Risicomanagement, Privacy by Design en de DPIA

Uit NORA Online
ISOR:Risicomanagement- Privacy by Design en de GEB
Naar navigatie springen Naar zoeken springen
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)

Verwante principes

Privacy Beleid: het beleidsdomein
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Risicomanagement is een continu proces dat de privacyrisico's signaleert, beoordeelt en een passende behandeling daarvan bewaakt. Privacy-risicomanagement richt zich op het beheersen van privacyrisico's bij het verwerken, waaronder verzamelen, opslaan en doorgeven van persoonsgegevens. Door middel van privacy-risicomanagement worden, bij de ontwikkeling, de inrichting en de inzet van de gegevensverwerking voor de organisatie de privacyrisico's in lijn gebracht met het privacybeleid (zie: B01). Zo wordt voldaan aan de wet- en regelgeving en worden de belangen van de betrokkenen gewaarborgd.


Criterium

De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.

Doelstelling

Beoordeling van de privacyrisico's (de kans en hun potentiële omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht.

Risico

Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de AVG voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt.

Indeling binnen ISOR

Dit privacyprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG (Algemene Verordening Gegevensbescherming) Art. 24; 25; 35; 36; 42

Onderliggende normen

IDConformiteitsindicatorStelling 
PRIV_B.03.01.01het beoordelen van de privacyrisico'sWanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd <sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 35 lid 1</sup>.ISOR:Het beoordelen van de privacyrisico's- hoog risico
PRIV_B.03.01.02het beoordelen van de privacyrisico'sWanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in.ISOR:Het beoordelen van de privacyrisico's- advies van FG
PRIV_B.03.01.03het beoordelen van de privacyrisico'sTen minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 35 lid 11.</sup>.ISOR:Het beoordelen van de privacyrisico's- bij wijigingen
PRIV_B.03.01.04het beoordelen van de privacyrisico'sWanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hierover<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 36.</sup>.ISOR:Het beoordelen van de privacyrisico's- i.r.t. de GEB
PRIV_B.03.02.01passende maatregelenDe maatregelen bestaan uit technische en organisatorische maatregelen.ISOR:Passende maatregelen- technisch en organisatorisch
PRIV_B.03.02.02passende maatregelenPassende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 25</sup>.ISOR:Passende maatregelen- passend
PRIV_B.03.02.03passende maatregelenDe maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's)ISOR:Passende maatregelen- continuíteit
PRIV_B.03.02.04passende maatregelenDe resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.ISOR:Passende maatregelen- i.r.t. de GEB
PRIV_B.03.03.01aantonenVan alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden.ISOR:Aantonen onderkende risico's en maatregelen
PRIV_B.03.03.02aantonenEen procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten.ISOR:Aantonen uitvoeren GEB en opvolgen GEB uitkomsten
PRIV_B.03.03.03aantonenDe risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's.ISOR:Aantonen aanpak risicomanagement
PRIV_B.03.03.04aantonenEen tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.ISOR:Aantonen toepassen GEB toetsmodel