Bijlage 2. Toelichting begrippen
2.1 Begrippenkader AVG
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene) (Het Europees parlement en de raad van de Europese Unie, 2016); Naast persoonsgegevens wordt onderscheid gemaakt naar bijzondere persoonsgegevens. Hiervoor gelden strengere verwerkingseisen, omdat ze de privacy van een persoon ernstig(er) kunnen aantasten (Geerse, 2017).
Verwerking van persoonsgegevens: Onder het verwerken van persoonsgegevens wordt verstaan het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (Europees Parlement en de Raad, 2016).
Verwerkingsverantwoordelijke: degene die het doel van- en de middelen voor de verwerking van persoonsgegevens vaststelt (Europees Parlement en de Raad, 2016) .
Verwerker: Degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (Europees Parlement en de Raad, 2016).
Ontvanger: degene aan wie/waaraan de persoonsgegevens worden verstrekt (Europees Parlement en de Raad, 2016).
Betrokkene: degene op wie een persoonsgegeven betrekking heeft (Europees Parlement en de Raad, 2016).
2.2
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gegevens over iemands: godsdienst of levensovertuiging; ras;
politieke voorkeur; gezondheid; seksuele leven;
lidmaatschap van een vakbond; strafrechtelijk verleden;
74 T1 Transparantie T2 Doelbinding T3 Rechtmatige grondslag T4 Kwaliteit T5 Rechten van Betrokkenen T6 Beveiliging T7 Verwerking door een verwerker T8 Gegevensverk eer met landen buiten de EU T9 Aansprakelijk- heid Beheersomgeving ○ ○ ○ ○ ○ ○ ○ ○ ○ Principe 1 • • Principe 2 • Principe 3 ○ ○ ○ ○• ○ ○• ○ ○ ○• Principe 4 • Principe 5 • Risisoanalyse ○ ○ ○ ○• ○ ○• ○ ○ ○ Principe 6 Principe 7 • • Principe 8 Principe 9 Beheersactiviteiten ○ ○ Principe 10 • • • • • • • Principe 11 • • • • Principe 12 • • • • •
Informatie & Communicatie ○ ○ ○ ○ ○ ○ ○ ○ ○
Principe 13 • Principe 14 Principe 15 • • • Monitoring activiteiten ○ ○ ○ ○ ○ ○ ○ ○ ○ Principe 16 Principe 17
Bijlage 3. Draft raamwerk
3.1
De matrix
3.2
Algemene relaties
C1. Beheersomgeving De basis, waaronder de doelstellingen en (gedrag)normen, van het systeem van interne beheersing binnen de organisatie, ziet op alle negen thema’s.
Privacy beleid en strategie: Er dient een goedgekeurd lange termijn beveiligingsbeleid te zijn vastgesteld, in dit beleid behoort expliciet aandacht gegeven te worden aan de bescherming van
persoonsgegevens. Het beleid beschrijft hoe werknemers in de gehele organisatie dienen om te gaan met het verzamelen, gebruiken, bewaren, verstrekken en verwijderen van persoonsgegevens. Ook behoort extern beleid aanwezig te zijn dat informatie verschaft aan externe belanghebbende.
75
Bij het tot stand brengen van structuren, rapportage lijnen en geschikte bevoegdheden en verantwoordelijkheden, dient aandacht besteed te worden aan alle eisen als gesteld in de AVG.
C2. Risicoanalyse Bij het verrichten van de risicoanalyse binnen een organisatie worden alle thema’s betrokken, om te bepalen waar er risico’s (zijn) ontstaan.
C4. Informatie & Communicatie
Alle medewerkers die betrokken zijn bij het verwerken van persoonsgegevens moeten geïnformeerd worden over de doelstellingen en het beleid omtrent privacy.
Middels het communiceren van informatie wordt zowel betrokkenheid als bewustwording gecreëerd bij de verantwoordelijke medewerkers. C5. Monitoring Activiteiten De organisatie behoort periodiek te toetsen of aan de eisen, verdeeld over de negen thema’s, wordt voldaan. Daarbij moet getoetst worden of de beheersingsmaatregelen werken. Daarnaast moet periodiek onderzocht worden of er nieuwe eisen zijn bijgekomen, waaraan voldaan moet worden.
Als er een deskundig onderzoek wenselijk is en wordt uitgevoerd, dienen alle thema’s in dit onderzoek meegenomen te worden. T4. Kwaliteit kwaliteit van de gegevensverwerking is een aspect dat in de gehele
systematiek van de interne beheersing meegenomen behoord te worden. De gehele organisatie moet zich realiseren dat de betrouwbaarheid en kwaliteit binnen de gehele organisatie gewaarborgd moet zijn.
De kwaliteit moet onderhouden worden gedurende de gehele data life cycle.
T6. Beveiliging De risico’s die worden gelopen met het verwerken van persoonsgegevens moet continue op het oogvlies staan van het management en
medewerkers binnen de organisatie. Daarom zal binnen alle componenten voldoende aandacht besteed moeten worden aan de beveiligingsaspecten.
3.3
Specifieke relaties
relatie Maatregel toelichting76
T1-P12 B1: Privacy Policy Er is beleid opgesteld waarin staat dat:
- Een betrokkene actief geïnformeerd dient te worde over (o.a.) de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking;
- Betrokkenen geïnformeerd behoren te worden over hun rechten in verband met de verwerking van hun persoonsgegevens.
- Informatie en communicatie omtrent de verwerking van
persoonsgegevens eenvoudig toegankelijk en begrijpelijk dient te zijn.
- Informatie actief, zonder onredelijke vertraging, uiterlijk binnen een maand, kosteloos aan de klant verstrekt dient te worden.
Er zijn procedures opgesteld waarin staat hoe het beleid uitgevoerd behoort te worden. T2-P10 B13: Data mineralization (collection) B14: Use limitation of personal data B17: Disposal, destruction and anonymization
De persoonsgegevens moeten toereikend zijn om het vastgestelde doel te dienen, maar ook hiertoe gelimiteerd te zijn. Dat neemt onder meer met zich mee dat de opslagperiode van persoonsgegevens tot het minimum beperkt dient te worden. Om dit te bewerkstelligen dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan. Een organisatie moet zodanig zijn ingericht met beheersingsmaatregelen dat onjuiste persoonsgegevens worden herzien of gewist.
T2-P12 B1: Privacy policy 1. Er is beleid opgesteld waarin staat dat:
Het uitgangspunt is dat de verzamelde persoonsgegevens alleen verwerkt mogen worden, in het kader van het vooraf vastgestelde doel;
Het vastgestelde doel gedocumenteerd moet worden;
De betrokkene over het doel geïnformeerd dient te worden
2. Er zijn procedures opgesteld waarin staat hoe het beleid uitgevoerd moet worden.
77 notice /
statement T3-P7 B4: Risk
Assessment
Als uitgangspunt geldt dat gevoelige persoonsgegevens niet verwerkt mogen worden. Dit brengt een groter risico met zich mee bij het verwerken van persoonsgegevens, waar in de risicoanalyse specifiek aandacht al zat moeten worden besteed om te bepalen hoe hiermee omgegaan wordt.
T3-P10 B3: Personal Data Identification and Classification
Voorafgaand aan het verzamelen van persoonsgegevens moet vastgesteld worden of er sprake is van gewone persoonsgegevens of bijzondere persoonsgegevens.
T3-P12 B1: Privacy policy Er is beleid opgesteld waarin staat:
Dat een rechtmatige grondslag is vereist voor het verwerken van persoonsgegevens;
Welke rechtmatige grondslagen er zijn en wanneer deze van toepassing (kunnen) zijn;
De toepasbare grondslag en de rationale daarachter, vastgelegd moeten worden door de verwerkingsverantwoordelijke;
Dat het uitgangspunt is dat bijzondere persoonsgegevens niet verwerkt mogen worden, inclusief de uitzonderingen waaronder bijzondere persoonsgegevens wél verwerkt mogen worden.
Er zijn procedures opgesteld waarin staat hoe het beleid uitgevoerd moet worden.
T4-P3 B1: Privacy Policy B2: Roles & Responsibilities
Controleerbaarheid: Het kwaliteitsaspect controleerbaarheid omvat de mate waarin het mogelijk is vast te stellen dat de verwerking van persoonsgegevens in overeenstemming met de andere
kwaliteitsaspecten verloopt. Daarnaast is controleerbaarheid de mate waarin het mogelijk is inzicht te krijgen in de structurering en werking van een object.
T4-P10 B13: Data mineralization B29: Measures on
Persoonsgegevens behoren toereikend, relevant, nauwkeurig en correct te zijn gelet om de doeleinden waarvoor ze worden verzameld en vervolgens verwerkt.
78 accuracy and completeness of personal data T4-P11 B25: Identity & access management B26: Secure transmission of personal data B24: Information security policy
De verwerking van persoonsgegevens dient te voldoen aan een zekere kwaliteit. Vier kwaliteitsaspecten, gebaseerd op IT audits, kunnen daarbij onderscheiden worden: exclusiviteit, integriteit, continuïteit en controleerbaarheid
Exclusiviteit. Uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken van persoonsgegevens;
Integriteit. De persoonsgegevens moeten in overeenstemming zijn de werkelijkheid. Persoonsgegevens mogen niet onterecht worden achtergehouden of verdwijnen;
Continuïteit. Persoonsgegevens, en daarvan afgeleide informatie, moeten terstond beschikbaar zijn overeenkomstig daarover gemaakte afspraken. Continuïteit stelt een ongestoorde voortgang van de gegevensverwerking;
Controleerbaarheid. Het kwaliteitsaspect controleerbaarheid omvat de mate waarin het mogelijk is vast te stellen dat de verwerking van persoonsgegevens in overeenstemming met de andere
kwaliteitsaspecten verloopt. Daarnaast is controleerbaarheid de mate waarin het mogelijk is inzicht te krijgen in de structurering en werking van een object
Er zijn procedures over hoe om te gaan met:
Bewaartermijnen;
Periodieke opschoning;
Eindcontrole bij geautomatiseerde beslissingen;
juistheid-, volledigheid- en autorisatiecontroles bij ingevoerde gegevens
T5-P10 B18: Data access request
Door verwerkingsverantwoordelijken dienen maatregelen te zijn ingesteld om betrokkenen te faciliteren bovenstaande rechten te
79 B19: Data correction request B20: Data deletion request B26: Secure transmission of personal data B27: Encryption of personal data on portable media oefenen. T5-P11 B24: Information security policy
Op het moment dat persoonsgegevens via elektronische weg worden verwerkt, behoren verzoeken ook elektronisch ingediend te kunnen worden.
T5-P12 B1: Privacy Policy Er is beleid opgesteld waarin staat dat de betrokkene recht heeft op:
Inzage;
Rectificatie;
Vergetelheid;
Beperking van verwerking;
Overdraagbaarheid van gegevens;
Bezwaar;
Er zijn procedures opgesteld waarin staat hoe het beleid uitgevoerd moet worden.
T5-P15 B10: Privacy notice / statement
1. Kennisgevingsplicht. De betrokkene behoort iedere vorm van rectificatie, verwijdering of verwerkingsbeperking door de verwerkingsverantwoordelijke gecommuniceerd te krijgen. 2. De verwerkingsverantwoordelijke is verplicht onvertraagd, op z’n
laatst binnen een maand, op een verzoek van de betrokkene te reageren, en om met een uiteenzetting te komen van redenen waarom aan een dergelijk verzoek geen gehoor wordt gegeven.
80 T6- P1, P4, P5 B7: Qualifications of internal personnel B8: Privacy awareness and training
Er dient beveiligingsbewustzijn te worden gecreëerd bij de medewerkers, hierin behoort het management en het bestuur het goede voorbeeld te geven. In het verlengde hiervan behoren er eisen gesteld te worden aan het personeel in het kader van beveiliging en hierop moeten ze
beoordeeld worden.
T6-P3 B2: Privacy Roles & Responsibilities
Beheer en classificatie van de ICT infrastructuur
T6- P11 B24: Information security policy B6: Privacy incident and breach management B16: Data retention B17: Disposal, destruction and anonymization B25: Identity & access management B28: Logging of access to (sensitive) personal data
Tijdens het verwerken van persoonsgegevens moet de beveiliging en vertrouwelijkheid van de gegevens gegarandeerd worden.
Persoonsgegevens en de apparatuur waarop verwerking plaatsvindt, moeten worden afgeschermd tegen ongeoorloofd toegang en gebruik
In het information security beleid en daarop aansluitende
procedures behoren o.a. de volgende zaken vastgesteld te worden: - Beheer en classificatie van de ICT infrastructuur
- Toegangsbeheer en –controle - Netwerken en externe verbindingen - Gebruik van software
- Bulkverwerking van gegevens - Bewaren van gegevens - Vernietiging van gegevens - Calamiteitenplan
Het beveiligingsbeleid wordt regelmatig in geactualiseerde beveiligingsplannen vertaald.
T7-P10 B22: Third party agreements
1. De uitbestede werkzaamheden aan de verwerker, dienen in een overeenkomst tussen de verwerker en verweringsverantwoordelijke vastgelegd te worden.
2. Wanneer de verwerking door de verwerker ten behoeve van de verwerkingsverantwoordelijke zijn afgerond, moet de verwerker de
81
persoonsgegevens aan de verwerkingsverantwoordelijke teruggeven of wissen.
T7-P12 B1: Privacy Policy 1. Er is beleid opgesteld waarin staat dat:
Op het moment de verwerkingsverantwoordelijke verwerkingen door een verwerker laat verrichten, dit alleen is toegestaan als de verwerker voldoende garanties, omtrent beveiliging en
deskundigheid, kan bieden aan de verwerkingsverantwoordelijke. 2. Er zijn procedures opgesteld waarin staat hoe het beleid uitgevoerd
moet worden. T8-
P10/P1 1
B23: Mechanisms for data transfers to non-EU and non-EEA countries
De groei van dit verkeer brengt nieuwe uitdagingen en aandachtspunten met zich voor de bescherming van persoonsgegevens.
T8-P12 B1: Privacy Policy 1. Er is beleid opgesteld waarin staat dat hoe er wordt omgegaan met Verkeer van persoonsgegevens van en naar landen buiten de Unie en internationale organisaties
2. Er zijn procedures opgesteld waarin staat hoe het beleid uitgevoerd moet worden.
T9-P1 B10: Privacy notice / statement
De verwerkingsverantwoordelijke behoort daarnaast, actief, aan te kunnen tonen dat deze maatregelen doeltreffend zijn. Dit kan o.a. door middel van: - goedgekeurde gedragscodes; - goedgekeurde certificering; - aanwijzingen van de FB. T9-P2 B2: Roles & Responsibilies
De organisatie behoort aan te kunnen tonen te voldoen aan de verwerkingseisen, daarvoor dient er overzicht te worden gehouden op het systeem van interne beheersing.
T9-P3 B1: Privacy Policies
1. Voor iedere verwerking van persoonsgegevens die door of namens de verwerkingsverantwoordelijke wordt uitgevoerd, moet de
82 B2: Roles & Responsibilities B15: Privacy architecture (Privacy by design)
verantwoordelijkheid en aansprakelijkheid worden vastgesteld; 2. Aanstellen van een Functionaris Gegevensbescherming. 3. De verwerkingsverantwoordelijke dient vanaf het begin
overwegingen met betrekking tot de privacy te betrekken bij het opstellen van nieuw beleid of het ontwerp van nieuwe systemen met betrekking tot de verwerking van persoonsgegevens.
T9-P7 B4: Risk Assessment B5: Privacy Impact
Assessment for new products & services, processes and systems
Vastgesteld behoort te worden wat het risico is dat de verwerking met zich meebrengt en hoe er gereageerd moet worden op dit risico
T9-P10 B1: Privacy Policies
1. De verwerkingsverantwoordelijke is verplicht passende en effectieve maatregelen te nemen om daarmee te bewerkstelligen dat ieder verwerking in lijn met de AVG wordt uitgevoerd.
2. Daarvoor dienen passend gegevensbeschermingsbeleid en uitvoerende procedures te zijn opgesteld. In dit beleid zal onder andere de uitvoering van een PIA zijn geregeld, het melden van een data lek en het opzetten van een register waarin
verwerkingsactiviteiten worden bijhouden T9-P15 B11: Registration
with the Data Protection Authorities
Wanneer de AP hierom verzoekt, dient iedere
verwerkingsverantwoordelijke en iedere verwerker het register te verstrekken aan de AP in het kader van het houden van toezicht op de verwerkingsactiviteiten.
Proces ingesteld omtrent meldplicht datalekken aan de AP en (eventueel) de betrokkene(n).
83
Bijlage 4. Beheersingsmaatregelen.
Bron: (CBP, NIVRA, NOREA, 2005) en (Mr. W.R. Nanninga, 2017)
De onderstaande 31 privacy beheersingsmaatregelen zijn samengesteld n.a.v. het onderzoek dat is uitgevoerd door W. Nanninga, A. Ougajou en H. Koetsier voor het opstellen van het Privacy Control (Mr. W.R. Nanninga, 2017). N.a.v. de validatie van het raamwerk, zijn er twee beheersingsmaatregelen aan de lijst toegevoegd. Namelijk B32 Privacy Officer en B33 Processing register.
B1 Privacy Policies
B2 Privacy Roles & Responsibilities
B3 Personal Data Identification and Classification B4 Risk Assessment
B5 Privacy Impact Assessment for new products & services, processes and systems B6 Privacy incident and breach management
B7 Qualifications of internal personnel B8 Privacy awareness and training
B9 Legal review of changes in regulatory and business requirements B10 Privacy notice / statement
B11 Registration with the Data Protection Authorities B12 Consent framework (opt-ins / opt-outs)
B13 Data minemalization (collection) B14 Use limitation of personal data
B15 Privacy architecture (Privacy by design) B16 Data retention
B17 Disposal, destruction and anonymization B18 Data access request
B19 Data correction request B20 Data deletion request
B21 Third party disclosure and registration B22 Third party agreements
B23 Mechanisms for data transfers to non-EU and non-EEA countries B24 Information security policy
B25 Identity & access management B26 Secure transmission of personal data
B27 Encryption of personal data on portable media B28 Logging of access to (sensitive) personal data
B29 Measures on accuracy and completeness of personal data B30 Review om privacy compliancy
B31 Periodic monitoring on privacy controls B32 Privacy Officer
B33 Processing register
84