Risicomanagement, Privacy by Design en de DPIA
Verwante principes |
Risicomanagement is een continu proces dat de privacyrisico's signaleert, beoordeelt en een passende behandeling daarvan bewaakt. Privacy-risicomanagement richt zich op het beheersen van privacyrisico's bij het verwerken, waaronder verzamelen, opslaan en doorgeven van persoonsgegevens. Door middel van privacy-risicomanagement worden, bij de ontwikkeling, de inrichting en de inzet van de gegevensverwerking voor de organisatie de privacyrisico's in lijn gebracht met het privacybeleid (zie: B01). Zo wordt voldaan aan de wet- en regelgeving en worden de belangen van de betrokkenen gewaarborgd.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit privacyprincipe:
- is gericht op Beveiligingsaspect Beleid
- valt binnen de IFGS-indeling IFGS Onbekend
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is AVG (Algemene Verordening Gegevensbescherming) Art. 24; 25; 35; 36; 42
Onderliggende normen
ID | Conformiteitsindicator | Stelling | |
---|---|---|---|
PRIV_B.03.01.01 | het beoordelen van de privacyrisico's | Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd <sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 35 lid 1</sup>. | ISOR:Het beoordelen van de privacyrisico's- hoog risico |
PRIV_B.03.01.02 | het beoordelen van de privacyrisico's | Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in. | ISOR:Het beoordelen van de privacyrisico's- advies van FG |
PRIV_B.03.01.03 | het beoordelen van de privacyrisico's | Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 35 lid 11.</sup>. | ISOR:Het beoordelen van de privacyrisico's- bij wijigingen |
PRIV_B.03.01.04 | het beoordelen van de privacyrisico's | Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hierover<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 36.</sup>. | ISOR:Het beoordelen van de privacyrisico's- i.r.t. de GEB |
PRIV_B.03.02.01 | passende maatregelen | De maatregelen bestaan uit technische en organisatorische maatregelen. | ISOR:Passende maatregelen- technisch en organisatorisch |
PRIV_B.03.02.02 | passende maatregelen | Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 25</sup>. | ISOR:Passende maatregelen- passend |
PRIV_B.03.02.03 | passende maatregelen | De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) | ISOR:Passende maatregelen- continuíteit |
PRIV_B.03.02.04 | passende maatregelen | De resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen. | ISOR:Passende maatregelen- i.r.t. de GEB |
PRIV_B.03.03.01 | aantonen | Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden. | ISOR:Aantonen onderkende risico's en maatregelen |
PRIV_B.03.03.02 | aantonen | Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten. | ISOR:Aantonen uitvoeren GEB en opvolgen GEB uitkomsten |
PRIV_B.03.03.03 | aantonen | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's. | ISOR:Aantonen aanpak risicomanagement |
PRIV_B.03.03.04 | aantonen | Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | ISOR:Aantonen toepassen GEB toetsmodel |