_U.01.04.02Er vindt geen verwerking van persoonsgegevens plaats waaruit politieke opvattingen blijkt, tenzij:
    • aan /04.09 is voldaan, of:
    • de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescollegesUitvoeringswet AVG art. 30..
    Bijzondere persoonsgegevens, m.b.t. politieke opvattingen
    PRIV_U.01.04.03Er vindt geen verwerking van persoonsgegevens plaats waaruit religieuze of levensbeschouwelijke overtuigingen blijkt, tenzij:
  • aan /04.09 is voldaan, of:
  • de verwerking geschiedt door instellingen, voor zover dit noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaaktUitvoeringswet AVG art. 29.. Hierbij worden ook geen persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aan derden verstrekt zonder toestemming van de betrokkene.
  • Bijzondere persoonsgegevens, m.b.t. religieuze of levensbeschouwende overtuigingen
    PRIV_U.01.04.04Er vindt geen verwerking van persoonsgegevens plaats waaruit het lidmaatschap van een vakbond blijkt, tenzij aan /04.09 is voldaan.Bijzondere persoonsgegevens, m.b.t. lidmaatschap vakbond
    PRIV_U.01.04.05Er vindt geen verwerking van persoonsgegevens plaats van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, tenzij:
  • voldaan is aan /04.09Uitvoeringswet AVG art. 24., of:
  • een zwaarwegend geneeskundig belang prevaleert, of:
  • de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek of statistiek en de betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.
  • Bijzondere persoonsgegevens, m.b.t. genetische gegevens
    PRIV_U.01.04.06Er vindt geen verwerking van persoonsgegevens plaats van biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd met het oog op de unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon, tenzij:
  • voldaan is aan /04.09, of:
  • de verwerking geschiedt met het oog op de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derdeUitvoeringswet AVG art. 26. De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid handhaven of invoeren..
  • Bijzondere persoonsgegevens, m.b.t. biometrische gegevens
    PRIV_U.01.04.07Er vindt geen verwerking van persoonsgegevens plaats van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid, tenzij:
  • voldaan is aan /04.0, of:
  • dit noodzakelijk is met het oog op redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijden-de gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen. In die situatie worden de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding hiertoe zijn verplicht. Indien de verwerkingsverantwoordelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd persoonlijk verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudings¬plicht rust, is hij verplicht tot geheimhouding van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden meegedeeld aan anderen die krachtens het eerste lid bevoegd zijn tot verwerking daarvan.
  • Bijzondere persoonsgegevens, m.b.t. gezondheidsgegevens
    PRIV_U.01.04.08Er vindt geen verwerking van persoonsgegevens plaats met betrekking tot iemands seksuele gedrag of seksuele gerichtheid, tenzij aan /04.09 is voldaan De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid handhaven of invoeren..Bijzondere persoonsgegevens, m.b.t. sexueel gedrag of gerichtheid
    PRIV_U.01.04.09Indien wel de in /04.01 - /04.08 genoemde verwerkingen plaats vindt is aan één van de onderstaande voorwaarden voldaan :
    1. betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat;
    2. de verwerking is noodzakelijk voor de uitvoering van verplichtingen en de uitoefening van specifieke rechten op het gebied van het arbeidsrecht en socialezekerheidsrecht en sociale beschermingsrecht (zie ook /04.10);
    3. de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene;
    4. de verwerking wordt verwerkt door een rechtspersoon zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is;
    5. de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn openbaar gemaakt;
    6. de verwerking is noodzakelijk voor de instelling, uitoefening of verdediging van een rechtsvordering;
    7. de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Uniewetgeving of nationale wetgeving, mits evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene (zie ook /04.10);
    8. de verwerking is noodzakelijk voor doelen van preventieve of arbeidsgenees-kunde, voor beoordeling van arbeidsgeschiktheid, medische diagnosen, voor het verstrekken van gezondheidszorg of sociale diensten, op grond van Unie-wetgeving of nationale wetgeving en onder de voorwaarden van het vierde lid (zie ook /04.10);
    9. de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid op grond van Uniewetgeving of nationale wetgeving waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim, of:
    10. de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelenAVG art. 89 lid 1., op grond van Uniewetgeving of nationale wetgeving, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.
    Bijzondere persoonsgegevens, m.b.t. voorwaarden aan de verwerking
    PRIV_U.01.04.10De voorwaarden b, g en h van /04.09 zijn niet van toepassing als de verwerking geschiedt doorUitvoeringswet AVG art. 23.:
  • hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is;
  • verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht en financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover dat noodzakelijk is voor:
    1. de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt, of:
    2. de uitvoering van de overeenkomst van verzekering;
  • scholen voor zover dat met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is;
  • een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming of de gecertificeerde instelling, bedoeld in artikel 1.1 van de Jeugdwet en de rechtspersoon, bedoeld in artikel 256 eerste lid of artikel 302 tweede lid van Boek 1 van het Burgerlijk Wetboek, voor zover dat noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken;
  • Onze Minister voor zover dat in verband js met de tenuitvoerlegging van vrijheidsstraffen of vrijheidsbenemende maatregelen noodzakelijk;
  • bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn voor zover dat noodzakelijk is voor:
    1. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene, of:
    2. de reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.
  • Bijzondere persoonsgegevens, m.b.t. noodzakelijke uitzonderingen
    PRIV_U.01.04.11Het verbod om bijzondere persoonsgegevens te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., is vanuit het algemeen belang (punt g) niet van toepassing indienUitvoeringswet AVG art. 28.:
  • dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting;
  • de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt door de Autoriteit of een ombudsman als bedoeld in artikel 9:17 van de Algemene wet bestuursrecht en dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, voor de uitvoering van de hun wettelijk opgedragen taken en bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, of:
  • dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en de Autoriteit ontheffing heeft verleend. De Autoriteit kan bij het verlenen van ontheffing beperkingen en voorschriften opleggen. Hierbij wordt de evenredigheid met het nagestreefde doel gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens geëerbiedigd en worden passende en specifieke maatregelen getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.
  • Bijzondere persoonsgegevens, m.b.t. verplichtingen of algemeen belang
    PRIV_U.01.05.01Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerktUitvoeringswet AVG art. 31.:
  • als de verwerking geschiedt door organen die krachtens de wet zijn belast met de toepassing van het strafrecht, alsmede door verwerkingsverantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd;
  • als de verwerkingsverantwoordelijke deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten eigen behoeve verwerkt :
    1. ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren, of:
    2. ter bescherming van zijn belangen voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn;
  • indien deze ten behoeve van derden worden verwerkt:
    1. door verwerkingsverantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus;
    2. door een verwerkingsverantwoordelijke die tevens rechtspersoon is en in dezelfde groep is verbonden als bedoeld in artikel 2:24b van het Burgerlijk Wetboek, of:
    3. door een verwerkingsverantwoordelijke die hiervoor toestemming heeft verkregen van de Autoriteit.
  • Strafrechtelijke veroordelingen en strafbare feiten
    PRIV_U.01.05.02De verwerking vindt alleen plaats onder toezicht van de overheid of indien de verwerking is toegestaan bij wet- en regelgeving die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheidAVG art. 10..Strafrechtelijke veroordelingen en strafbare feiten, eisen aan de verwerking
    PRIV_U.01.05.03De verwerking van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over personeel in dienst van de verwerkingsverantwoordelijke, vindt plaats overeenkomstig regels die zijn vastgesteld in overeenstemming met de procedure als bedoeld in de Wet op de ondernemingsradenUitvoeringswet AVG art. 31 lid 2..Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR
    PRIV_U.01.05.04Het verbod om persoonsgegevens te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd voor de doeleinden waarvoor deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerktUitvoeringswet AVG art. 31 lid 3..Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt.
    PRIV_U.01.05.05De verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen is toegestaan indien dit geschied door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken indien de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaadUitvoeringswet AVG art. 31 lid 4..Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking
    PRIV_U.01.06.01Het bepalen van een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet bepaaldUitvoeringswet AVG art. 44.:
  • Overheidsorganen kunnen bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens in het kader van de uitvoering van hun publieke taak gebruik maken van het burgerservicenummer (BSN), zonder dat daarvoor nadere regelgeving vereist is.
  • Het burgerservicenummer (BSN) als uniek persoonsnummer voldoet aan artikel 10 van de Wet algemene bepalingen burgerservicenummer (Wabb).
  • Voor instellingen die geen beroep kunnen doen op Wabb art. 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving. Zo geldt bijvoorbeeld voor de zorgsector de Wet gebruik burgerservicenummer in de Zorg en moeten banken het BSN gebruiken voor uitwisseling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd met de Belastingdienst. Daarnaast zijn andere identificerende nummers in gebruik, bijvoorbeeld het onderwijsnummer, dat overeenkomt met het burgerservice¬nummer, tenzij de deelnemer geen burgerservicenummer heeft.
  • Nationaal identificerend nummer
    PRIV_U.01.07.01Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluit:
  • noodzakelijk is voor de totstandkoming of de uitvoering van een overeen-komst tussen de betrokkene en een verwerkingsverantwoordelijke, of:
  • is toegestaan bij de wet- en regelgeving die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of:
  • berust op de uitdrukkelijke toestemming van de betrokkene.
  • Geautomatiseerde besluitvorming, geen geautomatiseerde individuele besluitvorming tenzij
    PRIV_U.01.07.02In de bij punten a) en c) in /07.01 bedoelde gevallen heeft de verwerkingsverant-woordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.Geautomatiseerde besluitvorming, m.b.t. rechten en vrijheden en gerechtvaardigde belangen van de betrokkene
    PRIV_U.01.07.03Bij de bij punten a) en c) in /07.01 bedoelde besluiten zijn niet gebaseerd op de bijzondere categorieën van persoonsgegevens, tenzij /04.01 punt a) of g), van toepassing is en passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens
    PRIV_U.01.08.01De verwerking van (bijzondere) persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats zover Invulling van art. 9 lid 2j. Uitvoeringswet Avg art. 27.:
  • het onderzoek een algemeen belang dient;
  • de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is;
  • het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost, en:
  • bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
  • Eisen aan het verwerken van (bijzondere) persoonsgegevens
    PRIV_U.01.08.02Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maat-regelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen:
    • het waarborgen van de doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.AVG art. 5 lid 1b. (bijvoorbeeld door pseudonimisering), en:
    • de betrokkene niet meer kan worden geïdentificeerdAVG art. 5 lid 1e..
    Eisen aan het verwerken van persoonsgegevens
    PRIV_U.02.01.01Elke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (/01.06). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke.Register van verwerkingsverantwoordelijke
    PRIV_U.02.01.02Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerdAVG art. 30 lid 1.:
    1. de naam en de contactgegevens van:
      1. de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
      2. in voorkomend geval:
        1. van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
        2. van de Functionaris voor de Gegevensbescherming;
    2. de verwerkingsdoeleinden;
    3. een beschrijving van de categorieën van betrokkenen;
    4. een beschrijving van de categorieën van persoonsgegevens;
    5. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
    6. bij doorgiften aan een derde land of een internationale organisatie:
      1. de doorgifte van verstrekte persoonsgegevens
      2. de vermelding van dat derde land of die internationale organisatie
      3. de documenten inzake de passende waarborgen;
    7. de beoogde termijnen waarbinnen de verschillende categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd moeten worden gewist (indien mogelijk);
    8. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
    Register van verwerkingsverantwoordelijke, inhoud van het register
    PRIV_U.02.01.03De verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (/01.06). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker.Register van verwerker, categorieën van verwerkingsactiviteiten
    PRIV_U.02.01.04Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerdAVG art. 30 lid 1.:

    1) de naam en de contactgegevens van: a) de verwerkers b) iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt. In voorkomend geval: i) de vertegenwoordiger van de verwerkingsverantwoordelijke, of: ii) de verwerker en van de Functionaris voor de Gegevensbescherming; 2) de categorieën van verwerkingen die voor rekening van iedere verwerkings-verantwoordelijke zijn uitgevoerd; 3) bij doorgiften aan een derde land of een internationale organisatie: a) de doorgifte van verstrekte persoonsgegevens b) de vermelding van dat derde land of die internationale organisatie c) de documenten inzake de passende waarborgen;

    4) een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
    Register van verwerker, inhoud van het register
    PRIV_U.02.01.05Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.Register van verwerker, in schriftelijke elektronische vorm
    PRIV_U.02.01.06Het register hoeft niet te worden bijgehouden, indien:
    1. De onderneming of organisaties minder dan 250 personen in dienst heeft,
    2. het niet waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen,
    3. de verwerking incidenteel is, en:
    4. er geen verwerking plaatsvindt van bijzondere categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of persoons¬gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in verband met strafrechtelijke veroordelingen en strafbare feiten.
    Register van verwerker, niet bijgehouden als …
    PRIV_U.02.02.01De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld.Op verzoek van AP wordt middels de registers een actueel en samenhangend beeld
    PRIV_U.02.02.02Op verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Registers van de verwerkingsverantwoordelijke en van de verwerker geven één actueel en samenhangend beeld
    PRIV_U.02.02.03De onderlinge samenhang (gegevensstromen) en afhankelijkheden tussen:
  • de bedrijfsprocessen;
  • organisaties en organisatieonderdelen;
  • de verwerkingen;
  • de locaties waar persoonsgegevens opgeslagen;
  • de gegevensuitwisselingen (binnen en buiten de eigen organisatie);
  • de systemen zijn benoemd en beschreven.
  • Actueel en samenhangend beeld t.a.v. gegevensstromen
    PRIV_U.02.02.04Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (GEB) meegenomen als onderdeel van de opname van de verwerking in het register.Actueel en samenhangend beeld bij nieuwe en bij wijziging van bestaande verwerkingen
    PRIV_U.03.01.01De verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen.Maatregelen i.r.t. juistheid en nauwkeurigheid
    PRIV_U.03.01.02De verwerkingsverantwoordelijke voert periodiek controles op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan hogere management.Controle op juistheid en nauwkeurigheid
    PRIV_U.03.02.01Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG art. 16 lid 1..Gecorrigeerd, gestaakt of overgedragen, rectificatie op verzoek van betrokkene
    PRIV_U.03.02.02Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG art. 16 lid 1..Gecorrigeerd, gestaakt of overgedragen, vervollediging op verzoek van betrokkene
    PRIV_U.03.02.03Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG art. 17 lid 1.:
  • de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
  • de betrokkene trekt de toestemming waarop de verwerking berust in en er is geen andere rechtsgrond voor de verwerking;
  • de betrokkene maakt bezwaar tegen de verwerking en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking;
  • de persoonsgegevens zijn onrechtmatig verwerkt;
  • de persoonsgegevens moeten worden gewist om te voldoen aan een in het wettelijke recht neergelegde wettelijke verplichting die op de verwerkings-verantwoordelijke rust;
  • de persoonsgegevens van kinderen jonger dan 16 jaar zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij.
  • Gecorrigeerd, gestaakt of overgedragen, wissen op verzoek van betrokkene
    PRIV_U.03.02.04Bij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG art. 21 lid 1..Gecorrigeerd, gestaakt of overgedragen, steken van de verwerking op verzoek van betrokkene
    PRIV_U.03.02.05Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van, die persoonsgegevens te wissenAVG art. 17 lid 2..Gecorrigeerd, gestaakt of overgedragen redelijke maatregelen na openbaarmaking van persoonsgegevens
    PRIV_U.03.02.06Op verzoek van betrokkene wordt de verwerking beperkt, indien:
  • de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;
  • de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
  • de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of:
  • de betrokkene heeft bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
  • Gecorrigeerd, gestaakt of overgedragen, beperking van de verwerking op verzoek van betrokkene
    PRIV_U.03.02.07De betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG art. 20., als de verwerking berust op:
  • toestemming van betrokkene, of:
  • een overeenkomst waarbij de betrokkene partij is of de verwerking via geautomatiseerde procedés wordt verricht;
  • en geldt niet als:

    1. de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
    2. het afbreuk doet aan de rechten en vrijheden van anderen.
    Gecorrigeerd, gestaakt of overgedragen, recht op ontvangst van gegevens en op overdragen van gegevens aan andere verwerkingsverantwoordelijke
    PRIV_U.03.02.08De betrokkene kan de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien /02.07 geldt en dit technisch mogelijk is.Gecorrigeerd, gestaakt of overgedragen, overdracht aan andere verwerkingsverantwoordelijke
    PRIV_U.03.03.01De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergtAVG art. 19..Geïnformeerd, van iedere ontvanger van elke rectificatie, gegevenswissing of verwerkingsbeperking
    PRIV_U.03.03.02De verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaanAVG art. 19..Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt
    PRIV_U.03.03.03De verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaanAVG art. 19..Geïnformeerd, bretrokkene over gevolg van verzoek van betrokken
    PRIV_U.03.03.04De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging.Geïnformeerd, elketronische verwerking van het verzoek
    PRIV_U.03.03.06Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG art. 12 lid 3..Geïnformeerd, informeren bij geen gevolg geven aan het verzoek
    PRIV_U.03.03.07De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt, kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG art. 12 lid 5..Geïnformeerd, schriftelijk of op andere wijze
    PRIV_U.03.03.08Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG art. 12 lid 4..Geïnformeerd, identificatie van betrokkene
    PRIV_U.04.01.01De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG art. 32 lid 3..Technische en organisatorische maatregelen, beperkte toegang
    PRIV_U.04.01.02Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
  • Als persoonsgegevens op fysieke wijze bestaan, zijn deze ook fysiek beschermd.
  • De wijze van verzameling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd is niet privacygevoelig.
  • Technische en organisatorische maatregelen, fysieke beveiliging
    PRIV_U.04.01.03Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan.Technische en organisatorische maatregelen, organisatorische beveiliging
    PRIV_U.04.01.04De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG art. 32. Dit is 'het informatiebeveiligingsartikel':
  • de pseudonimisering en versleuteling van persoonsgegevens;
  • het vermogen om op permanente basis de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit, beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • het vermogen om bij een fysiek of technisch incident de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
  • Technische en organisatorische maatregelen, passend beveiligingsniveau
    PRIV_U.04.02.01De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.Passend niveau, technische, organisatorische en fysieke beveiligingsmaatregelen
    PRIV_U.04.02.02De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, hetzij per ongeluk hetzij onrechtmatigAVG art. 32 lid 2..Passend niveau, gebaseerd op analyse van het verwerkingsrisico
    PRIV_U.04.02.03Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn.Passend niveau, aantoonbaarheid
    PRIV_U.05.01.01De toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG art. 6 lid 1.Vetgedrukte tekst, het doorgeven aan derden en het verder verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.AVG art. 14 lid 3.. Dit geldt voor persoonsgegevens die via betrokkenen of anderen wordt of is verkregen.Tijdig, toestemming van de betrokkene vooraf
    PRIV_U.05.01.02InformatieBetekenisvolle gegevens. over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevensAVG art. 14 lid 3..Tijdig, verstrekken van informatie
    PRIV_U.05.02.01Het verzoek om toestemming bestaat in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenhedenAVG art. 7 lid 2..Informatie, verzoek om toestemming
    PRIV_U.05.02.02Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG art. 13.:
  • de identiteit en contactgegevens van de verantwoordelijke;
  • in voorkomend geval de contactgegevens van de Functionaris voor de Gegevensbescherming;
  • de verwerkingsdoeleinden en ook de rechtsgrond van de gegevensverwerking;
  • de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde indien de verwerking op deze rechtsgrond (art. 6.1f) is gebaseerd;
  • in voorkomend geval de ontvangers of categorieën van ontvangers van persoonsgegevens;
  • in voorkomend geval dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of internationale organisatie of een adequaatheidsbesluit van de commissie bestaat, welke de passende waarborgen zijn en hoe deze kunnen worden ingezien;
  • de periode dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden opgeslagen of de criteria ter bepaling van die termijn;
  • dat de betrokkene recht heeft op inzage, rectificatie of wissing of beperking van de hem betreffende verwerking en het recht bezwaar tegen de verwerking te maken en dat de betrokkene het recht heeft op gegevensoverdraagbaarheid;
  • dat de betrokkene zijn toestemming te allen tijde kan intrekken (voor zover de verwerking is gebaseerd op de rechtsgrond toestemming);
  • dat de betrokkene een klacht mag indienen bij de AP;
  • of de verstrekking een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten;
  • of de betrokkene verplicht is de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te verstrekken en wat de mogelijke gevolgen zijn als deze de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet verstrekt;
  • of geautomatiseerde besluitvorming en/of profilering bestaat en in die gevallen nuttige informatie over de onderliggende logica alsmede het belang en de verwachte gevolgen voor de betrokkene;
  • informatie over het andere doel, wanneer een verwerking gaat plaatsvinden voor een ander doel dan waarvoor de persoonsgegevens zijn verzameld.
  • Informatie aan betrokkene
    PRIV_U.05.02.03Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG art. 7.:
  • de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke;
  • in voorkomend geval de contactgegevens van de Functionaris voor de Gegevens-bescherming;
  • de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking;
  • de betrokken categorieën van persoonsgegevens;
  • in voorkomend geval de ontvangers of categorieën van ontvangers van de persoonsgegevens;
  • als persoonsgegevens aan een ontvanger in een derde land of aan een internationale organisatie wordt doorgegeven wordt er informatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat over hoe een kopie kan worden verkregen over de waarborgen of voorschriften of waar ze kunnen worden geraadpleegd;
  • de periode gedurende welke de persoonsgegevens zullen worden opgeslagen of indien dat niet mogelijk is de criteria om die termijn te bepalen;
  • indien van toepassing de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde;
  • dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
  • wanneer verwerking is gebaseerd is op toestemming van betrokkene, heeft de betrokkene het recht de toestemming te allen tijde in te trekken. Dit doet geen afbreuk aan de rechtmatigheid van de verwerking op basis van de toestemming van vóór de intrekking;
  • dat de betrokkene het recht heeft een klacht in te dienen bij een AP;
  • de bron waar de persoonsgegevens vandaan komen en in voorkomend geval of zij afkomstig zijn van openbare bronnen;
  • het bestaan van geautomatiseerde besluitvorming (inclusief profilering) inclusief de informatie over de onderliggende logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
  • Informatie aan betrokkene bij ontvangst gegevens bij een ander dan de betrokkene
    PRIV_U.05.03.01De verplichting tot het verstrekken van informatie geldt niet, indien:
    • de betrokkene reeds over de informatie beschikt;
    • het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen;
    • de verwezenlijking van de doeleinden van de verwerking onmogelijk dreigt te worden of ernstig in het gedrang dreigt te brengen (In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie.);
    • het verkrijgen of verstrekken van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd uitdrukkelijk wettelijk is voorgeschreven en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, of:
    • de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim, waaronder een statutaire geheimhoudingsplicht;
    • wanneer de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldt;
    • het de verwerking betreft van persoonsgegevens die deel uitmaken van archiefbescheiden en die op grond van de Archiefwet niet voor vernietiging in aanmerking komen en zijn overgebracht naar een archiefbewaarplaats Zie Mvt Uitvoeringswet, toelichting bij art. 41..
    Toestemming, vrijelijk gegeven
    PRIV_U.05.04.01De toestemming moet door de betrokkene vrijelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG art. 14 lid 4..Uitzondering
    PRIV_U.05.04.02Bij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG art. 8..Toestemming, toestemming of machtiging door ouderlijk verantwoordelijke
    PRIV_U.06.01.01Als de bewaartermijnen verlopen, zijn de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd verwijderd, vernietigd of geanonimiseerd.Nodige maatregelen, verwijderd, vernietigd of geanonimiseerd
    PRIV_U.06.01.02De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren.Nodige maatregelen, beoordeling evt. langere bewaartermijn
    PRIV_U.06.02.01Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd.Bewaartermijn, vastgesteld en bekrachtigd
    PRIV_U.06.02.02De bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG art. 5 lid 1e..Bewaartermijn, maximale periode
    PRIV_U.06.02.03Als in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn.Bewaartermijn, in sectorspecifieke wetgeving vastgelegde bewaartermijn
    PRIV_U.06.02.04Wanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e. en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AvgAVG art. 89 lid 1..Bewaartermijn, eisen aan evt. langere opslagperiode
    PRIV_U.07.01.01Bij doorgifte aan een andere verantwoordelijke zijn:
  • de respectieve verantwoordelijkheden duidelijk, zodat zij aan hun Avg-verplichtingen voldoen, met name met betrekking totAVG art. 26 lid 1.:
    1. de uitoefening van de rechten van de betrokkene (C.02, §2.3.2), en:
    2. het informeren van de betrokkenen te bij ontvangst (conform U.05)
    • de regeling met de respectieve verantwoordelijkheden aan de betrokkene beschikbaar gesteldAVG art. 26 lid 3..
    De onderlinge verantwoordelijkheden
    PRIV_U.07.02.01De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegd, metAVG art. 28 lid 2. daarin:
  • het onderwerp en de duur van de verwerking;
  • de aard en het doel van de verwerking waarvoor de persoonsgegevens worden verstrekt, inclusief:
  • - welke persoonsgegevens worden verstrekt aan de verwerker; - hoe dataminimalisatie is toegepast;

    • het soort persoonsgegevens, inclusief

    - de classificatie van de persoonsgegevens;

    • de categorieën van betrokkenen, en:
    • de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.
    Afdoende garanties door verwerker in een overeenkomst of andere rechtshandeling vastgelegd
    PRIV_U.07.02.02In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:

    a. de persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften; b. de gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen zijn gebonden; c. de beveiliging van de verwerking is geborgd, conform U.04 §2.2.4, inclusief:

    • welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben;
    • welke procedure wordt gevolgd in geval van een datalek;
    • in welke landen de persoonsgegevens worden opgeslagen;

    d. de vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker; e. passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief:

    • hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker;
    • het contact dat de verwerker mag hebben met de betrokkenen.

    f. de verwerkingsverantwoordelijke bijstand wordt verleent om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking; g. na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkings-verantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terug-bezorgd worden en bestaande kopieën worden verwijderd, conform U.06 §2.2.6; h. de verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties.

    i. de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de Avg of op andere Wet- en regelgeving inzake gegevensbescherming.
    Vormvereisten aan eisen voor afdoende garanties door verwerker
    PRIV_U.07.02.03De overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld.Afdoende garanties
    PRIV_U.07.03.01Als een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoor-diger in de EU aangewezen, tenzij:
    1. sprake is van een incidentele verwerking die geen grootschalige verwerking van bijzondere categorieën van persoonsgegevens betreft, of:
    2. bij de verwerking van persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten en waarbij de kans gering is dat zij een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
    3. het een verwerking door een overheidsinstantie of overheidsorgaan betreft.
    Vertegenwoordiger in de EU
    PRIV_U.07.03.02De verwerking door een verwerker vindt alleen plaats als een verwerkings-verantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, zie B.03 §2.1.3, door de verwerker.Vertegenwoordiger i.r.t. afdoende garanties over het toepassen van passende technische en organisatorische maatregelen
    PRIV_U.07.03.03Een verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG art. 28 lid 1..Vertegenwoordiger i.r.t. het door een andere verwerker uitvoeren van de verwerking
    PRIV_U.07.04.01De verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkings-verantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Avg art. 48.Uitzonderingsgrond t.a.v. de verwerking
    PRIV_U.07.04.02De doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën van persoonsgegevens aan een derde land of een internationale organisatie.Uitzonderingsgrond t.a.v. doorgifte
    PRIV_U.07.05.01Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG art. 45..Adequaatheidsbesluit
    PRIV_U.07.06.01Wanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG art. 46.:
  • een juridisch bindend en afdwingbaar instrument is tussen overheidsinstanties of -organen;
  • door de AP goedgekeurd bindende bedrijfsvoorschriften zijn, zie /05.02;
  • standaardbepalingen zijn inzake gegevensbescherming die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn vastgesteldAVG art. 93, lid 2.;
  • standaardbepalingen zijn inzake gegevensbescherming die door een AP zijn vastgesteld en die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn goedgekeurdAVG art. 93, lid 2.;
  • een goedgekeurde gedragscode is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen toe te passen, waaronder waarborgen voor de rechten van de betrokkenen;
  • een goedgekeurd certificeringmechanisme is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen, of:
  • door de AP passende waarborgen zijn, waarbij er met name:
    • contractbepalingen zijn tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of:
    • bepalingen zijn opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.
    Passende waarborgen bij afwezigheid adequaatheidsbesluit
    PRIV_U.07.06.02Als bindende bedrijfsvoorschriften (/05.01 punt b) worden gebruikt om passende waarborgen te bieden, dan:
  • zijn die juridisch bindend of van toepassing en worden deze gehandhaafd door alle betrokken leden van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen; met inbegrip van hun werknemers;
  • kunnen betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens, en:
  • zijn de hier beknopt weergegeven elementen vastgelegd (zie voor de volledige weergave artikel 47 lid 1):
    1. de structuur en de contactgegeven;
    2. de gegevensdoorgiften of reeks van doorgiften;
    3. het intern en extern juridisch bindende karakter;
    4. de toepassing van de algemene beginselen inzake gegevensbescherming;
    5. de rechten van betrokkenen;
    6. de aanvaarding van aansprakelijkheid voor alle inbreuken;
    7. de wijze waarop informatie wordt verschaft over de bindende bedrijfsvoorschriften;
    8. de taken van elke Functionaris voor de Gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op:
      1. de naleving van de bindende bedrijfsvoorschriften binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen,
      2. opleiding, en:
      3. de behandeling van klachten;
    9. de klachtenprocedures;
    10. de bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd;
    11. de procedures om die veranderingen in de regels te melden, te registreren en aan de AP te melden;
    12. de procedure voor samenwerking met de AP;
    13. de procedures om eventuele wettelijke voorschriften aan de AP te melden, en:
    14. de passende opleiding inzake gegevensbescherming voor personeel.
    Passende waarborgen bij aanwezigheid adequaatheidsbesluit
    PRIV_U.07.06.03Wanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49..Passende waarborgen, beëindigen van doorgifte en informeren van betrokkene
    PRIV_U.07.07.01Afwijking voor een specifieke situatie