Privacy Beleid geeft duidelijkheid en sturing
Uit NORA Online
ISOR:Privacy Beleid geeft duidelijkheid en sturing
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
|
Verwante principes | ||||||||||||||||||
Privacybeleid geeft op organisatie - en strategisch niveau duidelijkheid en daarmee sturing aan de inrichting van privacy.
Inhoud
Het privacybeleid geeft aan op welke wijze - door het treffen van maatregelen - voldaan wordt aan de van toepassing zijnde wet- en regelgeving. Omdat de wet- en regelgeving externe factoren zijn, is periodieke review nodig om vast te stellen of het beleid nog voldoet. Het volstaat dus niet om eenmalig beleid op te stellen en niet meer aan te passen. Maar ook interne factoren, zoals onvoldoende effectiviteit van het beleid en gewijzigde missie of visie kunnen bepalend zijn om te komen tot aanpassing van het beleid. Door het beleidsproces cyclisch in te richten wordt bereikt dat het beleid op de ontwikkelingen en de uitvoering is afgestemd.
Proces
De ontwikkeling van de organisatie tot een organisatie die aantoonbaar aan wet- en regelgeving voldoet (ofwel: 'compliant' is aan wet- en regelgeving), vraagt om een cyclisch proces. Dit houdt in dat er sprake is van een terugkoppelmechanisme waarbij - door inzicht in de uitvoering - het beleid kan worden bijgestuurd en gecorrigeerd. De Privacy Baseline is als cyclisch proces (Beleid, Uitvoering en Control) opgezet. Afspraken hoe dit cyclische proces vormgegeven wordt maakt onderdeel uit van het beleid.
Criterium
De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG art. 5 lid 1.
Doelstelling
Privacybeleid dient ervoor om op organisatie- en strategisch niveau duidelijkheid te geven over de inrichtingskeuzes van privacy en te waarborgen dat de verwerking van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd op een rechtmatige wijze plaatsvindt.
Risico
Het ontbreken van een privacybeleid leidt ertoe dat de organisatie geen duidelijkheid heeft wat precies wordt verwacht, waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden verwerkt (waaronder verzamelen, bewerken, inzien et cetera).
Indeling binnen ISOR
Dit privacyprincipe:
- is gericht op Beveiligingsaspect Beleid
- valt binnen de IFGS-indeling IFGS Intentie
ℹ️(Klik om uitleg open/dicht te klappen)
De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.
Grondslag
De grondslag voor dit principe is Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet AVG. , in het bijzonder van Avg Art. 5; 24; 40 en Uitvoeringswet Avg Art. 2; 4; 78 en 157
Onderliggende normen
| ID | Conformiteitsindicator | Stelling | Pagina |
|---|---|---|---|
| PRIV_B.01.01.01 | privacybeleid | Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG art. 5 lid 2.. | Privacybeleid; duidelijkheid inzake verantwoordingsplicht |
| PRIV_B.01.01.02 | privacybeleid | Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren. | Privacybeleid als cyclisch proces |
| PRIV_B.01.01.03 | privacybeleid | Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens. | Privacybeleid; vastgesteld en gecommuniceerd |
| PRIV_B.01.01.04 | privacybeleid | De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden. | Privacybeleid i.r.t. wet- en regelgeving |
| PRIV_B.01.01.05 | privacybeleid | In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving. | Privacybeleid i.r.t. sectorspecifieke wetgeving. |
| PRIV_B.01.01.06 | privacybeleid | In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de Avg nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan wordt gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor de Gegevensbescherming (FG)AVG art. 25 en art. 64 lid 2. | Privacybeleid i.r.t. gedragscode |
| PRIV_B.01.02.01 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform B.03, §2.1.3 toepassen van Privacy by Design, het uitvoeren van GEB's en het gebruik van standaard instellingen. | Invulling geven aan de wettelijke beginselen, beschrijving van privacy by design |
| PRIV_B.01.02.02 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform U.01, §2.2.1, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Invulling geven aan de wettelijke beginselen, beschrijving van de doeleinden voor het verzamelen |
| PRIV_B.01.02.03 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.01, §2.2.1, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt. | Invulling geven aan de wettelijke beginselen, beschrijven van minimalisatie van verwerken |
| PRIV_B.01.02.04 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.03, §2.2.3, de persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn onverwijld worden gewist of worden gerectificeerd. | Invulling geven aan de wettelijke beginselen, beschrijven van juistheid en actualiteit van de gegevens |
| PRIV_B.01.02.05 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.04, §2.2.4, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe de verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. | Invulling geven aan de wettelijke beginselen, beschrijven van passende technische en organisatorische maatregelen |
| PRIV_B.01.02.06 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.05, §2.2.5 en C.02, §2.3.2, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen. | Invulling geven aan de wettelijke beginselen, beschrijven van transparante verwerking |
| PRIV_B.01.02.07 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.06, §2.2.6, persoonsgegevens niet langer worden bewaard dan waarvoor zij worden verwerkt noodzakelijk is en in welke vorm de opslag moet plaatsvinden zodat na deze periode de betrokkenen niet langer zijn te identificeren. | Invulling geven aan de wettelijke beginselen, beschrijven van maximale bewaartermijnen |
| PRIV_B.01.02.08 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.07, §2.2.7, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd zodat aangetoond kan worden dat ook bij de doorgifte aan de Avg wordt voldaan en wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd. | Invulling geven aan de wettelijke beginselen, beschrijven van garanties bij doorgifte |
| PRIV_B.01.02.09 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt hoe, conform C.01. §2.3.1, verantwoor-delijken aantonen dat gedurende en na de verwerking de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register , conform U.02 §2.2.2, en een dossier kan worden aangetoond. | Invulling geven aan de wettelijke beginselen, beschrijven van behoorlijke verwerking |
| PRIV_B.01.02.10 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, C.03, §2.3.3, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en / of vrijheden van natuurlijke personen. | Invulling geven aan de wettelijke beginselen, beschrijven van informeren bij inbreuk |
