Relaties Privacy Baseline met Afgeleide Principes

Uit NORA Online
Ga naar: navigatie, zoeken

Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) heeft de Afgeleide Principes getoetst op de borging van privacy, door deze naast de criteria van de Privacy Baseline te leggen. De afgeleide principes van de NORANederlandse Overheid ReferentieArchitectuur en de criteria van de Privacy Baseline zijn onderzocht op 'common ground'. Deze exercitie is ook bedoeld om kritisch te kijken of er nog aanvullingen of aanpassingen van de afgeleide principes nodig zijn.

Privacy Baseline CIP

De behoefte om de privacywetten 'grijpbaarder' te maken was de aanleiding voor het ontstaan van de Privacy Baseline van het CIP. Binnen het CIP-netwerk werd aangedragen dat men de strekking en de bedoelingen van de privacywetgeving begreep, maar de toepassing in de organisatie lastig vond. De tweede aanleiding was het in zwang komen van de term 'informatieveiligheid', waarin informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en privacybescherming met elkaar worden verknoopt.

Het idee van de Privacy Baseline is om de privacywetgeving te presenteren als een traditioneel normenkader, zoals we dat in de discipline van de Informatiebeveiliging al langer kennen. De privacywetgeving, aanvankelijk de Wet Bescherming Persoonsgegevens en vanaf mei 2018 de Algemene Verordening Gegevensbescherming (AVG), is in de Privacy Baseline vertaald naar 13 criteria die vervolgens systematisch zijn uitgewerkt in 'conformiteitsindicatoren': concrete aanwijzingen over hoe je het betreffende principe kunt verwezenlijken. Er is een analogie met de bekende nomenkaders voor de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen., maar in zijn aanpak stoelt de Privacy Baseline op de systematische benadering van de SIVA-methode. Deze is de afgelopen jaren door CIP verspreid en wordt steeds meer toegepast in overheidskringen. Er zijn drie typen baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. principes: de b staat voor het beleidsdomein, de u voor het uitvoeringsdomein en de c voor controle/beheer.

Relaties Principes Privacy Baseline (=Privacyprincipes) en Afgeleide Principes

De relaties tussen de baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. en de afgeleide principes zijn soms behoorlijk 1-op-1, maar soms vereist de bedoelde overeenkomst enige lenigheid van denken. Dit komt door de uiteenlopende herkomst en scope van de NORANederlandse Overheid ReferentieArchitectuur en Privacy Baseline. U01 Doelbinding en AP15 Doelbinding zijn bijvoorbeeld één op één te vertalen. Voor de doorgifte van persoonsgegevens is ook AP15 Doelbinding van belang, maar dit privacy baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. principe is terug te vinden in nog vier AP's.

Hieronder staat een overzicht van de gevonden common ground tussen de Privacy Baseline Principes aan de linkerkant en de Afgeleide Principes aan de rechterkant. De eventuele toelichting van de relatie vind je in het midden. Heb je op of aanmerkingen? Schroom deze dan niet te melden via: nora@ictu.nl.


ID Privacy Baseline Principe Beschrijving relatie ID NORANederlandse Overheid ReferentieArchitectuur NORANederlandse Overheid ReferentieArchitectuur principe
PRIV_U.03 Kwaliteitsmanagement AP26 Afnemer heeft inzage
PRIV_C.02. Toegang gegevensverwerking voor betrokkenen Doordat een betrokkene inzage heeft in de eigen informatie en de gegevensverwerking (het gebruik) kan een betrokkene zien hoe de privacy wordt geborgd. AP26 Afnemer heeft inzage
PRIV_U.07 Doorgifte persoonsgegevens In de afspraken is de dienst nauwkeurig beschreven, is bekend wie de afnemers zijn en zijn de afspraken nauwkeurig vastgelegd. Dit gebeurt voorafgaand aan de gegevenslevering. AP28 Afspraken vastgelegd
PRIV_U.03 Kwaliteitsmanagement AP33 Baseline kwaliteit diensten
PRIV_B.01 Privacy Beleid geeft duidelijkheid en sturing In het beleid is vastgelegd aan welke baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. het dienstenportfolio moet voldoen, zodat duidelijk is aan welke kwaliteitscriteria wordt voldaan. Het volwassenheidsmodel helpt de baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. te hanteren. AP33 Baseline kwaliteit diensten
PRIV_B.03 Risicomanagement, Privacy by Design en de GEB De risico's en de genomen maatregelen, bestaande uit de gehanteerde baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. en de benodigde aanvullende maatregelen zijn duideljk. Om het passend zijn van de maatregelen in de tijd te borgen vindt er continu management plaats, waarbij de resultaten worden meegenomen in de criteria B.01 Privacybeleid en B.02 Organieke inbedding. AP33 Baseline kwaliteit diensten
PRIV_U.04 Beveiligen van de verwerking van persoonsgegevens AP33 Baseline kwaliteit diensten
PRIV_U.06 Bewaren van persoonsgegevens AP33 Baseline kwaliteit diensten
PRIV_U.06 Bewaren van persoonsgegevens AP44 Controleerbaarheid
PRIV_C.01 Intern toezicht AP44 Controleerbaarheid
PRIV_U.03 Kwaliteitsmanagement AP44 Controleerbaarheid
PRIV_U.04 Beveiligen van de verwerking van persoonsgegevens AP29 De dienstverlener voldoet aan de norm
PRIV_U.07 Doorgifte persoonsgegevens Van alle uit te wisselen en uitgewisselde objecten moet eenduidig zijn vastgelegd hoe aan de privacywetgeving wordt en blijft voldaan. AP15 Doelbinding (AP)
PRIV_U.01 Doelbinding gegevensverwerking Doelbinding wordt geborgd door het van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk vastleggen en omschrijven van de doeleinden en de rechtvaardigingsgronden. AP15 Doelbinding (AP)
PRIV_U.07 Doorgifte persoonsgegevens De onderlinge verantwoordelijkheden moeten eenduidig zijn vastgelegd, zodat de betrokkene weet wie aan te spreken. AP27 Een verantwoordelijke organisatie
PRIV_U.01 Doelbinding gegevensverwerking Van iedere doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. ligt vast wie namens de organisatie verantwoordelijk is voor de doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.: de verwerkingsverantwoordelijke. AP27 Een verantwoordelijke organisatie
PRIV_U.02 Register van verwerkingsactiviteiten In het register zijn alle objecten eenduidig vastgelegd. AP16 Identificatie informatie-objecten
PRIV_U.02 Register van verwerkingsactiviteiten Van de persoonsgegevens zijn de metagegevens vastgelegd, zodat duidelijk is of er uitwisseling / door wie verwerking plaatsvindt en er een actueel en samenhangend beeld ontstaat (transparant en toegankelijk). AP17 Informatie-objecten systematisch beschreven
PRIV_U.07 Doorgifte persoonsgegevens Over alle gegevensuitwisselingen heen moet een actueel en samenhangend beeld bestaan. AP17 Informatie-objecten systematisch beschreven
PRIV_U.05 Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens De gegevensverwerking dient nauwkeurig en helder (transparant) te zijn beschreven, zodat duidelijk is op welke wettelijke basis of goedkeuring van betrokkene de gegevensverwerking kan plaatsvinden en hoe een eventueel afgegeven goedkeuring kan worden ingetrokken. De goedkeuring vindt in een dialoog plaats. AP05 Nauwkeurige dienstbeschrijving
PRIV_B.01 Privacy Beleid geeft duidelijkheid en sturing Van de dienst (in AVG-termen: de gegevensverwerking) is duidelijk hoe de privacy wordt gewaarborgd. AP05 Nauwkeurige dienstbeschrijving
PRIV_C.01 Intern toezicht Het houden van intern toezicht is nodig om te bepalen of de verwerking / dienst aan de vereisten voldoet en maakt daarmee onderdeel uit van het gestructureerde cyclisch proces. AP31 PDCA-cyclus in besturing kwaliteit
PRIV_B.01 Privacy Beleid geeft duidelijkheid en sturing Borging vindt plaats in een cyclisch beleidscyclus. Deze is in het privacybeleid vastgelegd. AP31 PDCA-cyclus in besturing kwaliteit
PRIV_U.07 Doorgifte persoonsgegevens Van alle partijen waaraan gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden doorgegeven moeten afspraken vastliggen hoe het klantcontact is geregeld. AP20 Persoonlijke benadering
PRIV_U.05 Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Dit criterium geldt voor alle klantcontacten en alle verwerkingen. AP20 Persoonlijke benadering
PRIV_U.04 Beveiligen van de verwerking van persoonsgegevens De AVG geeft rechten van de burger een centrale plaats; door de introductie in de wet van het ontwikkelprincipe Privacy by Design en de vereisten van PET, en de eis van Privacy by Default, moet de dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers) ook in de ontwikkelstadia rekening houden met de afnemerDe persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn. van de dienst, in dit geval de burger, wiens informatie in de beoogde gegevensverwerking wordt gebruikt. AP19 Perspectief gebruiker
PRIV_B.01 Privacy Beleid geeft duidelijkheid en sturing Het privacybeleid is op het hoogste niveau van de organisatie goedgekeurd en geldt daarmee voor de gehele organisatie, waardoor de samenhang over der verschillende domeinen heen en voor de gehele dienstenportfolio geldt. AP32 Sturing kwaliteit op het hoogste niveau
PRIV_B.02 Organieke inbedding De verantwoordelijkheden zijn in de TVB van de organisatie vastgelegd. Deze TVB is op het hoogste niveau vastgesteld. AP32 Sturing kwaliteit op het hoogste niveau
PRIV_U.03 Kwaliteitsmanagement De kwaliteit en daarmee de juistheid en nauwkeurig-heid van de persoonsgegevens wordt in de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd-verwerking geborgd. Bij onnauwkeurigheid, ook wanneer een gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat niet meer actueel is, zijn er processen, waarmee de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd gecorrigeerd, gestaakt en zonodig overgedragen kunnen worden. Deze mogelijk gaat verder dan interne controle op de juistheid. Ook de juistheid in de ogen van de betrokkene moet zijn gewaarborgd. AP25 Transparante dienstverlening
PRIV_C.02. Toegang gegevensverwerking voor betrokkenen AP34 Verantwoording besturing kwaliteit
PRIV_B.03 Risicomanagement, Privacy by Design en de GEB AP34 Verantwoording besturing kwaliteit
PRIV_C.01 Intern toezicht Toezicht maakt het de verantwoordelijke van de gegevensverwerking mogelijk om op ieder niveau verantwoording te kunnen afleggen over de kwaliteit van de privacyborging. AP34 Verantwoording besturing kwaliteit
PRIV_C.02. Toegang gegevensverwerking voor betrokkenen Door het bieden van toegang kan verantwoording worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat over hoe de dienst wordt geleverd / de verwerking wordt vormgegeven en hoe het beheer plaatsvindt. AP30 Verantwoording dienstlevering mogelijk
PRIV_C.03 Meldplicht Datalekken Als het beschermen van de privacy niet aan de kwaliteitscriteria heeft voldaan waarbij mogelijk de privacy bij is geschaad, dan wordt aan betrokkene(n) en bevoegde controlerende instanties daarover duidelijkheid verschaft en verantwoording afgelegd. AP30 Verantwoording dienstlevering mogelijk
PRIV_U.06 Bewaren van persoonsgegevens Dit criterium legt de bewaartermijn en de wijze van bewaren vast. Dit is direct gerelateerd aan rechtmatigheid. AP30 Verantwoording dienstlevering mogelijk
PRIV_U.04 Beveiligen van de verwerking van persoonsgegevens De normen waaraan de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. moet voldoen zijn vastgelegd. AP30 Verantwoording dienstlevering mogelijk
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen