Risicomanagement, Privacy by Design en de GEB

Uit NORA Online
ISOR:Risicomanagement- Privacy by Design en de GEB
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)

Verwante principes

Privacy Beleid
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Risicomanagement is een continu proces dat de privacyrisico's signaleert, beoordeelt en een passende behandeling daarvan bewaakt. Privacy-risicomanagement richt zich op het beheersen van privacyrisico's bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., waaronder verzamelen, opslaan en doorgeven van persoonsgegevens. Door middel van privacy-risicomanagement worden, bij de ontwikkeling, de inrichting en de inzet van de gegevensverwerking de organisatie de privacyrisico's in lijn gebracht met het privacybeleid (zie: B01, §2.1.1). Zo wordt voldaan aan de wet- en regelgeving en waarbij de belangen van de betrokkenen gewaarborgd worden.


Criterium

De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.

Doelstelling

Beoordeling van de privacyrisico's (de kans en hun potentiele omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht.

Risico

Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de Avg voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt.

Indeling binnen ISOR

Dit privacyprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet AVG. , in het bijzonder van Avg Art. 24; 25; 35; 36; 42 en Uitvoeringswet Avg

Onderliggende normen

IDConformiteitsindicatorStellingPagina
PRIV_B.03.01.01het beoordelen van de privacyrisico'sWanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een GEB uitgevoerdAVG art. 35 lid 1..Het beoordelen van de privacyrisico's, hoog risico
PRIV_B.03.01.02het beoordelen van de privacyrisico'sWanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een GEB diens advies in.Het beoordelen van de privacyrisico's, advies van FG
PRIV_B.03.01.03het beoordelen van de privacyrisico'sTen minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (GEB) wordt uitgevoerdAVG Avg art. 35 lid 11..Het beoordelen van de privacyrisico's, bij wijigingen
PRIV_B.03.01.04het beoordelen van de privacyrisico'sWanneer uit een GEB blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de APAVG art. 36..Het beoordelen van de privacyrisico's, i.r.t. de GEB
PRIV_B.03.02.01passende maatregelenDe maatregelen bestaan uit technische en organisatorische maatregelen.Passende maatregelen, technisch en organisatorisch
PRIV_B.03.02.02passende maatregelenPassende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG art. 25..Passende maatregelen, passend
PRIV_B.03.02.03passende maatregelenDe maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffect beoordelingen (GEB's).Passende maatregelen, continuíteit
PRIV_B.03.02.04passende maatregelenDe resultaten van de GEB worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.Passende maatregelen, i.r.t. de GEB
PRIV_B.03.03.01aantonenVan alle verwerkingen waarop een GEB is uitgevoerd is een GEB rapportage beschikbaar, waardoor bekend welke risico's bestaan en welke maatregelen genomen (moeten) worden.Aantonen onderkende risico's en maatregelen
PRIV_B.03.03.02aantonenEen procesbeschrijving is aanwezig voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten.Aantonen uitvoeren GEB en opvolgen GEB uitkomsten
PRIV_B.03.03.03aantonenDe risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de GEB's.Aantonen aanpak risicomanagement
PRIV_B.03.03.04aantonenEen tot standaard verheven GEB toetsmodel wordt toegepast; dit model voldoet aan de in de Avg gestelde eisen.Aantonen toepassen GEB toetsmodel
PRIV_B.03.03.05aantonenPrivacy by Design en de GEB en maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Aantonen privacy by design