Normen

Uit NORA Online
Ga naar: navigatie, zoeken

Op deze pagina vind u alle Normen uit de NORANederlandse Overheid ReferentieArchitectuur. Normen komen oorspronkelijk voort uit Normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en zijn eind 2017 in de NORANederlandse Overheid ReferentieArchitectuur toegevoegd als onderdeel van de Information Security Object Repository (ISOR). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid ReferentieArchitectuur Basisprincipes en Afgeleide Principes en de thema's Beveiliging en Privacy.

Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren.

Alle normen in de NORANederlandse Overheid ReferentieArchitectuur

De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Normen worden genoemd en gedefinieerd op de pagina Norm. Er is ook een tabel met alle eigenschappen van alle normen. De onderstaande tabel is te sorteren via kolomtitels.

ID Stelling Realiseert Norm
Huisv_B.01.01 De organisatie heeft een Huisvestingsbeleid opgesteld en:
  • bevat doelstellingen en principes van Huisvesting-IV beveiliging;
  • bevat specifieke verantwoordelijkheden en rollen;
  • bevat processen voor het behandelen van afwijkingen en afzonderin-gen;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
Huisvestingsbeleid Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen
Huisv_B.01.02 Beleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit:
  • Bedrijfsstrategie;
  • Wet- en regelgeving;
  • Huidige en verwachte bedreigingen op het gebied van Huisvesting-IV.
Huisvestingsbeleid Beleidsregels behandelen uit bedrijfsstrategie, wet- en regelgeving en bedreigingen voorkomende eisen
Huisv_B.01.03 Beleidsregels zijn gerelateerd aan specifieke onderwerpen m.b.t. Huisvesting-IV, zoals:
  • fysieke beveiligingszone;
  • fysieke toegangsbeveiliging personeel.
Huisvestingsbeleid Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting-IV
Huisv_B.02.01 De verantwoordelijke voor Huisvestingsorganisatie stelt vast welke wetgeving van toepassing is voor de Huisvesting van IV. Wet en regelgeving De voor Huisvesting-IV-verantwoordelijke bepaalt welke wetgeving van toepassing
Huisv_B.02.02 Het Huisvestingsbeleid waarover de Huisvesting-IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. Wet en regelgeving Overeengekomen Huisvestingsbeleid mede o.b.v. wet- en regelgeving en contractuele verplichtingen
Huisv_B.03.01 Personen of afdelingen die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel zijn als eigenaar benoemd. Eigenaarschap Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
Huisv_B.03.02 Het eigenaarschap van bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het bedrijfsmiddel. Eigenaarschap Het bedrijfsmiddel-eigenaarschap wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
Huisv_B.03.03 De eigenaar van het bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus van het bedrijfsmiddel. Eigenaarschap De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
Huisv_B.03.04 De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld;
  • bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.
Eigenaarschap Op passende wijze inventariseren, classificeren. verwijderd en vernietigen van bedrijfsmiddellen
Huisv_B.04.01 De organisatie of een dienstenleverancier laat periodiek de Huisvesting-IV inclusief de voorzieningen en services evalueren met als doel deze te laten certificeren. Certificering Periodiek evalueren van Huisvesting-IV voorzieningen en services
Huisv_B.04.02 De Huisvesting-IV die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden:
  • ISO 27001 - Informatiebeveiliging;
  • ISO 50001 - Energie-efficiëntie.
Certificering De voor de organisatie ingezette Huisvesting-IV is min. gecertificeerd voor ISO 27001 en 50001
Huisv_B.05.01 De eisen en specificaties voor de Huisvestingsvoorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. Contractmanagement Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
Huisv_B.05.02 Het verwerven van Huisvestingsvoorzieningen geschiedt uitsluitend op basis van een overeenkomst of andere formele afspraak. Contractmanagement Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
Huisv_B.05.03 De rollen Contractmanagement Service Level Management die betrokken zijn bij SLA’s en DAP zijn vastgelegd. Contractmanagement Bij SLA’s en DAP betrokken rollen Contractmanagement Service Level Management zijn vastgelegd
Huisv_B.05.04 Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s. Contractmanagement Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
Huisv_B.05.05 De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd. Contractmanagement De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
Huisv_B.06.01 De Huisvestingsorganisatie heeft de te leveren services, met bijbehorende service niveaus beschreven. Service Levelmanagement Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
Huisv_B.06.02 Deze Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting-IV. Service Levelmanagement Deze Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting-IV
Huisv_B.06.03 De Service Levels zijn onder andere gericht op de aspecten: beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., openstelling, disaster recovery, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering). Service Levelmanagement De aspecten waarop de Service Levels o.a. zijn gericht
Huisv_B.07.01 De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn. Interne en Externe bedreigingen De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
Huisv_B.07.02 Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. Interne en Externe bedreigingen Tegen externe bedreigingen zijn beveiligingsmaatregelen genomeno.b.v. een expliciete risicoafweging
Huisv_B.07.03 Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen, veroorzaakt door de natuur en menselijk toedoen. Interne en Externe bedreigingen Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
Huisv_B.07.04 De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid Interne en Externe bedreigingen De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
Huisv_B.08.01 Binnen de Huisvesting-IV nemen alle medewerkers regelmatig aan beveiligings-awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshop hierover. Training en Awareness Aweareness-activiteiten m.b.t. de binnen de Huisvesting-IV actieve medewerkers
Huisv_B.08.02 Aan de medewerkers worden regelmatig e-learning training aangeboden en worden zij regelmatig op de hoogte gesteld van de ontwikkelingen rond Rekencentrum beveiliging d.m.v. brochures en nieuwsletters. Training en Awareness Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
Huisv_B.09.01 Binnen de Huisvestingsorganisatie hebben de verantwoordelijken voor de Huisvesting-IV een formele positie. Organisatiestructuur De verantwoordelijken voor de Huisvesting-IV hebben een formele positie
Huisv_B.09.02 Er is een Huisvestingsorganisatieschema beschikbaar. Organisatiestructuur Er is een Huisvestingsorganisatieschema beschikbaar
Huisv_B.09.03 Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie. Organisatiestructuur Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
Huisv_B.09.04 De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd. Organisatiestructuur De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd
Huisv_C.01.01 De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen. Controle richtlijn De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
Huisv_C.01.02 De Huisvesting-IV organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten. Controle richtlijn Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
Huisv_C.01.03 De Huisvesting-IV organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. Controle richtlijn Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
Huisv_C.01.04 De Huisvesting-IV organisatie beschikt over richtlijnen voor het evalueren van de Huisvesting-RC-organisatie. Controle richtlijn Beschikking over richtlijnen voor evalueren van de Huisvesting-RC-organisatie
Huisv_C.01.05 De Huisvesting-IV organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen vastgelegd. Controle richtlijn Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
Huisv_C.02.01 De verantwoordelijke functionaris laat het vastgoed (o.a. gebouwen) op alle locaties van de Huisvesting van Rekencentra onderhouden op basis van een vastgesteld onderhoudsplan. Onderhoudsplan Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan
Huisv_C.02.02 Voor kwetsbare voorzieningen (binnen of buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. Onderhoudsplan Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
Huisv_C.03.01 Het BCSM is beschreven, goedgekeurd door het management en:
  • toegekend aan een verantwoordelijke functionaris;
  • behandeld onder nadere: planning, uitvoering van scope, rapporte-ren en bespreken van verbetervoorstellen.
Continuiteitsmanagement Het BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management
Huisv_C.03.02 De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. Continuiteitsmanagement Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
Huisv_C.03.03 Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signalerings-rapportage t.a.v. continuïteit. Continuiteitsmanagement Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
Huisv_C.03.04 De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd. Continuiteitsmanagement De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
Huisv_C.03.05 Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. Continuiteitsmanagement Realisatie van afdoende uitwijkfaciliteiten
Huisv_C.03.06 Gebruik van de uitwijkfaciliteit(en) en het draaiboek wordt periodiek op correctheid en doelmatigheid getest. Continuiteitsmanagement Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
Huisv_C.03.07 De Huisvesting-IV organisatie is verantwoordelijk voor het beheer, periodiek testen, en controleren van uitwijkvoorzieningen. Continuiteitsmanagement Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
Huisv_C.07.01 De samenhang van de processen wordt door middel van een processtructuur vastgelegd. Huisvesting-IV Beheersingsorganisatie De samenhang van de processen wordt door middel van een processtructuur vastgelegd
Huisv_C.07.02 De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Huisvesting-IV Beheersingsorganisatie Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk
Huisv_C.07.03 De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. Huisvesting-IV Beheersingsorganisatie Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd
Huisv_C.07.04 De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. Huisvesting-IV Beheersingsorganisatie Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd
Huisv_U.01.01 Personeel behoort alleen op grond van ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten in een beveiligd gebied. Richtlijnen gebieden en ruimten Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
Huisv_U.01.02 Zonder toezicht werken in beveiligde gebieden behoort te worden vermeden, zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. Richtlijnen gebieden en ruimten In beveiligde gebieden wordt slechts onder toezicht gewerkt
Huisv_U.01.03 Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd. Richtlijnen gebieden en ruimten Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd
Huisv_U.01.04 Foto-, video-, audio- of andere opnameapparatuur, zoals camera’s in mobiele apparatuur, behoort, tenzij goedgekeurd, niet te worden toegelaten. Richtlijnen gebieden en ruimten Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
Huisv_U.01.05 Bezoeker tot kritieke faciliteiten:
  • worden slechts toegang geboden voor vastgestelde doeleinden;
  • worden gemonitord bij aankomst en vertrek;
  • verplicht badges te dragen;
  • worden continu onder toezicht onderworpen;
  • worden bewust gemaakt en krijgen instructie over de beveiliging van de omgeving en noodprocedures;
  • worden aangegeven dat het gebruik van audio en fotomateriaal niet is toegestaan.
Richtlijnen gebieden en ruimten Richtlijnen m.b.t. bezoek tot kritieke faciliteiten
Huisv_U.02.01 Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2). Bedrijfsmiddelen inventaris Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
Huisv_U.02.02 Een RC- organisatie behoort bedrijfsmiddelen voor de Huisvesting-RC die relevant zijn in de levenscyclus van informatie te identificeren en hun belang te documenteren.

De levenscyclus van informatie behoort aanmaak, verwerking, opslag. overdracht, verwijdering en vernietiging te omvatten.

Documentatie behoort te worden onderhouden in speciale of bestaande inventarislijsten indien van toepassing.
Bedrijfsmiddelen inventaris Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-RC
Huisv_U.02.03 De inventarislijst van de bedrijfsmiddelen behoort nauwkeurig, actueel, consistent en in overeenstemming met andere inventarisoverzichten te zijn. Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
Huisv_U.02.04 Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2). Bedrijfsmiddelen inventaris Eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekend
Huisv_U.02.05 Inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt en kunnen ook voor andere doeleinden vereist zijn, zoals om gezondheids- en veiligheids-, verzekerings- of financiële (beheer van bedrijfsmiddelen) redenen. Bedrijfsmiddelen inventaris Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
Huisv_U.03.01 Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende voorschriften:
  1. het Kader Rijkstoegangsbeleid (2010);
  2. het Normenkader Beveiliging Rijkskantoren (NkBR 2015);
  3. het Beveiligingsvoorschrift Rijk (BVR 2013).
Fysieke zonering Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften
Huisv_U.03.02 Beveiligingszones worden gedefinieerd en de locatie en sterkte van elke hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. Fysieke zonering Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen
Huisv_U.03.03 Informatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. Fysieke zonering Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
Huisv_U.03.04 Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als personen zonder begeleiding geen zichtbaar identificatiemiddel dragen. Fysieke zonering Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
Huisv_U.03.05 Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord. Fysieke zonering Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord
Huisv_U.04.01 Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn. Beveiligingsfaciliteiten ruimten Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
Huisv_U.04.02 Faciliteiten moeten zijn geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn. Voor zover van toepassing behoort elektromagnetische afscherming ook te worden overwogen. Beveiligingsfaciliteiten ruimten Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
Huisv_U.04.03 Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., moeten niet vrij toegankelijk te zijn voor onbevoegden. Beveiligingsfaciliteiten ruimten Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
Huisv_U.04.04 Sleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4). Beveiligingsfaciliteiten ruimten Sleutelbeheer is ingericht op basis van een sleutelplan
Huisv_U.05.01 Nutsvoorzieningen dienen:
  • in overeenstemming te zijn met de technische beschrijving van de fabrikant en de lokale wettelijke eisen;
  • regelmatig te worden onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met an-dere nutsvoorzieningen;
  • regelmatig te worden geïnspecteerd en getest om te waarborgen dat ze correct functioneren;
  • zo nodig, te worden voorzien van een alarmsysteem om disfunctio-neren op te sporen;
  • voor zover nodig, te beschikken over meervoudige voeding met een verschillende fysieke route.
Nutsvoorzieningen De nutsvoorzieningen
Huisv_U.05.02 Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn. Nutsvoorzieningen Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
Huisv_U.05.03 Nabij nooduitgangen of ruimten waar apparatuur aanwezig is, moeten noodschakelaars en knoppen zijn waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld. Nutsvoorzieningen Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
Huisv_U.05.04 Er is redundantie voor de netwerkverbinding verkregen via meerdere routes vanaf meer dan één aanbieder. Nutsvoorzieningen Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
Huisv_U.06.01 Apparatuur, informatie verwerkende- en opslag faciliteiten worden zodanig geplaats dat onbevoegden geen toegang toe hebben en beveiligd tegen onbevoegde kennisname van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. Apparatuur positionering Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
Huisv_U.06.02 Apparatuur worden beschermd tegen bedreiging buitenaf (vb: overspanningen, blikseminslag, diefstal, weglekken van informatie door EM straling). Apparatuur positionering Apparatuur wordt beschermd tegen externe bedreigingen
Huisv_U.07.01 Apparatuur wordt onderhouden in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. Onderhoud Apparatuur Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
Huisv_U.07.02 Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren. Onderhoud Apparatuur Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren
Huisv_U.07.03 Reparatie en onderhoud van apparatuur (hardware) vindt op locatie plaats door bevoegd personeel, tenzij er geen data op het apparaat aanwezig of toegankelijk is (R). Onderhoud Apparatuur Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
Huisv_U.07.04 Er worden registraties bijgehouden van alle vermeende en daadwerkelijke fouten, en van al het preventieve en correctieve onderhoud. Onderhoud Apparatuur Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
Huisv_U.07.05 Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd. Onderhoud Apparatuur Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
Huisv_U.07.06 Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat er niet is geknoeid wordt met de apparatuur en dat deze niet slecht functioneert. Onderhoud Apparatuur Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
Huisv_U.08.01 Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat. Apparatuur verwijdering Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
Huisv_U.08.02 Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen: inleveren, verwijderen, vernietigen en afvoeren:
  • Inleveren - Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd;
  • Verwijderen - De beheerorganisatie zorgt voor een verantwoorde ver-wijdering van data zodat er geen data op het apparaat aanwezig of toe-gankelijk is;
  • Vernietigen - Als verwijdering niet mogelijk is wordt de data vernietigd;
  • Afvoer - De beheerorganisatie zorgt voor een verantwoorde afvoer. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
Apparatuur verwijdering Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
Huisv_U.09.01 In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen volgens een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject. Bedrijfsmiddelen verwijdering Het toestemmingstrajec voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
Huisv_U.09.02 Medewerkers en gebruikers van externe partijen die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen moeten te worden geïdentificeerd. Bedrijfsmiddelen verwijdering Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
Huisv_U.09.03 Aan de afwezigheid van bedrijfsmiddelen moet tijdsgrenzen worden gesteld en geverifieerd te worden of ze worden teruggebracht. Bedrijfsmiddelen verwijdering Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
Huisv_U.09.04 Voor zover nodig en gepast moet het meenemen en de terugkeer van bedrijfsmiddelen te worden geregistreerd. Bedrijfsmiddelen verwijdering Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
Huisv_U.09.05 De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, behoort te worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd. Bedrijfsmiddelen verwijdering Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
Huisv_U.10.01 Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten (R). Laad en los locatie Een procedure beschrijft het omgaan met verdachte brieven en pakketten
Huisv_U.10.02 Toegang tot een laad- en loslocatie van buiten het gebouw behoort te worden beperkt tot geïdentificeerd en bevoegd personeel. Laad en los locatie Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel
Huisv_U.10.03 De laad- en loslocatie behoort zo te zijn ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. Laad en los locatie Eisen aan de laad- en loslocatie
Huisv_U.10.04 De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn. Laad en los locatie De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn
Huisv_U.10.05 Inkomende materialen moeten bij binnenkomst op de locatie te worden geregistreerd in overeenstemming met de procedures voor bedrijfsmiddelenbeheer. Laad en los locatie Inkomende materialen worden bij binnenkomst op de locatie geregistreerd
Huisv_U.10.06 Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden. Laad en los locatie Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden
Huisv_U.10.07 Inkomende materialen moeten worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijdens het transport. Indien vervalsing wordt ontdekt behoort dit direct aan beveiligingspersoneel te worden gemeld. Laad en los locatie Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing
Huisv_U.11.01 Kabels worden bij voorkeur ondergronds aangelegd. Bekabeling Kabels worden bij voorkeur ondergronds aangelegd
Huisv_U.11.02 De huisvesting van de Rekencentra is ingericht op basis van de volgende “Best Practices”:
  • TIA-942 - Telecommunication Infrastructure Standard for Data Centers;
  • NEN-EN 50600 - NPR5313:2014.
Bekabeling De huisvesting van de Rekencentra is ingericht op basis van “Best Practices”
Huisv_U.11.03 Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. Bekabeling Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden
Huisv_U.12.01 Er zijn architectuurvoorschriften voor de fysieke inrichting van Huisvesting-IV voorzieningen die actief worden onderhouden. Huisvesting-IV architectuur De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden
Huisv_U.12.02 De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd. Huisvesting-IV architectuur De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd
Huisv_U.12.03 Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aange-past);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastge-steld/geaccordeerd.
Huisvesting-IV architectuur Aan het architectuurdocument gestelde eisen
LTV_B.01.01 Het Toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet en regelgeving en het informatiebeveiligingsbeleid;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
Toegangbeveiliging(voorzienings)beleid Eisen aan het Toegangvoorzieningsbeleid
LTV_B.01.02 Bij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. Toegangbeveiliging(voorzienings)beleid Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen
LTV_B.01.03 Voor veelvoorkomende rollen in de organisaties worden standaard gebruikersprofielen met toegangsrechten toegepast. Toegangbeveiliging(voorzienings)beleid Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen
LTV_B.01.04 Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need to use principes. Toegangbeveiliging(voorzienings)beleid Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes
LTV_B.01.05 Het autorisatiebeheer is procesmatig ingericht. (Bijv. aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). Toegangbeveiliging(voorzienings)beleid Het autorisatiebeheer is procesmatig ingericht
LTV_B.02.01 Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager). Eigenaarschap van bedrijfsmiddelen Eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen
LTV_B.02.02 De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren t.a.v. de inrichting van het toegangbeveiligingssysteem. Eigenaarschap van bedrijfsmiddelen De eigenaar heeft de beschikking over noodzakelijke kennis middelen en mensen en autoriteit
LTV_B.02.03 De eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s t.a.v toegangbeveiligingssysteem o.b.v InformatieBetekenisvolle gegevens. lifecycle;
  • het ondersteunen van beveiligingsreviews.
Eigenaarschap van bedrijfsmiddelen Verantwoordelijkheidvoor de beveiliging van de logische componenten
LTV_B.02.04 De eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
Eigenaarschap van bedrijfsmiddelen Verantwoordelijkheid voor de beveiliging van de fysieke componenten
LTV_B.03.01 De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, Proceseigenaar, Autorisatiebeheerder en CISO, Beveiligingsambtenaar (BVA). Beveiligingsfunctie toegangbeveiliging Eisen aan de rollen binnen de beveiligingsfunctie
LTV_B.03.02 De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem. Beveiligingsfunctie toegangbeveiliging Periodieke evluatie van het toegangbeveiligingssysteem
LTV_B.04.01 Authenticatie-informatie wordt beschermd zijn door middel van versleuteling. Cryptografie bij authenticatie Authenticatie-informatie is versleuteld
LTV_B.04.02 In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt;

f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld.
Cryptografie bij authenticatie Uitwerking van het cryptografiebeleid voor authenticatie
LTV_B.04.03 Crypografische toepassingen voldoen aan passende standaarden. Cryptografie bij authenticatie Eisen aan Crypografische toepassingen voldoen aan passende standaarden.
LTV_B.05.01 De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. Beveiligingsorganisatie Positie van Beveiligingsorganisatie
LTV_B.05.02 De belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Beveiligingsorganisatie Organisatieschema met de belangrijkste functionarissen
LTV_B.05.03 De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. Beveiligingsorganisatie Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie
LTV_B.05.04 De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. Beveiligingsorganisatie De Autorisatiematrix met de beschrijving van de taken verantwoordelijkheden en bevoegdheden
LTV_B.05.05 De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld. Positie van Beveiligingsorganisatie De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
LTV_B.05.06 De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. Organisatieschema met de belangrijkste functionarissen De frequentie en de eisen voor de inhoudelijke rapportages
LTV_B.06.01 Op basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
  • de uniformiteit en flexibiliteit van authenticatiemechanismen;
  • de rechten voor beheeraccounts;
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen;
  • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
Toegangbeveiliging(voorzienings)architectuur Vormgeving van de technische inrichting van de toegangbeveiliging
LTV_B.06.02 De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. Toegangbeveiliging(voorzienings)architectuur Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur
LTV_B.06.03 De IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven. Toegangbeveiliging(voorzienings)architectuur Het beschrijven van de IAA beveiligingsmaatregelen
LTV_B.06.04 De onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven. Toegangbeveiliging(voorzienings)architectuur Beschrijving van de onderlinge samenhang tussen technische componenten
LTV_C.01.01 De organisatie beschikt over een beschrijving van de relevante controleprocessen. Toegangbeveiliging beoordelingsprocedure De organisatie beschikt over een beschrijving van de relevante controleprocessen
LTV_C.01.02 De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht. Bijvoorbeeld: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie. Toegangbeveiliging beoordelingsprocedure De procedures hebben betrekking op conform vastgestelde cyclus ingerichte controleprocessen
LTV_C.01.03 De procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moet worden om de juiste acties te laten initiëren. Toegangbeveiliging beoordelingsprocedure Rapportage van controle-resultaten aan het management ter initiatie van de juiste acties
LTV_C.02.01 Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld. Beoordeling toegangsrechten Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
LTV_C.02.02 Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld. Beoordeling toegangsrechten Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
LTV_C.02.03 Autorisaties voor speciale toegangsrechten worden vaker beoordeeld. Beoordeling toegangsrechten Autorisaties voor speciale toegangsrechten worden vaker beoordeeld
LTV_C.02.04 De beoordelingsrapportage bevat verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. Beoordeling toegangsrechten Beoordelingsrapportage bevat vermeldimg van systemen met kwetsbaarheden en zwakheden
LTV_C.02.05 De opvolging van bevindingen is gedocumenteerd. Beoordeling toegangsrechten De opvolging van bevindingen is gedocumenteerd
LTV_C.02.06 Het beoordelen vind plaats op basis van een formeelproces. (Zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen). Beoordeling toegangsrechten Het beoordelen vind plaats op basis van een formeelproces
LTV_C.02.07 Een functionaris aangestels als verantwoordelijke voor het controleren van organisatorische en de technische inrichting van toegangbeveiliging. Beoordeling toegangsrechten Beleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging
LTV_C.02.08 De taken en verantwoordelijkheden van functionarissen die betrokken zijn bij het controleproces zijn vastgelegd. Beoordeling toegangsrechten Taken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd
LTV_C.03.01 Een logregel bevat minimaal:
  • een tot een natuurlijk persoon herleidbare gebruikersnaam of ID;
  • de gebeurtenis;
  • waar mogelijk de identiteit van het werkstation of de locatie;
  • het object waarop de handeling werd uitgevoerd;
  • het resultaat van de handeling;
  • de datum en het tijdstip van de gebeurtenis.
Gebeurtenissen registreren Eisen aan de autorisatie-logregels
LTV_C.03.02 Een logregel bevat in geen geval gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers, enz.). Gebeurtenissen registreren Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
LTV_C.03.03 De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC middels detectie-voorzieningen, die worden ingezet op basis van een risico-inschatting en de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd. Gebeurtenissen registreren De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC
LTV_C.03.04 Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen. Gebeurtenissen registreren Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld
LTV_C.03.05 De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. Gebeurtenissen registreren De SIEM en/of SOC hebben heldere regels over incidentrapportage aan verantwoordelijk management
LTV_C.03.06 Bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens wordt, zoals gesteld vanuit het AVG, een verwerkingsactiviteitenregister bijgehouden. Gebeurtenissen registreren Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteitenregister bijgehouden
LTV_C.03.07 De logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Gebeurtenissen registreren De logbestanden worden gedurende een overeengekomen periode bewaard
LTV_C.04.02 De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Toegangbeveiliging beheers(ings)organisatie Belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
LTV_C.04.03 De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. Toegangbeveiliging beheers(ings)organisatie De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd
LTV_C.04.04 De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. Toegangbeveiliging beheers(ings)organisatie De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd
LTV_U.01.01 Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers. Registratieprocedure “Registratie van gebruikers” Sluitende formele registratie- en afmeldprocedure voor alle gebruikers.
LTV_U.01.02 Het gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar. Registratieprocedure “Registratie van gebruikers” Gebruik van groepsaccounts niet toegestaan tenzij door proceseigenaar gemotiveerd en vastgelegd
LTV_U.01.03 De procedures beschrijven alle fasen van de levenscyclus van de gebruikerstoegang en de relaties tussen de autorisatieprocessen (eerste registratie en beëindiging). Registratieprocedure “Registratie van gebruikers” Relaties tussen autorisatieprocessen en levenscyclus-fasen voor toegang in procedures beschreven
LTV_U.01.04 De aanvraag van autorisaties op het gebruik van informatie systemen en de toegewezen autorisatieniveau ’s worden gecontroleerd. Registratieprocedure “Registratie van gebruikers” Controle van aanvraag en toegewezen autorisatieniveau ’s voor gebruik van informatiesystemen
LTV_U.01.05 Gebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd tot het gebruik van applicaties. Registratieprocedure “Registratie van gebruikers” Gebruikers op basis van juiste functierollen geautoriseerd tot het gebruik van applicaties
LTV_U.01.06 Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes. Registratieprocedure “Registratie van gebruikers” Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes
LTV_U.01.07 Een bevoegdhedenmatrix is beschikbaar op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van zijn taken. Registratieprocedure “Registratie van gebruikers” Tot voor uitoefening van taken benodigde en in bevoegdhedenmatrix beschreven privileges toegang
LTV_U.02.01 Toegang tot informatiesystemen wordt uitsluiten verleend na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris. Toegangsverlening procedure Slechts na autorisatie door een bevoegde functionaris.wordt toegang verleend tot informatiesystemen
LTV_U.02.02 Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Toegangsverlening procedure Functiescheiding en toegangsrechten worden bepaald o.b.v. risicoafweging
LTV_U.02.03 Uit een actueel mandaatregister blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel functieprofielen. Toegangsverlening procedure Het mandaatregister is actueel en toont wie bevoegdheden heeft
LTV_U.03.01 Als vanuit een onvertrouwde zone toegang wordt verleend tot een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. Inlogprocedures Toegang tot een vertrouwde zone wordt slechts verleend o.b.v. minimaal two-factor authenticatie
LTV_U.03.02 Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Inlogprocedures Voorafgaand aan toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaak
LTV_U.03.03 De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend. Inlogprocedures De risicoafweging bepaalt onder welke voorwaarden leveranciers toegang krijgen
LTV_U.04.01 Er is een formeel proces voor het aanvragen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken (of aanpassen), verwijderen en archiveren van autorisaties. Autorisatieproces Het autorisatie beheerproces
LTV_U.04.02 Het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegd functionaris. Autorisatieproces O.b.v. een formele autorisatieopdracht van een bevoegd functionaris worden autorisaties toegekend
LTV_U.04.03 De activiteiten met betrekking tot aanvragen, verwerking en afmelden van het autorisatieverzoek (succes / foutmelding) worden vastgelegd en gearchiveerd. Autorisatieproces Vastleggen en archiveren van aanvraag verwerken en afmelden van autorisatieverzoek-activiteiten
LTV_U.04.04 Door de verantwoordelijke worden periodiek controles op alle uitgegeven autorisaties uitgevoerd. Autorisatieproces Periodiek worden controles uitgevoed op alle uitgegeven autorisaties
LTV_U.04.05 Bij beëindigen van dienstverband worden toegangsrechten tot informatie en informatieverwerkende faciliteiten ingetrokken. Autorisatieproces Intrekken toegangsrechten tot informatie en faciliteiten bij beëindigen dienstverband
LTV_U.04.06 De verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband. Autorisatieproces Wijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten
LTV_U.04.07 Bij wijzigingen in dienstverband wordt in verband met toegangsrechten het contract met de desbetreffende medewerker aangepast. Autorisatieproces I.v.m. toegangsrechten moet het contract bij wijziging van het dienstverband worden aangepast
LTV_U.04.08 Toegangsrechten tot informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten worden ingetrokken voordat de dienstverband eindigt of wijzigen afhankelijk van risicofactoren. Autorisatieproces Toegangsrechten worden gewijzigde risicofactoren en voordat het dienstverband wijzigt ingetrokken
LTV_U.05.01 Als geen gebruik wordt gemaakt van two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. is de wachtwoordlengte minimaal 8 posities en complex van samenstelling; vanaf een wachtwoordlengte van 20 posities vervalt de complexiteitseis.

Het aantal inlogpogingen is maximaal 10.

De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen is vastgelegd.
Wachtwoorden beheer Wachtwoordlengte complexiteit toegestane inlogpogingen en blokkadetijdsduur
LTV_U.05.02 In situaties waar geen two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd. Wachtwoorden beheer Waar geen two-factor authenticatie mogelijk is minimaal 1/2-jaarlijks vernieuwen van wachtwoord
LTV_U.05.03 Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd. Wachtwoorden beheer Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd
LTV_U.05.04 Initiële wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van een werkdag en moeten bij het eerste gebruik worden gewijzigd. Wachtwoorden beheer Maximale geldigheidsduur en wijzihgen bij het eerste gebruik van initiële en geresette wachtwoorden
LTV_U.05.05 Wachtwoorden die voldoen aan het wachtwoordbeleid hebben een maximale geldigheidsduur van een jaar. Daar waar het beleid niet toepasbaar is, geldt een maximale geldigheidsduur van 6 maanden. Wachtwoorden beheer Geldigheidsduur van wachtwoordbeleid-conforme wachtwoorden is max. 1 jaar overige 6 maanden
LTV_U.06.01 Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging en richtlijnen en procedures. Speciale toegangsrechten beheer Speciale toegangsrechten worden toegewezen o.b.v. risico afweging richtlijnen en procedures
LTV_U.06.02 Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need to know , need to use). Speciale toegangsrechten beheer Toegang met speciale toegangsrechten is beperkt voor zover noodzakelijk voor de taakuitoefening
LTV_U.06.03 Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en beheerfuncties. Speciale toegangsrechten beheer Toegang is beperkt tot tot de noodzakelijk geachte set van applicaties en beheerfuncties
LTV_U.06.04 De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld. Speciale toegangsrechten beheer De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld
LTV_U.07.01 Op basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Functiescheiding Toepassen van functiescheiding en toegangsrechten is bepaald o.b.v. risicoafweging
LTV_U.07.02 Niemand in een organisatiede (interne en externe) partijen die met elkaar verbonden zijn om de gegevensverwerking tot stand te brengen, bijvoorbeeld overheidsinstanties en de samenwerkende partners in een keten en bijvoorbeeld ook commerciële partners aan wie een verwerkersovereenkomst wordt voorgelegd. of proces mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden. Functiescheiding Niemand mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden
LTV_U.07.03 Rollen, taken en verantwoordelijkheden zijn vastgesteld conform de gewenste functiescheidingen. Functiescheiding Rollen taken en verantwoordelijkheden zijn conform de gewenste functiescheidingen vastgesteld
LTV_U.07.04 Er is een scheiding tussen beheertaken en overige gebruikstaken, waarbij onder andere:
  • Gebruikstaken alleen mogelijk zijn wanneer ingelogd is als standaard gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem;
  • Beheertaken alleen uitgevoerd kunnen worden met een beheerders account (gebruikersnaam en wachtwoord);
  • Controletaken worden uitgevoerd door specifieke functionarissen.
Functiescheiding Sheiding is aangebracht tussen beheertaken en overige gebruikstaken
LTV_U.07.05 Verantwoordelijkheden voor beheer en wijziging van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol. Functiescheiding Verantwoordelijkheden voor gegevensbeheer en -wijziging eenduidig aan één specifieke rol toegewezen
LTV_U.07.06 Maatregelen zijn getroffen waarmee onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen of voorkomen. Functiescheiding Waarnemen en voorkomen van onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen
LTV_U.08.01 Elke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode. Geheime authenticatie-informatie (IA) Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode
LTV_U.08.02 Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel. Geheime authenticatie-informatie (IA) Min. vaststellen van identiteit en recht op authenticatiemiddel bij uitgifte van authenticatiemiddelen
LTV_U.08.03 Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden. Geheime authenticatie-informatie (IA) Authenticartie bij intern gebruik van IT-voorzieningen min. o.b.v. wachtwoorden
LTV_U.08.04 Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie geheim te houden. Geheime authenticatie-informatie (IA) Verplichte geheimhoudingsverklaring van gebruikersals onderdeel van de arbeidsvoorwaarden
LTV_U.08.05 Gebruikers behoren na ontvangst van geheime (tijdelijke) authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie te bevestigen en te wijzigen. Geheime authenticatie-informatie (IA) Bevestigen en wijzigen van ontvangst van geheime (tijdelijke) authenticatie-informatie
LTV_U.08.06 Tijdelijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie worden op beveiligde wijze en veilige kanalen verstrekt. Geheime authenticatie-informatie (IA) Beveiligd verstrekken van tijdelijke geheime authenticatie-informatie
LTV_U.08.07 Geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie is uniek toegekend aan een persoon en voldoet aan specifieke samenstelling van tekens (niet gemakkelijk) te raden. Geheime authenticatie-informatie (IA) Niet germakkelijk e raden geheime authenticatie-informatie is uniek toegekend aan een persoon
LTV_U.09.01 Maatregelen zijn genomen die het fysiek en/of logisch isoleren van gevoelige informatie waarborgen. Autorisatie Maatregelen ter waarborging van fysiek en/of logisch isoleren van gevoelige informatie
LTV_U.09.02 Gebruikers kunnen alleen die informatie inzien en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. die ze nodig hebben voor de uitoefening van hun taak. Autorisatie Gebruikers kunnen alleen informatie verwerken welke nodig is voor uitoefening van hun taken
LTV_U.09.03 Beheerdersfuncties in toepassingen hebben extra bescherming om misbruik van rechten te voorkomen. Autorisatie Beheerdersfuncties in toepassingen zijn voorzien van hebben extra beschermin
LTV_U.09.04 Het toegangsbeleid geeft o.a. aan dat toegang tot informatie en functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden. Autorisatie Het toegangsbeleid schrijft voor dat toegang wordt beperkt o.b.v. rollen en verantwoordelijkheden
LTV_U.09.05 Toegangsbeperking is in overeenstemming met het toegangsbeleid van de organisatie. Autorisatie Toegangsbeperking is ingericht en functioneert in overeenstemming met het toegangsbeleid
LTV_U.10.01 Door een verantwoordelijke is formeel vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer. Autorisatievoorzieningsfaciliteiten Formeel is vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer
LTV_U.10.02 Alle interne en externe gebruikers worden vóór de toegang tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. Autorisatievoorzieningsfaciliteiten Toegang aan interne en externe gebruikers na registratie in het personeelinformatiesysteem
LTV_U.10.03 Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. Autorisatievoorzieningsfaciliteiten Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd
LTV_U.10.04 Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren. Autorisatievoorzieningsfaciliteiten Applicaties hebben functionaliteit om autorisaties toe te kennen in te zien en te beheren
LTV_U.11.01 Toegang tot beveiligingszones of gebouwen waar zich resources bevinden is slechts toegankelijk voor personen die hiertoe geautoriseerd zijn. Fysieke toegangbeveiliging Beveiligingszones of gebouwen slechts toegankelijk voor hiertoe geautoriseerde personen
LTV_U.11.02 Aankomst en vertrektijden van bezoekers worden geregistreerd. Fysieke toegangbeveiliging Registatie van aankomst en vertrektijden van bezoekers.
LTV_U.11.03 Medewerkers en contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.. Fysieke toegangbeveiliging Medewerkers en contractanten en externen dragen zichtbare identificatie.
LTV_U.11.04 In geval van concrete beveiligingsrisico’s wordt conform onderlinge afspraken een waarschuwing verzonden aan de relevante collega’s binnen het beveiligingsdomein. Fysieke toegangbeveiliging Verzenden van waarschuwingen bij concrete beveiligingsrisico’s aan de relevante collega’s
LTV_U.11.05 Hiervoor wordt nog een tekst aangeleverd Fysieke toegangbeveiliging Uitwisseling van persoonsgerelateerde beveiligingsinformatie
LTV_U.11.06 Personeel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk, beperkte toegang tot beveiligde gebieden of faciliteiten, die vertrouwelijke informatie bevatten te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord. Fysieke toegangbeveiliging Extern personeel krijgt na formele toestemming en voor zover noodzakelijk beperkte toegang
PRIV_B.01.01.01 Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG art. 5 lid 2.. Privacy Beleid geeft duidelijkheid en sturing Privacybeleid; duidelijkheid inzake verantwoordingsplicht
PRIV_B.01.01.02 Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren. Privacy Beleid geeft duidelijkheid en sturing Privacybeleid als cyclisch proces
PRIV_B.01.01.03 Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens. Privacy Beleid geeft duidelijkheid en sturing Privacybeleid; vastgesteld en gecommuniceerd
PRIV_B.01.01.04 De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden. Privacy Beleid geeft duidelijkheid en sturing Privacybeleid i.r.t. wet- en regelgeving
PRIV_B.01.01.05 In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving. Privacy Beleid geeft duidelijkheid en sturing Privacybeleid i.r.t. sectorspecifieke wetgeving.
PRIV_B.01.01.06 In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de Avg nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan wordt gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor de Gegevensbescherming (FG)AVG art. 25 en art. 64 lid 2. Privacy Beleid geeft duidelijkheid en sturing Privacybeleid i.r.t. gedragscode
PRIV_B.01.02.01 Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform B.03, §2.1.3 toepassen van Privacy by Design, het uitvoeren van GEB's en het gebruik van standaard instellingen. Privacy Beleid geeft duidelijkheid en sturing Invulling geven aan de wettelijke beginselen- beschrijving van privacy by design
PRIV_B.01.02.02 Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform U.01, §2.2.1, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet op een met die doeleinden onverenigbare wijze worden verwerkt. Privacy Beleid geeft duidelijkheid en sturing Invulling geven aan de wettelijke beginselen - beschrijving van de doeleinden voor het verzamelen
PRIV_B.01.02.03 Beschreven is hoe gewaarborgd wordt dat, conform U.01, §2.2.1, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt. Privacy Beleid geeft duidelijkheid en sturing Invulling geven aan de wettelijke beginselen- beschrijven van minimalisatie van verwerken
PRIV_B.01.02.04 Beschreven is hoe gewaarborgd wordt dat, conform U.03, §2.2.3, de persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn onverwijld worden gewist of worden gerectificeerd. Privacy Beleid geeft duidelijkheid en sturing Invulling geven aan de wettelijke beginselen- beschrijven van juistheid en actualiteit van de gegevens
PRIV_B.01.02.05 Beschreven is hoe gewaarborgd wordt dat, conform U.04, §2.2.4, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe de verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Privacy Beleid geeft duidelijkheid en sturing Invulling geven aan de wettelijke beginselen- beschrijven van passende technische en organisatorische maatregelen
PRIV_B.01.02.06 Beschreven is hoe gewaarborgd wordt dat, conform U.05, §2.2.5 en C.02, §2.3.2, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen. Privacy Beleid geeft duidelijkheid en sturing Invulling geven aan de wettelijke beginselen- beschrijven van transparante verwerking
PRIV_B.01.02.07 Beschreven is hoe gewaarborgd wordt dat, conform U.06, §2.2.6, persoonsgegevens niet langer worden bewaard dan waarvoor zij worden verwerkt noodzakelijk is en in welke vorm de opslag moet plaatsvinden zodat na deze periode de betrokkenen niet langer zijn te identificeren. Privacy Beleid geeft duidelijkheid en sturing Invulling geven aan de wettelijke beginselen- beschrijven van maximale bewaartermijnen
PRIV_B.01.02.08 Beschreven is hoe gewaarborgd wordt dat, conform U.07, §2.2.7, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd zodat aangetoond kan worden dat ook bij de doorgifte aan de Avg wordt voldaan en wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd. Privacy Beleid geeft duidelijkheid en sturing Invulling geven aan de wettelijke beginselen- beschrijven van garanties bij doorgifte
PRIV_B.01.02.09 Beschreven is hoe gewaarborgd wordt hoe, conform C.01. §2.3.1, verantwoor-delijken aantonen dat gedurende en na de verwerking de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register , conform U.02 §2.2.2, en een dossier kan worden aangetoond. Privacy Beleid geeft duidelijkheid en sturing Invulling geven aan de wettelijke beginselen- beschrijven van behoorlijke verwerking
PRIV_B.01.02.10 Beschreven is hoe gewaarborgd wordt dat, C.03, §2.3.3, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en / of vrijheden van natuurlijke personen. Privacy Beleid geeft duidelijkheid en sturing Invulling geven aan de wettelijke beginselen- beschrijven van informeren bij inbreuk
PRIV_B.02.01.01 De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is ten alle tijde duidelijk wie deze verantwoordelijke is. Organieke inbedding Verdeling taken en verantwoordelijkheden
PRIV_B.02.01.02 De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van het volgende situaties aan de orde is:
  • het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  • er is stelselmatige observatie op grote schaal vereist: een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  • de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd betreffen bijzondere categorieën, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, conform U.01/04 of Avg art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of Avg art. 10.
In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkings-verantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een Functionaris voor de Gegevensbescherming hebben aangewezen.
Organieke inbedding Functionaris Gegevensbescherming
PRIV_B.02.01.03 Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst. Organieke inbedding Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten
PRIV_B.02.01.04 De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt. Organieke inbedding Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix
PRIV_B.02.02.01 Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan. Organieke inbedding Benodigde middelen
PRIV_B.02.03.01 De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de Functionaris voor de Gegevensbescherming zijn vastgesteld en vastgelegd. Organieke inbedding Rapporteringsmiddelen
PRIV_B.03.01.01 Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een GEB uitgevoerdAVG art. 35 lid 1.. Risicomanagement- Privacy by Design en de GEB Het beoordelen van de privacyrisico's- hoog risico
PRIV_B.03.01.02 Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een GEB diens advies in. Risicomanagement- Privacy by Design en de GEB Het beoordelen van de privacyrisico's- advies van FG
PRIV_B.03.01.03 Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (GEB) wordt uitgevoerdAVG Avg art. 35 lid 11.. Risicomanagement- Privacy by Design en de GEB Het beoordelen van de privacyrisico's- bij wijigingen
PRIV_B.03.01.04 Wanneer uit een GEB blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de APAVG art. 36.. Risicomanagement- Privacy by Design en de GEB Het beoordelen van de privacyrisico's- i.r.t. de GEB
PRIV_B.03.02.01 De maatregelen bestaan uit technische en organisatorische maatregelen. Risicomanagement- Privacy by Design en de GEB Passende maatregelen- technisch en organisatorisch
PRIV_B.03.02.02 Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG art. 25.. Risicomanagement- Privacy by Design en de GEB Passende maatregelen- passend
PRIV_B.03.02.03 De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffect beoordelingen (GEB's). Risicomanagement- Privacy by Design en de GEB Passende maatregelen- continuíteit
PRIV_B.03.02.04 De resultaten van de GEB worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen. Risicomanagement- Privacy by Design en de GEB Passende maatregelen- i.r.t. de GEB
PRIV_B.03.03.01 Van alle verwerkingen waarop een GEB is uitgevoerd is een GEB rapportage beschikbaar, waardoor bekend welke risico's bestaan en welke maatregelen genomen (moeten) worden. Risicomanagement- Privacy by Design en de GEB Aantonen onderkende risico's en maatregelen
PRIV_B.03.03.02 Een procesbeschrijving is aanwezig voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten. Risicomanagement- Privacy by Design en de GEB Aantonen uitvoeren GEB en opvolgen GEB uitkomsten
PRIV_B.03.03.03 De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de GEB's. Risicomanagement- Privacy by Design en de GEB Aantonen aanpak risicomanagement
PRIV_B.03.03.04 Een tot standaard verheven GEB toetsmodel wordt toegepast; dit model voldoet aan de in de Avg gestelde eisen. Risicomanagement- Privacy by Design en de GEB Aantonen toepassen GEB toetsmodel
PRIV_B.03.03.05 Privacy by Design en de GEB en maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. Risicomanagement- Privacy by Design en de GEB Aantonen privacy by design
PRIV_C.01.01.01 De verantwoordelijke en - indien aangesteld - de Functionaris voor de Gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd. Intern toezicht Evaluatie- controle op het voldoen aan wettelijke verplichtingen
PRIV_C.01.01.02 Als blijkt dat toch niet voldaan wordt aan de eisen van de Avg, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management. Intern toezicht Evaluatie- rapportage bij niet voldoen
PRIV_C.01.01.03 Er is een planning van activiteiten in het kader van het beoordelen van de compliancy. Intern toezicht Evaluatie- planning en compliancy
PRIV_C.01.02.01 Aangetoond is dat, conform U.01 §2.2.1, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt (doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.). Intern toezicht Rechtmatigheid aangetoond- welbepaalde- uitdrukkelijk omschreven en gerechtvaardigde doeleinden
PRIV_C.01.02.02 Aangetoond is dat, conform U.01 §2.2.1, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). Intern toezicht Rechtmatigheid aangetoond- toereikende verwerking
PRIV_C.01.02.03 Aangetoond is dat, conform U.01 §2.2.1, de verwerking ten aanzien van de betrokkene rechtmatig is (rechtmatigheid). Intern toezicht Rechtmatigheid aangetoond- rechtmatige verwerking
PRIV_C.01.02.04 Bij het aantonen van de rechtmatigheid (/02.03) wordt gebruik gemaakt van de overeenkomsten voor de doorgiften (conform U.07 §2.2.7. Intern toezicht Rechtmatigheid aangetoond- gebruik van overeenkomsten voor doorgifte
PRIV_C.01.02.05 Aangetoond is dat, conform U.04, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen). Intern toezicht Rechtmatigheid aangetoond- passende en gewaarborgde beveiliging
PRIV_C.01.02.06 Aangetoond is dat, conform U.03 §2.2.3, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (juistheid). Intern toezicht Rechtmatigheid aangetoond- juiste en actuele gegevens
PRIV_C.01.02.07 Aangetoond is dat, conform B.03 §2.1.3, de wijze van verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. ten aanzien van de betrokkene behoorlijk is (behoorlijkheid). Intern toezicht Rechtmatigheid aangetoond- behoorlijke verwerking
PRIV_C.01.02.08 Aangetoond is dat, conform U.05 §2.2.5 en C.02 en §2.3.2, de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is (transparantieInzicht in de werkwijze die de overheid hanteert.). Intern toezicht Rechtmatigheid aangetoond- transparante verwerking
PRIV_C.01.02.09 De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG art. 5 lid 2.. Intern toezicht Rechtmatigheid aangetoond- compliancy
PRIV_C.01.02.10 Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register conform U.02 §2.2.2. Intern toezicht Rechtmatigheid aangetoond- gebruik van gegevensregister
PRIV_C.02.01.01 De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van hem betreffende persoonsgegevens. Toegang gegevensverwerking voor betrokkenen Informatie over de verwerking van persoonsgegevens aan betrokkene
PRIV_C.02.01.02 De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG art. 15.:
  1. de verwerkingsdoeleinden;
  2. de betrokken categorieën van persoonsgegevens;
  3. de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
  4. indien mogelijk: de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of, als dat niet mogelijk is, de criteria om die termijn te bepalen;
  5. dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat zijn persoonsgegevens te rectificeren of te wissen of de verwerking van de hem betreffende persoonsgegevens te beperken, alsmede het recht tegen die verwerking bezwaar te maken;
  6. dat de betrokkene het recht heeft klacht in te dienen bij de AP;
  7. wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd;
  8. het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, inclusief nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
  9. bij doorgifte aan een derde land of een internationale organisatie en op verzoek van betrokkene de informatie over van de passende waarborgen;
  10. op verzoek van betrokkene een kopie van de persoonsgegevens die worden verwerkt.
Toegang gegevensverwerking voor betrokkenen Informatie over de verwerking van persoonsgegevens- inhoudelijkheid
PRIV_C.02.01.03 De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG art. 14 lid 4.. Toegang gegevensverwerking voor betrokkenen Informatie over de verwerking van persoonsgegevens- evt. afbreuk aan rechten cq. vrijheden van anderen
PRIV_C.02.02.01 De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG art. 12 lid 3 en 4., tenzij:
  • de complexiteit van de verzoeken en van het aantal verzoeken verlenging nodig maakt, en:
  • de informatie binnen een termijn van nog eens twee maanden worden verstrekt, en:
  • de betrokkene binnen één maand na ontvangst van het verzoek in kennis wordt gesteld van een dergelijke verlenging.
Toegang gegevensverwerking voor betrokkenen Tijdige verstrekking op verzoek van betrokkene
PRIV_C.02.02.02 Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
  • is dit de betrokkene onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek meegedeeld waarom het verzoek zonder gevolg is gebleven, en:
  • is de betrokkene geïnformeerd over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
Toegang gegevensverwerking voor betrokkenen Tijdig verstrekking bij geen gevolg op verzoek van betrokkene
PRIV_C.02.03.01 De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG art. 12 lid 1.. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG art. 12 lid 7.. Toegang gegevensverwerking voor betrokkenen Passende vorm- begrijpelijke en toegankelijke wijze van communicatie
PRIV_C.02.03.02 De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt. Toegang gegevensverwerking voor betrokkenen Passende vorm- gekozen van medium
PRIV_C.02.03.03 Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is. Toegang gegevensverwerking voor betrokkenen Passende vorm bij mondelinge verstrekking
PRIV_C.02.03.04 Het verstrekken van de informatie en het verstrekken van de communicatie is kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond, of: buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, mag de verwerkingsverantwoordelijke, ofwel:
  1. een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan, ofwel:
  2. weigeren gevolg te geven aan het verzoek.
Toegang gegevensverwerking voor betrokkenen Passende vorm- eventuele kosten
PRIV_C.02.03.05 De verantwoordelijke heeft gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden niet behouden, verkrijgen of verwerkt als er geen doeleinden, conform U.01 §2.2.1).zijn om nog persoonsgegevens van betrokkene te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.AVG art. 11.Als identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld. Toegang gegevensverwerking voor betrokkenen Passende vorm- gegevens ter identificatie
PRIV_C.02.04.01 De verantwoordelijke heeft geen informatie verstrekt als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG art. 23.. Toegang gegevensverwerking voor betrokkenen Specifieke uitzonderingsgrond
PRIV_C.03.01.01 Een datalek is, tenzij een uitzondering van toepassing is (zie /04.01) op basis van de Avg gemeld bij de AP. Meldplicht Datalekken Meldt een datalek- aan AP
PRIV_C.03.01.02 De melding aan de AP bevat ten minsteAVG art. 33a lid 3.:
  1. de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoons-gegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevens¬registers in kwestie;
  2. de naam en de contactgegevens van de Functionaris voor de Gegevens-bescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  3. de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  4. de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Meldplicht Datalekken Meldt een datalek- eisen aan de melding aan AP
PRIV_C.03.01.03 Een datalek is, tenzij een uitzonderingen van toepassing is (zie /04.02), gemeld aan de betrokkene. Meldplicht Datalekken Meldt een datalek- melding aan betrokkene
PRIV_C.03.01.04 In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoons¬gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten minste het volgende omschreven of meegedeeldAVG art. 33, lid 3b, 3c en 3d. :
  1. de naam en de contactgegevens van de Functionaris voor de Gegevens-bescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  2. de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  3. de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Meldplicht Datalekken Meldt een datalek- eisen aan de melding aan betrokkene
PRIV_C.03.01.05 De melding aan de betrokkene is in duidelijke en eenvoudige taal. Meldplicht Datalekken Meldt een datalek- in duidelijke en eenvoudige taal
PRIV_C.03.02.01 Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. Meldplicht Datalekken Termijn melden aan verwerkingsverantwoordelijke
PRIV_C.03.02.02 De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. Meldplicht Datalekken Termijn melden aan AP
PRIV_C.03.02.03 Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. Meldplicht Datalekken Termijn- motivering bij vertraagd melden
PRIV_C.03.02.04 De melding aan de betrokkene gebeurt onverwijld. Meldplicht Datalekken Termijn aan betrokkene
PRIV_C.03.03.01 De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Meldplicht Datalekken Documenteert de inbreuk- eisen aan de registratie
PRIV_C.03.03.02 De documentatie stelt de AP in staat de naleving te controleren. Meldplicht Datalekken Documenteert de inbreuk- mogelijkheid tot controle
PRIV_C.03.03.03 De documentatie bevat de noodzakelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Meldplicht Datalekken Documenteert de inbreuk- noodzakelijke gegevens
PRIV_C.03.03.04 Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkene Overweging 87.. Meldplicht Datalekken Documenteert de inbreuk- m.b.t. kennisgeving
PRIV_C.03.04.01 De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
  • het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, of:
  • wanneer melding afbreuk zou doen aan een zwaarwegend belang;
  • de verantwoordelijke een aanbieder is van openbare elektronische communicatiediensten zoals bedoeld in de TelecommunicatiewetAVG art. 95. ;
  • de organisatie een financiële onderneming is in de zin van de Wet op het financieel toezichtAVG art. 34..
Meldplicht Datalekken Uitzondering op melden van datalek aan AP
PRIV_C.03.04.02 De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
  • het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of:
  • de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of:
  • de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of:
  • de mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of:
  • het een verwerking is die berust op een wettelijke bepaling waarbij een specifieke uitzondering geldtAVG art. 23., of:
  • de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteitAVG overweging 18..
Meldplicht Datalekken Uitzondering op melden van datalek aan betrokkene
PRIV_U.01.01.01 Het doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd-verwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG art. 5 lid 1 en overweging 50.. Doelbinding gegevensverwerking Tijdig welbepaald en uitdrukkelijk omschreven- voorafgaand aan begin van de verwerking
PRIV_U.01.01.02 Van alle gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG art. 5 lid 1b.. Doelbinding gegevensverwerking Tijdig welbepaald en uitdrukkelijk omschreven- rechtmatigheid en doelmatigheid
PRIV_U.01.01.03 Het doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd noodzakelijk zijn voor het doel en bij verdere verwerking of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd verenigbaar zijn met het oorspronkelijke doelAVG art. 6 lid 4.. Doelbinding gegevensverwerking Tijdig welbepaald en uitdrukkelijk omschreven verenigbaarheid met oorspronkelijke doel
PRIV_U.01.01.04 Het doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden. Doelbinding gegevensverwerking Tijdig welbepaald en uitdrukkelijk omschreven- SMART
PRIV_U.01.02.01 De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel data minimalisatie genoemd). Doelbinding gegevensverwerking Doeleinden- toereikend- ter zake dienend en beperkt
PRIV_U.01.02.02 De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG art. 6 lid 1.:
  1. de betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  4. de verwerking is noodzakelijk om vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Dit punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun wettelijke taken.
  7. De rechtsgrond voor de verwerking moet worden vastgesteld bij het recht dat op de verwerkingsverantwoordelijke van toepassing isAVG art. 6 lid 3..
Doelbinding gegevensverwerking Doeleinden- rechtmatig
PRIV_U.01.02.03 Persoonsgegevens moeten behoorlijk en transparant worden verwerkt ten opzichte van de betrokkeneAVG art. 5. De AVG is niet van toepassing op de persoonsgegevens van overleden personen (Avg overweging 27).

Hiertoe:

  1. dient de gegevensverwerking transparant te zijn (U.02, §2.2.2) en U.05 (§2.2.5).
  2. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist te zijn en zo nodig te worden bijgewerkt (U.03. §2.2.3).
  3. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd passend te worden beveiligd (U.04, §2.2.4).
  4. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet langer dan noodzakelijk te worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren is (U.06, §2.2.6).
Doelbinding gegevensverwerking Doeleinden- behoorlijk en transparant
PRIV_U.01.03.01 De verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld is alleen mogelijk, wanneer:
  1. de verdere verwerking verenigbaar is met het doel waarvoor de persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aanvankelijk zijn verzameld en de verwerkingsverantwoordelijke bij de beoordeling van de verenigbaarheid onder meer rekening houdt metAVG art. 6 lid 4.:
    1. ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de voorgenomen verdere verwerking;
    2. het kader waarin de persoonsgegevens zijn verzameld, met name wat betreft de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke;
    3. de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerktAVG art. 9. en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerktAVG art. 10.;
    4. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
    5. het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering. Of:
  2. de verdere verwerking plaatsvindt op basis van de toestemming van betrokkene; Of:
  3. wanneer de verdere verwerking berust op een wettelijke bepaling waarbij een specifieke uitzondering geldt.
Doelbinding gegevensverwerking Verdere verwerking i.r.t. ander doelen dan dat waarvoor de persoonsgegevens zijn verzameld is
PRIV_U.01.03.02 Wanneer de verwerkingsverantwoordelijke een verdere verwerking voorneemt moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie U.05, §2.2.5). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61.. Doelbinding gegevensverwerking Voornemens voor verdere verwerking
PRIV_U.01.04.01 Er vindt geen verwerking van persoonsgegevens plaats waaruit ras of etnische afkomst blijkt, tenzij:
  • aan /04.09 is voldaan, of:
  • de verwerking geschiedtUitvoeringswet AVG art. 22.:
  1. met het oog op de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene en slechts voor zover dit voor dit doel onvermijdelijk is;
  2. met het doel personen van een bepaalde etnische of culturele minderheids-groep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen verband houdende met de grond ras of etnische afkomst op te heffen of te verminderen en slechts indien:
    1. dit voor dat doel noodzakelijk is;
    2. de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd slechts betrekking hebben op het geboorteland van de betrokkene, van diens ouders of grootouders, dan wel op andere, bij wet vastgestelde criteria, op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een minderheidsgroep behoort als bedoeld in de aanhef van onderdeel b, en:
    3. de betrokkene daartegen geen schriftelijk bezwaar heeft gemaakt.
Doelbinding gegevensverwerking Bijzondere persoonsgegevens- m.b.t. ras of etnische afkomst
PRIV_U.01.04.02 Er vindt geen verwerking van persoonsgegevens plaats waaruit politieke opvattingen blijkt, tenzij:
  • aan /04.09 is voldaan, of:
  • de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescollegesUitvoeringswet AVG art. 30..
Doelbinding gegevensverwerking Bijzondere persoonsgegevens- m.b.t. politieke opvattingen
PRIV_U.01.04.03 Er vindt geen verwerking van persoonsgegevens plaats waaruit religieuze of levensbeschouwelijke overtuigingen blijkt, tenzij:
  • aan /04.09 is voldaan, of:
  • de verwerking geschiedt door instellingen, voor zover dit noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaaktUitvoeringswet AVG art. 29.. Hierbij worden ook geen persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aan derden verstrekt zonder toestemming van de betrokkene.
Doelbinding gegevensverwerking Bijzondere persoonsgegevens- m.b.t. religieuze of levensbeschouwende overtuigingen
PRIV_U.01.04.04 Er vindt geen verwerking van persoonsgegevens plaats waaruit het lidmaatschap van een vakbond blijkt, tenzij aan /04.09 is voldaan. Doelbinding gegevensverwerking Bijzondere persoonsgegevens- m.b.t. lidmaatschap vakbond
PRIV_U.01.04.05 Er vindt geen verwerking van persoonsgegevens plaats van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, tenzij:
  • voldaan is aan /04.09Uitvoeringswet AVG art. 24., of:
  • een zwaarwegend geneeskundig belang prevaleert, of:
  • de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek of statistiek en de betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.
Doelbinding gegevensverwerking Bijzondere persoonsgegevens- m.b.t. genetische gegevens
PRIV_U.01.04.06 Er vindt geen verwerking van persoonsgegevens plaats van biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd met het oog op de unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon, tenzij:
  • voldaan is aan /04.09, of:
  • de verwerking geschiedt met het oog op de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derdeUitvoeringswet AVG art. 26. De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid handhaven of invoeren..
Doelbinding gegevensverwerking Bijzondere persoonsgegevens- m.b.t. biometrische gegevens
PRIV_U.01.04.07 Er vindt geen verwerking van persoonsgegevens plaats van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid, tenzij:
  • voldaan is aan /04.0, of:
  • dit noodzakelijk is met het oog op redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijden-de gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen. In die situatie worden de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding hiertoe zijn verplicht. Indien de verwerkingsverantwoordelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd persoonlijk verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudings¬plicht rust, is hij verplicht tot geheimhouding van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden meegedeeld aan anderen die krachtens het eerste lid bevoegd zijn tot verwerking daarvan.
Doelbinding gegevensverwerking Bijzondere persoonsgegevens- m.b.t. gezondheidsgegevens
PRIV_U.01.04.08 Er vindt geen verwerking van persoonsgegevens plaats met betrekking tot iemands seksuele gedrag of seksuele gerichtheid, tenzij aan /04.09 is voldaan De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid handhaven of invoeren.. Doelbinding gegevensverwerking Bijzondere persoonsgegevens- m.b.t. sexueel gedrag of gerichtheid
PRIV_U.01.04.09 Indien wel de in /04.01 - /04.08 genoemde verwerkingen plaats vindt is aan één van de onderstaande voorwaarden voldaan :
  1. betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat;
  2. de verwerking is noodzakelijk voor de uitvoering van verplichtingen en de uitoefening van specifieke rechten op het gebied van het arbeidsrecht en socialezekerheidsrecht en sociale beschermingsrecht (zie ook /04.10);
  3. de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene;
  4. de verwerking wordt verwerkt door een rechtspersoon zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is;
  5. de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn openbaar gemaakt;
  6. de verwerking is noodzakelijk voor de instelling, uitoefening of verdediging van een rechtsvordering;
  7. de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Uniewetgeving of nationale wetgeving, mits evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene (zie ook /04.10);
  8. de verwerking is noodzakelijk voor doelen van preventieve of arbeidsgenees-kunde, voor beoordeling van arbeidsgeschiktheid, medische diagnosen, voor het verstrekken van gezondheidszorg of sociale diensten, op grond van Unie-wetgeving of nationale wetgeving en onder de voorwaarden van het vierde lid (zie ook /04.10);
  9. de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid op grond van Uniewetgeving of nationale wetgeving waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim, of:
  10. de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelenAVG art. 89 lid 1., op grond van Uniewetgeving of nationale wetgeving, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.
Doelbinding gegevensverwerking Bijzondere persoonsgegevens- m.b.t. voorwaarden aan de verwerking
PRIV_U.01.04.10 De voorwaarden b, g en h van /04.09 zijn niet van toepassing als de verwerking geschiedt doorUitvoeringswet AVG art. 23.:
  1. hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is;
  2. verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht en financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover dat noodzakelijk is voor:
    1. de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt, of:
    2. de uitvoering van de overeenkomst van verzekering;
  3. scholen voor zover dat met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is;
  4. een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming of de gecertificeerde instelling, bedoeld in artikel 1.1 van de Jeugdwet en de rechtspersoon, bedoeld in artikel 256 eerste lid of artikel 302 tweede lid van Boek 1 van het Burgerlijk Wetboek, voor zover dat noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken;
  5. Onze Minister voor zover dat in verband js met de tenuitvoerlegging van vrijheidsstraffen of vrijheidsbenemende maatregelen noodzakelijk;
  6. bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn voor zover dat noodzakelijk is voor:
    1. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene, of:
    2. de reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.
Doelbinding gegevensverwerking Bijzondere persoonsgegevens- m.b.t. noodzakelijke uitzonderingen
PRIV_U.01.04.11 Het verbod om bijzondere persoonsgegevens te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., is vanuit het algemeen belang (punt g) niet van toepassing indienUitvoeringswet AVG art. 28.:
  1. dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting;
  2. de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt door de Autoriteit of een ombudsman als bedoeld in artikel 9:17 van de Algemene wet bestuursrecht en dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, voor de uitvoering van de hun wettelijk opgedragen taken en bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, of:
  3. dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en de Autoriteit ontheffing heeft verleend. De Autoriteit kan bij het verlenen van ontheffing beperkingen en voorschriften opleggen. Hierbij wordt de evenredigheid met het nagestreefde doel gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens geëerbiedigd en worden passende en specifieke maatregelen getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.
Doelbinding gegevensverwerking Bijzondere persoonsgegevens- m.b.t. verplichtingen of algemeen belang
PRIV_U.01.05.01 Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerktUitvoeringswet AVG art. 31.:
  1. als de verwerking geschiedt door organen die krachtens de wet zijn belast met de toepassing van het strafrecht, alsmede door verwerkingsverantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd;
  2. als de verwerkingsverantwoordelijke deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten eigen behoeve verwerkt :
    1. ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren, of:
    2. ter bescherming van zijn belangen voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn;
  3. indien deze ten behoeve van derden worden verwerkt:
    1. door verwerkingsverantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus;
    2. door een verwerkingsverantwoordelijke die tevens rechtspersoon is en in dezelfde groep is verbonden als bedoeld in artikel 2:24b van het Burgerlijk Wetboek, of:
    3. door een verwerkingsverantwoordelijke die hiervoor toestemming heeft verkregen van de Autoriteit.
Doelbinding gegevensverwerking Strafrechtelijke veroordelingen en strafbare feiten
PRIV_U.01.05.02 De verwerking vindt alleen plaats onder toezicht van de overheid of indien de verwerking is toegestaan bij wet- en regelgeving die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheidAVG art. 10.. Doelbinding gegevensverwerking Strafrechtelijke veroordelingen en strafbare feiten- eisen aan de verwerking
PRIV_U.01.05.03 De verwerking van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over personeel in dienst van de verwerkingsverantwoordelijke, vindt plaats overeenkomstig regels die zijn vastgesteld in overeenstemming met de procedure als bedoeld in de Wet op de ondernemingsradenUitvoeringswet AVG art. 31 lid 2.. Doelbinding gegevensverwerking Strafrechtelijke veroordelingen en strafbare feiten- i.r.t. de OR
PRIV_U.01.05.04 Het verbod om persoonsgegevens te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd voor de doeleinden waarvoor deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerktUitvoeringswet AVG art. 31 lid 3.. Doelbinding gegevensverwerking Strafrechtelijke veroordelingen en strafbare feiten- verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt.
PRIV_U.01.05.05 De verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen is toegestaan indien dit geschied door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken indien de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaadUitvoeringswet AVG art. 31 lid 4.. Doelbinding gegevensverwerking Strafrechtelijke veroordelingen en strafbare feiten- t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking
PRIV_U.01.06.01 Het bepalen van een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet bepaaldUitvoeringswet AVG art. 44.:
  1. Overheidsorganen kunnen bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens in het kader van de uitvoering van hun publieke taak gebruik maken van het burgerservicenummer (BSN), zonder dat daarvoor nadere regelgeving vereist is.
  2. Het burgerservicenummer (BSN) als uniek persoonsnummer voldoet aan artikel 10 van de Wet algemene bepalingen burgerservicenummer (Wabb).
  3. Voor instellingen die geen beroep kunnen doen op Wabb art. 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving. Zo geldt bijvoorbeeld voor de zorgsector de Wet gebruik burgerservicenummer in de Zorg en moeten banken het BSN gebruiken voor uitwisseling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd met de Belastingdienst. Daarnaast zijn andere identificerende nummers in gebruik, bijvoorbeeld het onderwijsnummer, dat overeenkomt met het burgerservice¬nummer, tenzij de deelnemer geen burgerservicenummer heeft.
Doelbinding gegevensverwerking Nationaal identificerend nummer
PRIV_U.01.07.01 Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluit:
  1. noodzakelijk is voor de totstandkoming of de uitvoering van een overeen-komst tussen de betrokkene en een verwerkingsverantwoordelijke, of:
  2. is toegestaan bij de wet- en regelgeving die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of:
  3. berust op de uitdrukkelijke toestemming van de betrokkene.
Doelbinding gegevensverwerking Geautomatiseerde besluitvorming- geen geautomatiseerde individuele besluitvorming tenzij
PRIV_U.01.07.02 In de bij punten a) en c) in /07.01 bedoelde gevallen heeft de verwerkingsverant-woordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten. Doelbinding gegevensverwerking Geautomatiseerde besluitvorming- m.b.t. rechten en vrijheden en gerechtvaardigde belangen van de betrokkene
PRIV_U.01.07.03 Bij de bij punten a) en c) in /07.01 bedoelde besluiten zijn niet gebaseerd op de bijzondere categorieën van persoonsgegevens, tenzij /04.01 punt a) of g), van toepassing is en passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen. Doelbinding gegevensverwerking Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens
PRIV_U.01.08.01 De verwerking van (bijzondere) persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats zover Invulling van art. 9 lid 2j. Uitvoeringswet Avg art. 27.:
  1. het onderzoek een algemeen belang dient;
  2. de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is;
  3. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost, en:
  4. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
Doelbinding gegevensverwerking Eisen aan het verwerken van (bijzondere) persoonsgegevens
PRIV_U.01.08.02 Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maat-regelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen:
  • het waarborgen van de doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.AVG art. 5 lid 1b. (bijvoorbeeld door pseudonimisering), en:
  • de betrokkene niet meer kan worden geïdentificeerdAVG art. 5 lid 1e..
Doelbinding gegevensverwerking Eisen aan het verwerken van persoonsgegevens
PRIV_U.02.01.01 Elke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (/01.06). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke. Register van verwerkingsactiviteiten Register van verwerkingsverantwoordelijke
PRIV_U.02.01.02 Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerdAVG art. 30 lid 1.:
  1. de naam en de contactgegevens van:
    1. de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
    2. in voorkomend geval:
      1. van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
      2. van de Functionaris voor de Gegevensbescherming;
  2. de verwerkingsdoeleinden;
  3. een beschrijving van de categorieën van betrokkenen;
  4. een beschrijving van de categorieën van persoonsgegevens;
  5. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  6. bij doorgiften aan een derde land of een internationale organisatie:
    1. de doorgifte van verstrekte persoonsgegevens
    2. de vermelding van dat derde land of die internationale organisatie
    3. de documenten inzake de passende waarborgen;
  7. de beoogde termijnen waarbinnen de verschillende categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd moeten worden gewist (indien mogelijk);
  8. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
Register van verwerkingsactiviteiten Register van verwerkingsverantwoordelijke- inhoud van het register
PRIV_U.02.01.03 De verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (/01.06). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker. Register van verwerkingsactiviteiten Register van verwerker- categorieën van verwerkingsactiviteiten
PRIV_U.02.01.04 Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerdAVG art. 30 lid 1.:

1) de naam en de contactgegevens van: a) de verwerkers b) iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt. In voorkomend geval: i) de vertegenwoordiger van de verwerkingsverantwoordelijke, of: ii) de verwerker en van de Functionaris voor de Gegevensbescherming; 2) de categorieën van verwerkingen die voor rekening van iedere verwerkings-verantwoordelijke zijn uitgevoerd; 3) bij doorgiften aan een derde land of een internationale organisatie: a) de doorgifte van verstrekte persoonsgegevens b) de vermelding van dat derde land of die internationale organisatie c) de documenten inzake de passende waarborgen;

4) een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
Register van verwerkingsactiviteiten Register van verwerker- inhoud van het register
PRIV_U.02.01.05 Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. Register van verwerkingsactiviteiten Register van verwerker- in schriftelijke elektronische vorm
PRIV_U.02.01.06 Het register hoeft niet te worden bijgehouden, indien:
  1. De onderneming of organisaties minder dan 250 personen in dienst heeft,
  2. het niet waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen,
  3. de verwerking incidenteel is, en:
  4. er geen verwerking plaatsvindt van bijzondere categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of persoons¬gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in verband met strafrechtelijke veroordelingen en strafbare feiten.
Register van verwerkingsactiviteiten Register van verwerker- niet bijgehouden als …
PRIV_U.02.02.01 De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld. Register van verwerkingsactiviteiten Op verzoek van AP wordt middels de registers een actueel en samenhangend beeld
PRIV_U.02.02.02 Op verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Register van verwerkingsactiviteiten Registers van de verwerkingsverantwoordelijke en van de verwerker geven één actueel en samenhangend beeld
PRIV_U.02.02.03 De onderlinge samenhang (gegevensstromen) en afhankelijkheden tussen:
  1. de bedrijfsprocessen;
  2. organisaties en organisatieonderdelen;
  3. de verwerkingen;
  4. de locaties waar persoonsgegevens opgeslagen;
  5. de gegevensuitwisselingen (binnen en buiten de eigen organisatie);
  6. de systemen zijn benoemd en beschreven.
Register van verwerkingsactiviteiten Actueel en samenhangend beeld t.a.v. gegevensstromen
PRIV_U.02.02.04 Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (GEB) meegenomen als onderdeel van de opname van de verwerking in het register. Register van verwerkingsactiviteiten Actueel en samenhangend beeld bij nieuwe en bij wijziging van bestaande verwerkingen
PRIV_U.03.01.01 De verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen. Kwaliteitsmanagement Maatregelen i.r.t. juistheid en nauwkeurigheid
PRIV_U.03.01.02 De verwerkingsverantwoordelijke voert periodiek controles op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan hogere management. Kwaliteitsmanagement Controle op juistheid en nauwkeurigheid
PRIV_U.03.02.01 Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG art. 16 lid 1.. Kwaliteitsmanagement Gecorrigeerd- gestaakt of overgedragen- rectificatie op verzoek van betrokkene
PRIV_U.03.02.02 Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG art. 16 lid 1.. Kwaliteitsmanagement Gecorrigeerd- gestaakt of overgedragen- vervollediging op verzoek van betrokkene
PRIV_U.03.02.03 Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG art. 17 lid 1.:
  1. de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
  2. de betrokkene trekt de toestemming waarop de verwerking berust in en er is geen andere rechtsgrond voor de verwerking;
  3. de betrokkene maakt bezwaar tegen de verwerking en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking;
  4. de persoonsgegevens zijn onrechtmatig verwerkt;
  5. de persoonsgegevens moeten worden gewist om te voldoen aan een in het wettelijke recht neergelegde wettelijke verplichting die op de verwerkings-verantwoordelijke rust;
  6. de persoonsgegevens van kinderen jonger dan 16 jaar zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij.
Kwaliteitsmanagement Gecorrigeerd- gestaakt of overgedragen- wissen op verzoek van betrokkene
PRIV_U.03.02.04 Bij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG art. 21 lid 1.. Kwaliteitsmanagement Gecorrigeerd- gestaakt of overgedragen- steken van de verwerking op verzoek van betrokkene
PRIV_U.03.02.05 Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van, die persoonsgegevens te wissenAVG art. 17 lid 2.. Kwaliteitsmanagement Gecorrigeerd- gestaakt of overgedragen redelijke maatregelen na openbaarmaking van persoonsgegevens
PRIV_U.03.02.06 Op verzoek van betrokkene wordt de verwerking beperkt, indien:
  1. de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;
  2. de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
  3. de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of:
  4. de betrokkene heeft bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
Kwaliteitsmanagement Gecorrigeerd- gestaakt of overgedragen- beperking van de verwerking op verzoek van betrokkene
PRIV_U.03.02.07 De betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG art. 20., als de verwerking berust op:
  1. toestemming van betrokkene, of:
  2. een overeenkomst waarbij de betrokkene partij is of de verwerking via geautomatiseerde procedés wordt verricht;

en geldt niet als:

  1. de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
  2. het afbreuk doet aan de rechten en vrijheden van anderen.
Kwaliteitsmanagement Gecorrigeerd- gestaakt of overgedragen- recht op ontvangst van gegevens en op overdragen van gegevens aan andere verwerkingsverantwoordelijke
PRIV_U.03.02.08 De betrokkene kan de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien /02.07 geldt en dit technisch mogelijk is. Kwaliteitsmanagement Gecorrigeerd- gestaakt of overgedragen- overdracht aan andere verwerkingsverantwoordelijke
PRIV_U.03.03.01 De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergtAVG art. 19.. Kwaliteitsmanagement Geïnformeerd- van iedere ontvanger van elke rectificatie- gegevenswissing of verwerkingsbeperking
PRIV_U.03.03.02 De verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaanAVG art. 19.. Kwaliteitsmanagement Geïnformeerd- betrokkene aan wie correctie mededelingen zijn verstrekt
PRIV_U.03.03.03 De verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaanAVG art. 19.. Kwaliteitsmanagement Geïnformeerd- bretrokkene over gevolg van verzoek van betrokken
PRIV_U.03.03.04 De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Kwaliteitsmanagement Geïnformeerd- elketronische verwerking van het verzoek
PRIV_U.03.03.06 Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG art. 12 lid 3.. Kwaliteitsmanagement Geïnformeerd- informeren bij geen gevolg geven aan het verzoek
PRIV_U.03.03.07 De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt, kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG art. 12 lid 5.. Kwaliteitsmanagement Geïnformeerd- schriftelijk of op andere wijze
PRIV_U.03.03.08 Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG art. 12 lid 4.. Kwaliteitsmanagement Geïnformeerd- identificatie van betrokkene
PRIV_U.04.01.01 De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG art. 32 lid 3.. Beveiligen van de verwerking van persoonsgegevens Technische en organisatorische maatregelen- beperkte toegang
PRIV_U.04.01.02 Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
  1. Als persoonsgegevens op fysieke wijze bestaan, zijn deze ook fysiek beschermd.
  2. De wijze van verzameling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd is niet privacygevoelig.
Beveiligen van de verwerking van persoonsgegevens Technische en organisatorische maatregelen- fysieke beveiliging
PRIV_U.04.01.03 Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan. Beveiligen van de verwerking van persoonsgegevens Technische en organisatorische maatregelen- organisatorische beveiliging
PRIV_U.04.01.04 De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG art. 32. Dit is 'het informatiebeveiligingsartikel':
  1. de pseudonimisering en versleuteling van persoonsgegevens;
  2. het vermogen om op permanente basis de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit, beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. en veerkracht van de verwerkingssystemen en diensten te garanderen;
  3. het vermogen om bij een fysiek of technisch incident de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van en de toegang tot de persoonsgegevens tijdig te herstellen;
  4. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Beveiligen van de verwerking van persoonsgegevens Technische en organisatorische maatregelen- passend beveiligingsniveau
PRIV_U.04.02.01 De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair. Beveiligen van de verwerking van persoonsgegevens Passend niveau- technische- organisatorische en fysieke beveiligingsmaatregelen
PRIV_U.04.02.02 De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, hetzij per ongeluk hetzij onrechtmatigAVG art. 32 lid 2.. Beveiligen van de verwerking van persoonsgegevens Passend niveau- gebaseerd op analyse van het verwerkingsrisico
PRIV_U.04.02.03 Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn. Beveiligen van de verwerking van persoonsgegevens Passend niveau- aantoonbaarheid
PRIV_U.05.01.01 De toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG art. 6 lid 1.Vetgedrukte tekst, het doorgeven aan derden en het verder verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.AVG art. 14 lid 3.. Dit geldt voor persoonsgegevens die via betrokkenen of anderen wordt of is verkregen. Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Tijdig- toestemming van de betrokkene vooraf
PRIV_U.05.01.02 InformatieBetekenisvolle gegevens. over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevensAVG art. 14 lid 3.. Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Tijdig- verstrekken van informatie
PRIV_U.05.02.01 Het verzoek om toestemming bestaat in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenhedenAVG art. 7 lid 2.. Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Informatie- verzoek om toestemming
PRIV_U.05.02.02 Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG art. 13.:
  1. de identiteit en contactgegevens van de verantwoordelijke;
  2. in voorkomend geval de contactgegevens van de Functionaris voor de Gegevensbescherming;
  3. de verwerkingsdoeleinden en ook de rechtsgrond van de gegevensverwerking;
  4. de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde indien de verwerking op deze rechtsgrond (art. 6.1f) is gebaseerd;
  5. in voorkomend geval de ontvangers of categorieën van ontvangers van persoonsgegevens;
  6. in voorkomend geval dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of internationale organisatie of een adequaatheidsbesluit van de commissie bestaat, welke de passende waarborgen zijn en hoe deze kunnen worden ingezien;
  7. de periode dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden opgeslagen of de criteria ter bepaling van die termijn;
  8. dat de betrokkene recht heeft op inzage, rectificatie of wissing of beperking van de hem betreffende verwerking en het recht bezwaar tegen de verwerking te maken en dat de betrokkene het recht heeft op gegevensoverdraagbaarheid;
  9. dat de betrokkene zijn toestemming te allen tijde kan intrekken (voor zover de verwerking is gebaseerd op de rechtsgrond toestemming);
  10. dat de betrokkene een klacht mag indienen bij de AP;
  11. of de verstrekking een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten;
  12. of de betrokkene verplicht is de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te verstrekken en wat de mogelijke gevolgen zijn als deze de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet verstrekt;
  13. of geautomatiseerde besluitvorming en/of profilering bestaat en in die gevallen nuttige informatie over de onderliggende logica alsmede het belang en de verwachte gevolgen voor de betrokkene;
  14. informatie over het andere doel, wanneer een verwerking gaat plaatsvinden voor een ander doel dan waarvoor de persoonsgegevens zijn verzameld.
Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Informatie aan betrokkene
PRIV_U.05.02.03 Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG art. 7.:
  1. de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke;
  2. in voorkomend geval de contactgegevens van de Functionaris voor de Gegevens-bescherming;
  3. de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking;
  4. de betrokken categorieën van persoonsgegevens;
  5. in voorkomend geval de ontvangers of categorieën van ontvangers van de persoonsgegevens;
  6. als persoonsgegevens aan een ontvanger in een derde land of aan een internationale organisatie wordt doorgegeven wordt er informatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat over hoe een kopie kan worden verkregen over de waarborgen of voorschriften of waar ze kunnen worden geraadpleegd;
  7. de periode gedurende welke de persoonsgegevens zullen worden opgeslagen of indien dat niet mogelijk is de criteria om die termijn te bepalen;
  8. indien van toepassing de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde;
  9. dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
  10. wanneer verwerking is gebaseerd is op toestemming van betrokkene, heeft de betrokkene het recht de toestemming te allen tijde in te trekken. Dit doet geen afbreuk aan de rechtmatigheid van de verwerking op basis van de toestemming van vóór de intrekking;
  11. dat de betrokkene het recht heeft een klacht in te dienen bij een AP;
  12. de bron waar de persoonsgegevens vandaan komen en in voorkomend geval of zij afkomstig zijn van openbare bronnen;
  13. het bestaan van geautomatiseerde besluitvorming (inclusief profilering) inclusief de informatie over de onderliggende logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Informatie aan betrokkene bij ontvangst gegevens bij een ander dan de betrokkene
PRIV_U.05.03.01 De verplichting tot het verstrekken van informatie geldt niet, indien:
  • de betrokkene reeds over de informatie beschikt;
  • het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen;
  • de verwezenlijking van de doeleinden van de verwerking onmogelijk dreigt te worden of ernstig in het gedrang dreigt te brengen (In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie.);
  • het verkrijgen of verstrekken van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd uitdrukkelijk wettelijk is voorgeschreven en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, of:
  • de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim, waaronder een statutaire geheimhoudingsplicht;
  • wanneer de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldt;
  • het de verwerking betreft van persoonsgegevens die deel uitmaken van archiefbescheiden en die op grond van de Archiefwet niet voor vernietiging in aanmerking komen en zijn overgebracht naar een archiefbewaarplaats Zie Mvt Uitvoeringswet, toelichting bij art. 41..
Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Toestemming- vrijelijk gegeven
PRIV_U.05.04.01 De toestemming moet door de betrokkene vrijelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG art. 14 lid 4.. Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Uitzondering
PRIV_U.05.04.02 Bij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG art. 8.. Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Toestemming- toestemming of machtiging door ouderlijk verantwoordelijke
PRIV_U.06.01.01 Als de bewaartermijnen verlopen, zijn de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd verwijderd, vernietigd of geanonimiseerd. Bewaren van persoonsgegevens Nodige maatregelen- verwijderd- vernietigd of geanonimiseerd
PRIV_U.06.01.02 De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren. Bewaren van persoonsgegevens Nodige maatregelen- beoordeling evt. langere bewaartermijn
PRIV_U.06.02.01 Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd. Bewaren van persoonsgegevens Bewaartermijn- vastgesteld en bekrachtigd
PRIV_U.06.02.02 De bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG art. 5 lid 1e.. Bewaren van persoonsgegevens Bewaartermijn- maximale periode
PRIV_U.06.02.03 Als in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn. Bewaren van persoonsgegevens Bewaartermijn- is sectorspecifieke wetgeving vastgelegde bewaartermijn
PRIV_U.06.02.04 Wanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e. en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AvgAVG art. 89 lid 1.. Bewaren van persoonsgegevens Bewaartermijn- eisen aan evt. langere opslagperiode
PRIV_U.07.01.01 Bij doorgifte aan een andere verantwoordelijke zijn:
  • de respectieve verantwoordelijkheden duidelijk, zodat zij aan hun Avg-verplichtingen voldoen, met name met betrekking totAVG art. 26 lid 1.:
  1. de uitoefening van de rechten van de betrokkene (C.02, §2.3.2), en:
  2. het informeren van de betrokkenen te bij ontvangst (conform U.05)
  • de regeling met de respectieve verantwoordelijkheden aan de betrokkene beschikbaar gesteldAVG art. 26 lid 3..
Doorgifte persoonsgegevens De onderlinge verantwoordelijkheden
PRIV_U.07.02.01 De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegd, metAVG art. 28 lid 2. daarin:
  • het onderwerp en de duur van de verwerking;
  • de aard en het doel van de verwerking waarvoor de persoonsgegevens worden verstrekt, inclusief:

- welke persoonsgegevens worden verstrekt aan de verwerker; - hoe dataminimalisatie is toegepast;

  • het soort persoonsgegevens, inclusief

- de classificatie van de persoonsgegevens;

  • de categorieën van betrokkenen, en:
  • de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.
Doorgifte persoonsgegevens Afdoende garanties door verwerker in een overeenkomst of andere rechtshandeling vastgelegd
PRIV_U.07.02.02 In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:

a. de persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften; b. de gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen zijn gebonden; c. de beveiliging van de verwerking is geborgd, conform U.04 §2.2.4, inclusief:

  • welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben;
  • welke procedure wordt gevolgd in geval van een datalek;
  • in welke landen de persoonsgegevens worden opgeslagen;

d. de vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker; e. passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief:

  • hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker;
  • het contact dat de verwerker mag hebben met de betrokkenen.

f. de verwerkingsverantwoordelijke bijstand wordt verleent om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking; g. na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkings-verantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terug-bezorgd worden en bestaande kopieën worden verwijderd, conform U.06 §2.2.6; h. de verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties.

i. de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de Avg of op andere Wet- en regelgeving inzake gegevensbescherming.
Doorgifte persoonsgegevens Vormvereisten aan eisen voor afdoende garanties door verwerker
PRIV_U.07.02.03 De overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld. Doorgifte persoonsgegevens Afdoende garanties
PRIV_U.07.03.01 Als een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoor-diger in de EU aangewezen, tenzij:
  1. sprake is van een incidentele verwerking die geen grootschalige verwerking van bijzondere categorieën van persoonsgegevens betreft, of:
  2. bij de verwerking van persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten en waarbij de kans gering is dat zij een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
  3. het een verwerking door een overheidsinstantie of overheidsorgaan betreft.
Doorgifte persoonsgegevens Vertegenwoordiger in de EU
PRIV_U.07.03.02 De verwerking door een verwerker vindt alleen plaats als een verwerkings-verantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, zie B.03 §2.1.3, door de verwerker. Doorgifte persoonsgegevens Vertegenwoordiger i.r.t. afdoende garanties over het toepassen van passende technische en organisatorische maatregelen
PRIV_U.07.03.03 Een verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG art. 28 lid 1.. Doorgifte persoonsgegevens Vertegenwoordiger i.r.t. het door een andere verwerker uitvoeren van de verwerking
PRIV_U.07.04.01 De verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkings-verantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Avg art. 48. Doorgifte persoonsgegevens Uitzonderingsgrond t.a.v. de verwerking
PRIV_U.07.04.02 De doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën van persoonsgegevens aan een derde land of een internationale organisatie. Doorgifte persoonsgegevens Uitzonderingsgrond t.a.v. doorgifte
PRIV_U.07.05.01 Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG art. 45.. Doorgifte persoonsgegevens Adequaatheidsbesluit
PRIV_U.07.06.01 Wanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG art. 46.:
  1. een juridisch bindend en afdwingbaar instrument is tussen overheidsinstanties of -organen;
  2. door de AP goedgekeurd bindende bedrijfsvoorschriften zijn, zie /05.02;
  3. standaardbepalingen zijn inzake gegevensbescherming die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn vastgesteldAVG art. 93, lid 2.;
  4. standaardbepalingen zijn inzake gegevensbescherming die door een AP zijn vastgesteld en die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn goedgekeurdAVG art. 93, lid 2.;
  5. een goedgekeurde gedragscode is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen toe te passen, waaronder waarborgen voor de rechten van de betrokkenen;
  6. een goedgekeurd certificeringmechanisme is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen, of:
  7. door de AP passende waarborgen zijn, waarbij er met name:
  • contractbepalingen zijn tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of:
  • bepalingen zijn opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.
Doorgifte persoonsgegevens Passende waarborgen bij afwezigheid adequaatheidsbesluit
PRIV_U.07.06.02 Als bindende bedrijfsvoorschriften (/05.01 punt b) worden gebruikt om passende waarborgen te bieden, dan:
  • zijn die juridisch bindend of van toepassing en worden deze gehandhaafd door alle betrokken leden van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen; met inbegrip van hun werknemers;
  • kunnen betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens, en:
  • zijn de hier beknopt weergegeven elementen vastgelegd (zie voor de volledige weergave artikel 47 lid 1):
  1. de structuur en de contactgegeven;
  2. de gegevensdoorgiften of reeks van doorgiften;
  3. het intern en extern juridisch bindende karakter;
  4. de toepassing van de algemene beginselen inzake gegevensbescherming;
  5. de rechten van betrokkenen;
  6. de aanvaarding van aansprakelijkheid voor alle inbreuken;
  7. de wijze waarop informatie wordt verschaft over de bindende bedrijfsvoorschriften;
  8. de taken van elke Functionaris voor de Gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op:
    1. de naleving van de bindende bedrijfsvoorschriften binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen,
    2. opleiding, en:
    3. de behandeling van klachten;
  9. de klachtenprocedures;
  10. de bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd;
  11. de procedures om die veranderingen in de regels te melden, te registreren en aan de AP te melden;
  12. de procedure voor samenwerking met de AP;
  13. de procedures om eventuele wettelijke voorschriften aan de AP te melden, en:
  14. de passende opleiding inzake gegevensbescherming voor personeel.
Doorgifte persoonsgegevens Passende waarborgen bij aanwezigheid adequaatheidsbesluit
PRIV_U.07.06.03 Wanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49.. Doorgifte persoonsgegevens Passende waarborgen- beëindigen van doorgifte en informeren van betrokkene
PRIV_U.07.07.01 Doorgifte persoonsgegevens Afwijking voor een specifieke situatie
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen