Risicomanagement, Privacy by Design en de DPIA

Uit NORA Online
ISOR:Risicomanagement- Privacy by Design en de GEB
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)

Verwante principes

Privacy Beleid: het beleidsdomein
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Risicomanagement is een continu proces dat de privacyrisico's signaleert, beoordeelt en een passende behandeling daarvan bewaakt. Privacy-risicomanagement richt zich op het beheersen van privacyrisico's bij het verwerken, waaronder verzamelen, opslaan en doorgeven van persoonsgegevens. Door middel van privacy-risicomanagement worden, bij de ontwikkeling, de inrichting en de inzet van de gegevensverwerking voor de organisatie de privacyrisico's in lijn gebracht met het privacybeleid (zie: B01). Zo wordt voldaan aan de wet- en regelgeving en worden de belangen van de betrokkenen gewaarborgd.


Criterium

De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.

Doelstelling

Beoordeling van de privacyrisico's (de kans en hun potentiële omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht.

Risico

Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de AVG voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt.

Indeling binnen ISOR

Dit privacyprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG Art. 24; 25; 35; 36; 42

Onderliggende normen

IDConformiteitsindicatorStelling
PRIV_B.03.01.01 het beoordelen van de privacyrisico's

Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1.

PRIV_B.03.01.02 het beoordelen van de privacyrisico's

Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in.

PRIV_B.03.01.03 het beoordelen van de privacyrisico's

Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11..

PRIV_B.03.01.04 het beoordelen van de privacyrisico's

Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36..

PRIV_B.03.02.01 passende maatregelen

De maatregelen bestaan uit technische en organisatorische maatregelen.

PRIV_B.03.02.02 passende maatregelen

Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25.

PRIV_B.03.02.03 passende maatregelen

De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's)

PRIV_B.03.02.04 passende maatregelen

De resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.

PRIV_B.03.03.01 aantonen

Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden.

PRIV_B.03.03.02 aantonen

Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten.

PRIV_B.03.03.03 aantonen

De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's.

PRIV_B.03.03.04 aantonen

Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.

PRIV_B.03.03.05 aantonen

Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.