Privacy en bescherming persoonsgegevens applicatieontwikkeling

Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	APO_B.06
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Objectdefinitie

Privacy betreft de persoonlijke levenssfeer, privésfeer of eigenruimte; de afscherming van personen of groepen voor bespieding en beïnvloeding. Bescherming persoonsgegevens draagt bij aan het voorkomen van inbreuken op de persoonlijke levenssfeer.

Objecttoelichting

Bij applicatieontwikkeling behoort de verantwoordelijke stakeholder rekening te houden met privacy en de bescherming van persoonsgegevens. Een analyse van de context waarin de desbetreffende applicatie ontwikkeld wordt, kan risico’s voor inbreuken op de privacy blootleggen. Verder zal voorafgaand aan het ontwerp van de applicatie een PIA worden uitgevoerd voor waarschijnlijk hoog-risicoverwerkingen. Deze verplichting komt voort uit de AVG.

Criterium

Bij het ontwikkelen van applicaties behoren de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen te identificeren en eraan te voldoen.

Doelstelling

Het reduceren van privacy-risico’s voor de betrokkenen en het vermijden van schade die kan voortvloeien uit het niet nakomen van wet- en regelgeving betreffende de bescherming van persoonsgegevens.

Risico

Als bij applicatieontwikkeling onvoldoende rekening wordt gehouden met privacybescherming en de vereisten voor verwerking van persoonsgegevens, bestaat het risico dat persoonsgegevens ongeoorloofd of onbedoeld worden ingezien, gewijzigd, verloren, vernietigd of verstrekt, waardoor betrokkenen schade ondervinden en de organisatie niet voldoet aan wettelijke verplichtingen.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Intentie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 2 5.34

Onderliggende normen

ID	Conformiteitsindicator	Stelling
APO_B.06.01	Privacy en bescherming van persoonsgegevens	Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd.
APO_B.06.02	Privacy en bescherming van persoonsgegevens	Voor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.
APO_B.06.03	Privacy en bescherming van persoons-gegevens	Een tot standaard verheven PIA-toetsmodel wordt toegepast. Dit model voldoet aan de in de AVG gestelde eisen.
APO_B.06.04	Privacy en bescherming van persoonsgegevens	Privacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak.
APO_B.06.05	Privacy en bescherming van persoonsgegevens	De risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.
APO_B.06.06	Wet- en regelgeving	Volgens de AVG worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd.