Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens

Uit NORA Online
ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens
Naar navigatie springen Naar zoeken springen
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)

Verwante principes

Privacy Uitvoering: het uitvoeringsdomein
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Wie persoonsgegevens verstrekt aan een organisatie heeft het recht te weten waarvoor, op welke wijze en door wie deze gegevens worden gebruikt. De organisatie heeft hiertoe een informatieplicht. Deze informatieplicht geldt ook wanneer persoonsgegevens van anderen worden ontvangen.


Criterium

De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG Art. 14.

Doelstelling

Het doel van 'Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens' is om transparantie aan betrokkene te garanderen over de gegevensverzameling en de verwerking, zodat de betrokkene zijn rechten kan uitoefenen overeenkomstig de beginselen van behoorlijke en transparante verwerkingAVG Art. 12 en overweging 60.

Risico

De organisatie is niet transparant, waardoor de organisatie niet kan verantwoorden dat de gegevensverwerking voldoet aan de beginselen van behoorlijke en transparante verwerking, met mogelijk hoge kosten tot gevolg.

Indeling binnen ISOR

Dit privacyprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG (Algemene Verordening Gegevensbescherming) Art. 13; 14; 15UAVG (Uitvoeringswet AVG) Art. 5; 22; 24; 27; 28; 32; 41

Onderliggende normen

IDConformiteitsindicatorStelling 
PRIV_U.05.01.01tijdigDe toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerking<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 6 lid 1</sup>, het doorgeven aan derden en het verder verwerken<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 14 lid 3</sup>. Dit geldt voor persoonsgegevens die via betrokkenen of anderen worden of zijn verkregen.ISOR:Tijdig- toestemming van de betrokkene vooraf
PRIV_U.05.01.02tijdigInformatie over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrekt<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 14 lid 3</sup>.ISOR:Tijdig- verstrekken van informatie
PRIV_U.05.02.01informatieHet verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 7 lid 2</sup>.ISOR:Informatie- verzoek om toestemming
PRIV_U.05.02.02informatieWanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatie<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 13</sup>:
  1. De identiteit en contactgegevens van de verantwoordelijke en, in voorkomend geval, zijn of haar vertegenwoordiger;
  2. In voorkomend geval de contactgegevens van de Functionaris voor gegevensbescherming;
  3. De verwerkingsdoeleinden en ook de rechtsgrond van de gegevensverwerking;
  4. De gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde indien de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 6.1f</sup>;
  5. In voorkomend geval de ontvangers of categorieën van ontvangers van persoonsgegevens;
  6. In voorkomend geval dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of internationale organisatie of een adequaatheidsbesluit van de commissie bestaat, welke de passende waarborgen zijn en hoe deze kunnen worden ingezien;
  7. De periode dat de gegevens worden opgeslagen of de criteria ter bepaling van die termijn;
  8. Dat de betrokkene recht heeft op inzage, rectificatie of wissing of beperking van de hem betreffende verwerking en het recht heeft bezwaar tegen de verwerking te maken en dat de betrokkene het recht heeft op gegevensoverdraagbaarheid;
  9. Dat de betrokkene zijn toestemming te allen tijde kan intrekken (voor zover de verwerking is gebaseerd op de rechtsgrond toestemming);
  10. Dat de betrokkene een klacht mag indienen bij de AP;
  11. Of de verstrekking een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten;
  12. Of de betrokkene verplicht is de gegevens te verstrekken en wat de mogelijke gevolgen zijn als deze de gegevens niet verstrekt;
  13. Of geautomatiseerde besluitvorming en/of profilering bestaat en in die gevallen nuttige informatie over de onderliggende logica alsmede het belang en de verwachte gevolgen voor de betrokkene;
  14. Informatie over het andere doel, wanneer een verwerking gaat plaatsvinden voor een ander doel dan waarvoor de persoonsgegevens zijn verzameld.
ISOR:Informatie aan betrokkene
PRIV_U.05.02.03informatieWanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatie<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 7</sup>:
  • De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke;
  • In voorkomend geval de contactgegevens van de Functionaris voor gegevensbescherming;
  • De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking;
  • De betrokken categorieën persoonsgegevens;
  • In voorkomend geval de ontvangers of categorieën van ontvangers van de persoonsgegevens;
  • Als persoonsgegevens aan een ontvanger in een derde land of aan een internationale organisatie wordt doorgegeven, wordt informatie gegeven over hoe een kopie kan worden verkregen over de waarborgen of voorschriften of waar ze kunnen worden geraadpleegd;
  • De periode gedurende welke de persoonsgegevens zullen worden opgeslagen of indien dat niet mogelijk is de criteria om die termijn te bepalen;
  • Indien van toepassing de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde;
  • Dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
  • Wanneer verwerking is gebaseerd is op toestemming van betrokkene, heeft de betrokkene het recht de toestemming te allen tijde in te trekken. Dit doet geen afbreuk aan de rechtmatigheid van de verwerking op basis van de toestemming van vóór de intrekking;
  • Dat de betrokkene het recht heeft een klacht in te dienen bij een AP;
  • De bron waar de persoonsgegevens vandaan komen en in voorkomend geval of zij afkomstig zijn van openbare bronnen;
  • Het bestaan van geautomatiseerde besluitvorming (inclusief profilering) inclusief de informatie over de onderliggende logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
  • ISOR:Informatie aan betrokkene bij ontvangst gegevens bij een ander dan de betrokkene
    PRIV_U.05.03.01uitzonderingDe verplichting tot het verstrekken van informatie geldt niet, indien:
  • De betrokkene reeds over de informatie beschikt;
  • Het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen;
  • De verwezenlijking van de doeleinden van de verwerking onmogelijk dreigt te worden of ernstig in het gedrang dreigt te brengen; in dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie;
  • Het verkrijgen of verstrekken van de gegevens uitdrukkelijk wettelijk is voorgeschreven en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, of:
  • De persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim, waaronder een statutaire geheimhoudingsplicht;
  • Wanneer de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldt;
  • Het de verwerking betreft van persoonsgegevens die deel uitmaken van archiefbescheiden en die op grond van de Archiefwet niet voor vernietiging in aanmerking komen en zijn overgebracht naar een archiefbewaarplaats.<sup class="noot"> Zie Mvt UAVG, toelichting bij art. 41</sup>.
  • ISOR:Toestemming- vrijelijk gegeven
    PRIV_U.05.04.01toestemmingDe toestemming moet door de betrokkene vrijelijk gegeven kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomst<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 14 lid 4</sup>.ISOR:Uitzondering