Privacy Beleid geeft duidelijkheid en sturing

Uit NORA Online
ISOR:Privacy Beleid geeft duidelijkheid en sturing
Naar navigatie springen Naar zoeken springen
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)

Verwante principes

Privacy Beleid: het beleidsdomein
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Privacybeleid geeft op organisatie - en strategisch niveau duidelijkheid en daarmee sturing aan de inrichting van privacy.

Inhoud

Het privacybeleid geeft aan op welke wijze - door het treffen van maatregelen - voldaan wordt aan de van toepassing zijnde wet- en regelgeving. Omdat de wet- en regelgeving externe factoren zijn die kunnen veranderen, is periodieke review nodig om vast te stellen of het beleid nog voldoet. Maar ook interne factoren, zoals onvoldoende effectiviteit van het beleid en gewijzigde missie of visie, kunnen het nodig maken om te komen tot aanpassing van het beleid. Het volstaat dus niet om eenmalig beleid op te stellen en niet meer aan te passen. Door het beleidsproces cyclisch in te richten kan het beleid op de ontwikkelingen en de uitvoering afgestemd blijven.

Proces

De ontwikkeling van de organisatie tot een organisatie die aantoonbaar aan wet- en regelgeving voldoet (ofwel: 'compliant' is aan wet- en regelgeving), vraagt om een cyclisch proces. Dit houdt in dat er sprake is van een terugkoppelmechanisme waarbij - door inzicht in de uitvoering - het beleid kan worden bijgestuurd en gecorrigeerd. De Privacy Baseline is als cyclisch proces (Beleid, Uitvoering en Control) opgezet. Afspraken over hoe dit cyclische proces vormgegeven wordt maken onderdeel uit van het beleid.


Criterium

De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegeven aan de wettelijke beginselen AVG Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'.

Doelstelling

Privacybeleid dient ervoor om op organisatie- en strategisch niveau duidelijkheid te geven over de inrichtingskeuzes van privacy en te waarborgen dat de verwerking van gegevens op een rechtmatige wijze plaatsvindt.

Risico

Het ontbreken van een privacybeleid leidt ertoe dat de organisatie geen duidelijkheid heeft over wat precies wordt verwacht, waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden verwerkt (zoals: verzamelen, bewerken, inzien, etcetera).

Indeling binnen ISOR

Dit privacyprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG (Algemene Verordening Gegevensbescherming) Art. 5; 24; 40UAVG (Uitvoeringswet AVG) Art. 2; 4

Onderliggende normen

IDConformiteitsindicatorStelling 
PRIV_B.01.01.01privacybeleidHet beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 5 lid 2</sup>.ISOR:Privacybeleid; duidelijkheid inzake verantwoordingsplicht
PRIV_B.01.01.02privacybeleidHet privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren.ISOR:Privacybeleid als cyclisch proces
PRIV_B.01.01.03privacybeleidHet topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens.ISOR:Privacybeleid; vastgesteld en gecommuniceerd
PRIV_B.01.01.04privacybeleidDe organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden.ISOR:Privacybeleid i.r.t. wet- en regelgeving
PRIV_B.01.01.05privacybeleidIn het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegeven aan de eisen van de sectorspecifieke wetgeving.ISOR:Privacybeleid i.r.t. sectorspecifieke wetgeving.
PRIV_B.01.01.06privacybeleidIn het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 25 en Art. 64 lid 2</sup>.ISOR:Privacybeleid i.r.t. gedragscode
PRIV_B.01.02.01wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform [[ISOR:Kwaliteitsmanagement|PRIV_U.03: Kwaliteitsmanagement]] toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen.ISOR:Invulling geven aan de wettelijke beginselen- beschrijving van privacy by design
PRIV_B.01.02.02wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform [[ISOR:Doelbinding gegevensverwerking|PRIV_U.01: Doelbinding gegevensverwerking]], voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt.ISOR:Invulling geven aan de wettelijke beginselen - beschrijving van de doeleinden voor het verzamelen
PRIV_B.01.02.03wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform [[ISOR:Doelbinding gegevensverwerking|PRIV_U.01: Doelbinding gegevensverwerking]], de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt.ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van minimalisatie van verwerken
PRIV_B.01.02.04wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform [[ISOR:Kwaliteitsmanagement|PRIV_U.03: Kwaliteitsmanagement]], de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren.ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van juistheid en actualiteit van de gegevens
PRIV_B.01.02.05wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform [[ISOR:Beveiligen van de verwerking van persoonsgegevens|PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens]], passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van passende technische en organisatorische maatregelen
PRIV_B.01.02.06wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform [[ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens|PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens]] en [[ISOR:Toegang gegevensverwerking voor betrokkenen|PRIV_C.02: Toegang gegevensverwerking voor betrokkenen]], de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen.ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van transparante verwerking
PRIV_B.01.02.07wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren.ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van maximale bewaartermijnen
PRIV_B.01.02.08wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform[[ISOR:Doorgifte persoonsgegevens|PRIV_U.07: Doorgifte persoonsgegevens]], persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd.ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van garanties bij doorgifte
PRIV_B.01.02.09wettelijke beginselenBeschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform [[ISOR:Intern toezicht|PRIV_C.01: Intern toezicht]], aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform [[ISOR:Register van verwerkingsactiviteiten|PRIV_U.02: Register van verwerkingsactiviteiten]], en een dossier kan worden aangetoond.ISOR:Invulling geven aan de wettelijke beginselen- beschrijven van behoorlijke verwerking