Relaties Privacy Baseline met Afgeleide Principes

Uit NORA Online
Ga naar: navigatie, zoeken
Deze pagina is een concept. Reacties via nora@ictu.nl of tekstvoorstellen in de wiki zijn welkom.


Privacy Baseline CIP

De behoefte om de privacywetten 'grijpbaarder' te maken was de aanleiding voor het ontstaan van de Privacy Baseline van het Centrum Informatiebeveiliging en Privacybescherming (CIP). Binnen het CIP-netwerk werd aangedragen dat men de strekking en de bedoelingen van de privacywetgeving begreep, maar de toepassing in de organisatie lastig vond. De tweede aanleiding was het in zwang komen van de term 'informatieveiligheid', waarin informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en privacybescherming met elkaar worden verknoopt.

Het idee van de Privacy Baseline is om de privacywetgeving te presenteren als een traditioneel normenkader, zoals we dat in de discipline van de Informatiebeveiliging al langer kennen. De privacywetgeving, aanvankelijk de Wet Bescherming Persoonsgegevens en vanaf mei 2018 de Algemene Verordening Gegevensbescherming (AVG), is in de Privacy Baseline vertaald naar 13 criteria die vervolgens systematisch zijn uitgewerkt in 'conformiteitsindicatoren': concrete aanwijzingen over hoe je het betreffende principe kunt verwezenlijken. Er is een analogie met de bekende nomenkaders voor de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen., maar in zijn aanpak stoelt de Privacy Baseline op de systematische benadering van de SIVA-methode. Deze is de afgelopen jaren door CIP verspreid en wordt steeds meer toegepast in overheidskringen. Er zijn drie typen baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. principes: de b staat voor het beleidsdomein, de u voor het uitvoeringsdomein en de c voor controle/beheer.

Relaties Baseline Principes CIP en Afgeleide Principes

Om de Privacy Baseline aan het NORA-gedachtegoed te koppelen hebben we de afgeleide principes van de NORANederlandse Overheid ReferentieArchitectuur en de criteria van de Privacy Baseline onderzocht op 'common ground'. Het doel hiervan is om te toetsen hoe privacy geborgd is in de afgeleide principes. En om vanuit het perspectief van de Privacy Baseline kritisch te kijken of er nog aanvullingen of aanpassingen aan (de uitwerkingen van) de afgeleide principes nodig zijn.

De relaties tussen de baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. en de afgeleide principes zijn soms behoorlijk 1-op-1, maar soms vereist de bedoelde overeenkomst enige lenigheid van denken. Dit komt door de uiteenlopende herkomst en scope van de NORANederlandse Overheid ReferentieArchitectuur en Privacy Baseline. U01 Doelbinding en AP15 Doelbinding zijn bijvoorbeeld één op één te vertalen, als het gaat om ketensamenwerking wordt doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. nog verder ondersteund door AP27: één verantwoordelijke organisatie. Voor de doorgifte van persoonsgegevens is ook AP15 Doelbinding van belang, maar de uitwerking van dit privacy baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. principe is terug te vinden in nog vier AP's.

Hieronder vind je een overzicht van de gevonden common ground tussen de Privacy Baseline Principes aan de linkerkant en de Afgeleide Principes aan de rechterkant. De eventuele toelichting van de relatie vind je in het midden. De resultaten op deze pagina is een eerste proeve, wij zijn benieuwd naar commentaar en suggesties.
(aan de extra dubbele punten in de linkerkant van de kolom wordt gewerkt)


Privacy Baseline Principe Beschrijving relatie NORANederlandse Overheid ReferentieArchitectuur principe
U.04: Beveiligen van de verwerking van persoonsgegevens De AVG geeft rechten van de burger een centrale plaats; door de introductie in de wet van het ontwikkelprincipe Privacy by Design en de vereisten van PET, en de eis van Privacy by Default, moet de dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers) ook in de ontwikkelstadia rekening houden met de afnemerDe persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn. van de dienst, in dit geval de burger, wiens informatie in de beoogde gegevensverwerking wordt gebruikt. AP19: Perspectief gebruiker
U.04: Beveiligen van de verwerking van persoonsgegevens AP29: De dienstverlener voldoet aan de norm
U.04: Beveiligen van de verwerking van persoonsgegevens De normen waaraan de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. moet voldoen zijn vastgelegd. AP30: Verantwoording dienstlevering mogelijk
U.04: Beveiligen van de verwerking van persoonsgegevens AP33: Baseline kwaliteit diensten
U.06: Bewaren van persoonsgegevens Dit criterium legt de bewaartermijn en de wijze van bewaren vast. Dit is direct gerelateerd aan rechtmatigheid. AP30: Verantwoording dienstlevering mogelijk
U.06: Bewaren van persoonsgegevens AP33: Baseline kwaliteit diensten
U.06: Bewaren van persoonsgegevens AP44: Controleerbaarheid
U.01: Doelbinding gegevensverwerking Doelbinding wordt geborgd door het van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk vastleggen en omschrijven van de doeleinden en de rechtvaardigingsgronden. AP15: Doelbinding (AP)
U.01: Doelbinding gegevensverwerking Van iedere doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. ligt vast wie namens de organisatie verantwoordelijk is voor de doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.: de verwerkingsverantwoordelijke. AP27: Een verantwoordelijke organisatie
U.07: Doorgifte persoonsgegevens Van alle uit te wisselen en uitgewisselde objecten moet eenduidig zijn vastgelegd hoe aan de privacywetgeving wordt en blijft voldaan. AP15: Doelbinding (AP)
U.07: Doorgifte persoonsgegevens Over alle gegevensuitwisselingen heen moet een actueel en samenhangend beeld bestaan. AP17: Informatie-objecten systematisch beschreven
U.07: Doorgifte persoonsgegevens Van alle partijen waaraan gegevens worden doorgegeven moeten afspraken vastliggen hoe het klantcontact is geregeld. AP20: Persoonlijke benadering
U.07: Doorgifte persoonsgegevens De onderlinge verantwoordelijkheden moeten eenduidig zijn vastgelegd, zodat de betrokkene weet wie aan te spreken. AP27: Een verantwoordelijke organisatie
U.07: Doorgifte persoonsgegevens In de afspraken is de dienst nauwkeurig beschreven, is bekend wie de afnemers zijn en zijn de afspraken nauwkeurig vastgelegd. Dit gebeurt voorafgaand aan de gegevenslevering. AP28: Afspraken vastgelegd
U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens De gegevensverwerking dient nauwkeurig en helder (transparant) te zijn beschreven, zodat duidelijk is op welke wettelijke basis of goedkeuring van betrokkene de gegevensverwerking kan plaatsvinden en hoe een eventueel afgegeven goedkeuring kan worden ingetrokken. De goedkeuring vindt in een dialoog plaats. AP05: Nauwkeurige dienstbeschrijving
U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens Dit criterium geldt voor alle klantcontacten en alle verwerkingen. AP20: Persoonlijke benadering
C.01: Intern toezicht Het houden van intern toezicht is nodig om te bepalen of de verwerking / dienst aan de vereisten voldoet en maakt daarmee onderdeel uit van het gestructureerde cyclisch proces. AP31: PDCA-cyclus in besturing kwaliteit
C.01: Intern toezicht Toezicht maakt het de verantwoordelijke van de gegevensverwerking mogelijk om op ieder niveau verantwoording te kunnen afleggen over de kwaliteit van de privacyborging. AP34: Verantwoording besturing kwaliteit
C.01: Intern toezicht AP44: Controleerbaarheid
U.03: Kwaliteitsmanagement De kwaliteit en daarmee de juistheid en nauwkeurig-heid van de persoonsgegevens wordt in de gegevens-verwerking geborgd. Bij onnauwkeurigheid, ook wanneer een gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat niet meer actueel is, zijn er processen, waarmee de gegevens gecorrigeerd, gestaakt en zonodig overgedragen kunnen worden. Deze mogelijk gaat verder dan interne controle op de juistheid. Ook de juistheid in de ogen van de betrokkene moet zijn gewaarborgd. AP25: Transparante dienstverlening
U.03: Kwaliteitsmanagement AP26: Afnemer heeft inzage
U.03: Kwaliteitsmanagement AP33: Baseline kwaliteit diensten
U.03: Kwaliteitsmanagement AP44: Controleerbaarheid
C.03: Meldplicht Datalekken Als het beschermen van de privacy niet aan de kwaliteitscriteria heeft voldaan waarbij mogelijk de privacy bij is geschaad, dan wordt aan betrokkene(n) en bevoegde controlerende instanties daarover duidelijkheid verschaft en verantwoording afgelegd. AP30: Verantwoording dienstlevering mogelijk
B.02: Organieke inbedding De verantwoordelijkheden zijn in de TVB van de organisatie vastgelegd. Deze TVB is op het hoogste niveau vastgesteld. AP32: Sturing kwaliteit op het hoogste niveau
B.01: Privacybeleid Van de dienst (in AVG-termen: de gegevensverwerking) is duidelijk hoe de privacy wordt gewaarborgd. AP05: Nauwkeurige dienstbeschrijving
B.01: Privacybeleid Borging vindt plaats in een cyclisch beleidscyclus. Deze is in het privacybeleid vastgelegd. AP31: PDCA-cyclus in besturing kwaliteit
B.01: Privacybeleid Het privacybeleid is op het hoogste niveau van de organisatie goedgekeurd en geldt daarmee voor de gehele organisatie, waardoor de samenhang over der verschillende domeinen heen en voor de gehele dienstenportfolio geldt. AP32: Sturing kwaliteit op het hoogste niveau
B.01: Privacybeleid In het beleid is vastgelegd aan welke baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. het dienstenportfolio moet voldoen, zodat duidelijk is aan welke kwaliteitscriteria wordt voldaan. Het volwassenheidsmodel helpt de baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. te hanteren. AP33: Baseline kwaliteit diensten
U.02: Register van verwerkingsactiviteiten In het register zijn alle objecten eenduidig vastgelegd. AP16: Identificatie informatie-objecten
U.02: Register van verwerkingsactiviteiten Van de persoonsgegevens zijn de metagegevens vastgelegd, zodat duidelijk is of er uitwisseling / door wie verwerking plaatsvindt en er een actueel en samenhangend beeld ontstaat (transparant en toegankelijk). AP17: Informatie-objecten systematisch beschreven
B.03: Risicomanagement Privacy by Design en de GEB De risico's en de genomen maatregelen, bestaande uit de gehanteerde baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. en de benodigde aanvullende maatregelen zijn duideljk. Om het passend zijn van de maatregelen in de tijd te borgen vindt er continu management plaats, waarbij de resultaten worden meegenomen in de criteria B.01 Privacybeleid en B.02 Organieke inbedding. AP33: Baseline kwaliteit diensten
B.03: Risicomanagement Privacy by Design en de GEB AP34: Verantwoording besturing kwaliteit
C.02: Toegang gegevensverwerking voor betrokkenen Doordat een betrokkene inzage heeft in de eigen informatie en de gegevensverwerking (het gebruik) kan een betrokkene zien hoe de privacy wordt geborgd. AP26: Afnemer heeft inzage
C.02: Toegang gegevensverwerking voor betrokkenen Door het bieden van toegang kan verantwoording worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat over hoe de dienst wordt geleverd / de verwerking wordt vormgegeven en hoe het beheer plaatsvindt. AP30: Verantwoording dienstlevering mogelijk
C.02: Toegang gegevensverwerking voor betrokkenen AP34: Verantwoording besturing kwaliteit
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen