PRIVACY GAP SCAN ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) SURF WERKGROEP IST EN SOLL

Maat: px
Weergave met pagina beginnen:

Download "PRIVACY GAP SCAN ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) SURF WERKGROEP IST EN SOLL"

Transcriptie

1 PRIVACY GAP SCAN ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) SURF WERKGROEP IST EN SOLL

2 Colofon Privacy GAP scan werkgroep IST, Privacy in het Hoger Onderwijs SURF PO Box 19035, 3501 DA Utrecht T Auteurs Huib Gardeniers (Erasmus Universiteit) Peter Oost (Erasmus Universiteit) Hermine Groenendaal (Saxion) Renata van Leeuwaarde (Universiteit van Tilburg) Eindredactie Gezamenlijk product van de SURF Projectgroep 'Voorbereiding Implementatie Algemene Verordening Gegevensbescherming' SURF is de ICT-samenwerkingsorganisatie van het hoger onderwijs en onderzoek (www.surf.nl). Deze publicatie is digitaal beschikbaar via de website van SURFnet (https://www.surf.nl/themas/beveiliging/beleidsondersteuning-privacy/implementatie-algemene-verondeninggegevensbescherming-avg/index.html) SURF Versie 1.0 December 2014 Deze publicatie verschijnt onder de Creative Commons licentie Naamsvermelding 3.0 Nederland. 1

3 Het voorstel van de Europese Commissie voor een Algemene Verordening Gegevensbescherming (AVG) uit 2012 zal voor een verantwoordelijke voor de gegevensverwerking enkele ingrijpende veranderingen meebrengen. Een belangrijke verandering is dat de Verordening ervan uitgaat dat een verantwoordelijke continu weet moet hebben van, en grip moet hebben op, de verwerkingen die onder zijn verantwoordelijkheid vallen. Het voorstel voor de Verordening benoemt veel meer dan nu wat in procedures, mechanismen en maatregelen vooraf moet zijn geregeld. Deze scan is een hulpmiddel om beter zicht te krijgen op de onderwerpen die voorafgaande de invoering van de Verordening nog moeten worden opgepakt. Het moet een beeld geven van de kloof ( gap ) tussen de bestaande situatie en de gewenste situatie. De focus van de scan is daarbij gericht op maatrelen die getroffen moeten worden op het terrein van beheer en beleid. Ten tijde van het opstellen van de scan was de tekst van de Verordening nog niet definitief. De door het Europees Parlement in maart 2014 aangenomen amenderingen op het voorstel, en de voorstellen van de Raad voor Justitie en Binnenlandse Zaken voor een gedeeltelijke algemene benadering over de ontwerpverordening zijn niet in de scan meegenomen. De reden hiervoor is dat onduidelijk is in hoeverre deze wijzigingen worden overgenomen in de definitieve tekst voor de Verordening. Deze scan gaat daarom uit van de tekst van het voorstel van de Europese Commissie uit December

4 PRIVACY GAP SCAN ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Inzicht in wat er moet gebeuren De scan is een hulpmiddel om inzicht te krijgen in hoeverre nu al afdoende privacy-beleid aanwezig is (inclusief maatregelen, mechanismen en procedures), en wat mist. De komende verplichtingen in de Algemene Verordening Gegevensbescherming (AVG) staan daarbij centraal. De scan geeft de kloof ( gap ) aan tussen de bestaande situatie (IST) en de straks vereiste situatie (SOLL). Omdat een groot deel van de verplichtingen - direct of indirect - ook nu al verplicht zijn onder de huidige wet en regelgeving kan de kloof mede worden veroorzaakt doordat op dit moment nog niet, of niet in voldoende mate, in overeenstemming met de huidige wettelijke eisen wordt gewerkt. Dit vormt ook nu al een acuut aandachtspunt. In de scan zijn diverse verwijzingen naar de overeenkomstige huidige verplichtingen in de Wet bescherming persoonsgegevens (Wbp) meegenomen. De scan richt zich vooral op het aanwezige privacy beleid. Een van belangrijke wijzigingen die de AVG meebrengt is dat veel meer dan onder de huidige Wbp - expliciet beleid moet worden ontwikkeld waarop in het kader van de naleving actief intern toezicht moet plaatsvinden. De organisatie moet continu in control zijn. Uitleg checklist Eerste kolom: de nummering per onderdeel Tweede kolom: het onderwerp Derde kolom: de relevante artikelen in de AVG Vierde kolom: de overeenkomstige gelijkwaardige artikelen in de Wbp die ook nu al van kracht zijn Vijfde kolom: de Wbp 2015 kolom bevat specifieke wet- en regelgeving en jurisprudentie die - voorafgaande dat de AVG van kracht wordt - al moet worden nageleefd In veel gevallen zijn de velden in de tweede, derde of vierde kolom grijs gearceerd. In dat geval wordt de verplichting in verband met beleid (procedures, mechanismes en maatregelen) direct of indirect in de wet- en regelgeving (zoals de AVG of de Wbp) geregeld. Het verder in de scan benoemde verplichte beleid zal in veel gevallen een afgeleide van de AVG/wettelijke voorschriften zijn. Het volgt als het ware uit de AVG/wettelijke voorschriften. Om aan de voorwaarden in de AVG of de wet te voldoen is het voor grotere organisaties en instellingen bijna onmogelijk in overeenstemming met de regelgeving te werken zonder deze maatregelen, mechanismen en procedures. 3

5 In de derde en vierde kolom is dit aangegeven met een X, wat dus betekent: niet direct in de wet genoemd maar indirect toch verplicht/noodzakelijk beleid (maatregelen, mechanismen en procedures ). In MoSCoW terminologie een Must. Een (X) betekent dat het aanbevolen beleid (maatregelen, mechanismen en procedures) betreft (in MoSCoW terminologie een Should ). Voor wie is de scan bedoeld? Voor wat betreft algemene vragen, zoals met betrekking tot het organisatie overkoepelende beleid en implementatie, is de scan bedoeld voor diegenen die de coördinatie en uitvoering van de implementatie van de AVG toebedeeld hebben gekregen, of die specifieke gemeenschappelijke taken uitvoeren, zoals vaak in verband met contracten of beveiliging. Voor wat betreft de overgebleven specifieke vragen, en implementatievragen t.a.v. specifieke verwerkingen, is de scan bedoeld voor de coördinatoren van de verschillende onderdelen (afdelingen/faculteiten/etc.), waarbij de coördinatie en verantwoordelijkheid bij de direct leidinggevende/verantwoordelijk binnen dat onderdeel ligt. Inhoud De voorschriften in de afzonderlijke bepalingen in de AVG zijn in de GAP SCAN gegroepeerd in afzonderlijke onderwerpen. Er is wat betreft de onderwerpen een onderscheid gemaakt in: Deel (I) de meer algemene onderdelen van het beleid vooral gericht op de organisatie, en Deel (II) beleid gericht op afzonderlijke verwerkingen. Onder II zijn de maatregelen opgenomen in het kader van de toelaatbaarheid van concrete persoonsgegevensverwerkingen. Inhoudelijk is vooral hier nog veel hetzelfde als onder de Wbp. Het gaat om beleid (inclusief maatregelen en procedures) gericht op alle persoonsgegevensverwerkingen. Inhoudsopgave (A) Privacy beleid Aanwezigheid privacy beleid (B) Algemene verplichtingen Documentatieplicht Medewerking met de toezichthoudende autoriteit Voorafgaande toestemming en raadpleging Recht beroep in te stellen tegen verantwoordelijke of verwerker Recht op vergoeding en aansprakelijkheid De Functionaris gegevensbescherming (FG) Taken Competentie Positie en bevoegdheden 4

6 Overige maatregelen en besluiten (C) Rolverdeling en afspraken Vastleggen rollen en verantwoordelijkheden Contract met verwerker (= bewerker onder de Wbp) (D) Omgang met gegevens Bewaren en vernietigen van gegevens Beveiliging Meldplicht datalekken betrokkenen Privacyeffectbeoordeling (PIA) Privacy by design en default (E) Rechten van betrokken en informatieplichten Informatieplicht Het recht op informatie, toegang (inzage), rectificatie, vergeten worden, overdraagbaarheid en bezwaar Recht van toegang Recht van gegevensoverdraagbaarheid Recht van rectificatie Recht om vergeten te worden en om gegevens te laten wissen Recht van bezwaar Profilering (II) Beleid gericht op afzonderlijke verwerkingen Toetsing van beginselen van toepassing op alle verwerkingen Vaststellen van maatregelen: Rechtmatigheidsgrondslagen Voorwaarden toestemming Verwerken van gegevens over kinderen Verwerking bijzondere gegevens Verwerking voor historische, statistische en wetenschappelijke doeleinden 5

7 Een korte inhoudelijke toelichting ter verduidelijking Hoe ver reikt de gap? Veel meer verplichtingen dan doorgaans wordt verondersteld, zijn direct en/of indirect nu al onder de huidige Wbp relevant. Bovendien zullen veel van de nieuwe onderwerpen die in de AVG worden benoemd, al voor de inwerkingtreding van de AVG belang zijn, of zelfs verplicht. Denk daarbij aan het recht om vergeten te worden waarover in 2014 door het Europese Hof van Justitie een uitspraak is gedaan waarbij dit recht al wordt erkend. Maar ook de komende Nederlandse wetgeving met betrekking tot datalekken, de toenemende verplichtingen (vooral binnen de overheid) om Privacy Impact Assessments uit te voeren, en de naar verwachting ingrijpende verbreding en verhoging van de boetebevoegdheid van het College bescherming persoonsgegevens. De toelaatbaarheid van gegevens verwerkingen Binnen de huidige Wet bescherming persoonsgegevens richten de voorschriften met betrekking tot de toelaatbaarheid van gegevensverwerkingen zich op het in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerken van gegevens op basis van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dit komt aan de orde bij het vaststellen van een doelstelling bij het verzamelen van gegevens, het verder verwerken van gegevens, toelaatbare grondslagen voor het verwerken van gegevens (zoals met toestemming, op basis van een overeenkomst, of een wettelijke verplichting). Verdere bepalingen zien op het verwerken van gevoelige ( bijzondere ) gegevens, zoals gegevens betreffende de gezondheid, de mate van beveiliging, de kwaliteit en relevantie van gegevens, rechten van betrokkenen (zoals inzage), of verstrekken van gegevens buiten de Europese Unie (+EER). Met kleine nuances is dit wettelijke kader bijna volledig terug te vinden in de AVG. De AVG voegt in dit opzicht vooral enkele extra voorschriften toe. Denk daarbij aan het recht om vergeten te worden, extra voorwaarden ten aanzien van profilering m.b.v. persoonsgegevens of extra informatieplichten. Maar ook expliciete bepalingen met betrekking tot onderwerpen als privacy-bij-design of privacy-by-default welke onderwerpen indirect ook nu al op basis van de Wbp aandachtspunten zijn. Datzelfde geldt voor de expliciete (beveiligings-)maatregelen om datalekken te voorkomen, of het uitvoeren van een risico analyse bij verwerkingen (PIA). De uitvoering: de AVG is straks meer expliciet en uitgewerkt Hoewel veel van deze verplichtingen in de AVG met betrekking tot de uitvoering onder de Wbp in min of meerdere mate ook nu al van belang zijn, is de AVG In dit opzicht wel veel meer expliciet. Kort aangegeven vereist de AVG straks dat een instelling meer continu en actief in controle is hoe wordt omgegaan met persoonsgegevens. De instelling zal daarom goed in beeld moeten hebben wie wat mag met welke gegevens, en vanuit welke rol en taak dat gebeurt. Bij samenwerkingen moet ook nu al worden vastgesteld wie verantwoordelijke partijen zijn in de zin van de wet, en wie bewerkers. Vanuit een actieve controle zal het niet alleen gaan om het beleggen van de verantwoordelijkheden, maar meer en meer ook over het afleggen van verantwoording, ook intern binnen de instelling. Het gaat dus niet alleen om het kunnen tonen van afspraken (zoals wettelijk verplichte bewerkerscontracten), maar vooral aantoonbaar werken volgens de afspraken. 6

8 Deze zorgplicht wordt in de AVG nadrukkelijk vastgelegd. De verantwoordelijke moet beleid ontwikkelen en op basis daarvan effectieve maatregelen nemen om te borgen dat de verwerkingen plaatsvinden conform de bepalingen in de verordening. De verordening vereist daarbij een grotere mate van accountability van de verantwoordelijke voor de gegevensverwerking. Enkel een implementatieproject van de wettelijke vereisten, inclusief het melden van de gegevensverwerkingen zoals dat in het verleden vaak werd gedaan, is onder de AVG zeker niet meer afdoende. De verantwoordelijke moet op ieder moment kunnen aantonen dat passende maatregelen zijn genomen om te zorgen dat de verwerkingen conform de voorschriften worden gevoerd, en dient continu in controle te zijn. Enkele afsluitende opmerkingen: In de scan is het College bescherming persoonsgegevens (Cbp) omschreven als de Toezichthouder. Dit is gedaan omdat de naamgeving van het Cbp binnenkort zal worden aangepast. De laatste kolom kan worden gebruikt om Ja/Nee of Niet van Toepassing in te vullen. Het valt aan te bevelen indien geen antwoord kan worden gegeven aan de hand van het nummer van het onderdeel een toelichting op te nemen. Deze scan is opgesteld op basis van de teksten uit het Voorstel van de Europese Commissie van 25 januari 2012 voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming, 2012/0011 (COD)). Ten tijde van het opstellen waren de door het Europees Parlement op woensdag 12 maart 2014 aangenomen amenderingen op het voorstel, en enkele voorstellen van de Raad voor Justitie en Binnenlandse Zaken voor een gedeeltelijke algemene benadering over de ontwerpverordening wel al bekent. Omdat echter onduidelijk was wat de impact van de amenderingen en voorstellen zijn, is als uitgangspunt voor deze GAP-scan het voorstel van de Europese Commissie uit 2012 genomen. De scan is afgerond in december

9 Deel I AVG Art. Wbp Art. Wbp 2015 A. Privacy beleid A 1 A 2 A 3 A 4 A 5 A 6 A 7 A 8 A 9 Er is een privacy beleid vastgesteld, en voert passende en aantoonbare technische en organisatorische maatregelen uit om er voor te zorgen dat alle verwerkingen in overeenstemming met de regelgeving worden uitgevoerd. De maatregelen zien vooral op: - het bewaren van documentatie (artikel 28 AVG) - gegevensbeveiliging (artikel 30 AVG) - het uitvoeren van een privacy effect beoordeling (PIA, artikel 33 AVG) - het aanwijzen van een Functionaris voor de Gegevensbescherming (artikel 35, lid 1, AVG) - het voldoen aan eisen voor voorafgaande toestemming en raadpleging door de toezichthouder (artikel 34, lid 1 en 2 AVG) Informatie en mededelingen met betrekking tot het beleid ten aanzien van de verwerking(en) en de uitoefening van de rechten van betrokkenen is beknopt, transparant, duidelijk en eenvoudig toegankelijk. Bij informatie specifiek voor kinderen wordt vooral gelet op eenvoudig taalgebruik. De doeltreffendheid van de maatregelen (A2) wordt periodiek getoetst door onafhankelijke controleurs (bijvoorbeeld interne of externe auditors). De bevindingen worden gerapporteerd (bijvoorbeeld aan het College van Bestuur en de Raad van Toezicht). De rapportage bevat een beknopte beschrijving van het beleid en de getroffen maatregelen (6) 22-2 (6) / / /30/ 33/34/3 5 Van alle verwerkingen is een scan formulier ingevuld 1 X X + (X) Van alle verwerkingen is de rechtmatigheid getoetst 2 X X + (X) Er is een overzicht van de inventarisatie van alle verwerkingen beschikbaar dat regelmatig wordt bijgewerkt 3 28 X + (X) In het beleid is opgenomen dat bij nieuwe ontwikkelingen - zoals bij nieuwe verwerkingen (bijvoorbeeld analyses op bestaande gegevens, gebruik voor andere doeleinden, of vertrekkingen aan derde partijen) of nieuwe systemen - vooraf afstemming en overleg moet plaatsvinden met de intern verantwoordelijke(n) voor het privacy-beleid. Er is beleid dat bij contracten en aanbestedingen relevante aspecten van de AVG direct worden meegenomen. Toelichting: zo kan bij aanbestedingen met betrekking tot specificaties van de functionele eisen en wensen in het Request for Information of het Request for Proposal een vertaling worden opgenomen van de mogelijkheden van privacy by design en privacy by default, de voorwaarden om aan de meldplicht datalekken te voldoen, de verplichting tot het uitvoeren van een privacy effect beoordeling (PIA), en de beveiligingseisen. X X (X) (X) (X) 1 Hiervoor is een afzonderlijk formulier beschikbaar 2 Zie in deze scan met name onder onderdeel II: Beleid gericht op afzonderlijke verwerkingen 3 Hiervoor is een afzonderlijk inventarisatieformulier beschikbaar 8

10 B. Beleid: algemene verplichtingen B1 B2 Documentatieplicht: AVG Art. Wbp Art. Er is beleid vastgesteld om te voldoen aan de documentatieplicht, waaronder passende maatregelen: om te waarborgen dat - voor alle verwerkingen - de documentatie die noodzakelijke is om blijvend te voldoen aan de 28 (X) voorwaarden regelmatig up-to date wordt gehouden Er is beleid vastgesteld om te voldoen aan de documentatieplicht, waaronder passende maatregelen: 28-2 X + (X) voor het bijhouden van documentatie m.b.t. alle verwerkingen die onder zijn verantwoordelijkheid plaatsgevonden. De documentatie bevat ten minste de volgende informatie: - naam en contactgegevens verantwoordelijke+(indien van toepassing) medeverantwoordelijke(n) of bewerker(s); 28-2a naam en de contactgegevens van de FG; 28-2b naam en contactgegevens van verantwoordelijken aan wie gegevens worden verstrekt (indien van toepassing) 28-2ba de doeleinden van de verwerking, waaronder de gerechtvaardigde belangen; 28-2c beschrijving van de categorieën betrokkenen en hen betreffende persoonsgegevens; 28-2d indien van toepassing, de doorgifte van gegevens naar een derde land of een internationale organisatie; 28-2f algemene aanwijzing betreffende bewaar-, verwijderings-/vernietigings- termijnen van verschillende gegevens; 28-2g (X) - de beschrijving van de mechanismen voor het bewaren van de documentatie 28-2h Wbp 2015 B3 Voorafgaande toestemming en voorafgaande raadpleging De verantwoordelijke heeft beleid opgesteld en maatregelen getroffen om de Toezichthouder of de Privacy Functionaris alle informatie te verstrekken op grond waarvan deze de conformiteit en de risico s kunnen beoordelen van verwerkingen waarvoor voorafgaande toestemming en voorafgaande raadpleging op basis van artikel 34 AVG moet plaatsvinden. 34 (51 ev.) De Functionaris gegevensbescherming (FG) B4 Er is op basis van de eisen in artikel 35 AVG een FG aangesteld 35-1a (62 ev.) B5 Er zijn met betrekking tot de aanstelling maatregelen getroffen, waaronder een apart besluit waarin de aanstellingsduur, taken, verantwoordelijkheden en bevoegdheden van de FG zijn beschreven en toegekend, inclusief een functie- en wettelijk bepaald competentieprofiel (22-2) o.b.v. Wbp is FG een keuze Taken van de FG: B6 - De verantwoordelijke heeft de taken van de FG beschreven en vastgesteld, waaronder: 37 (X) - het informeren en adviseren over hun verplichtingen en het documenteren van deze activiteit en de ontvangen 37-1a (X) antwoorden; - het toezien op de uitvoering en toepassing van het beleid, met inbegrip van de toewijzing van 37-1b (X) verantwoordelijkheden, de opleiding van betrokken personeel en de betreffende audits; - het toezien op met name de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren, en het uitoefenen van rechten van betrokkenen; 37-1c (X) 9

11 - ervoor zorgen dat de in artikel 28 bedoelde documenten worden bewaard; 37-1d (X) - het toezien op het documenteren, melden en meedelen van inbreuken in verband met persoonsgegevens overeenkomstig de artikelen 31 en 32 AVG; 37-1-e - het toezien op de uitvoering van de privacy effect beoordelingen op het verzoek om voorafgaande toestemming of 37-1f raadpleging, voor zover daartoe o.g.v. de artikelen 33 en 34 een verplichting bestaat; - medewerking aan de toezichthoudende autoriteit op diens verzoek of op eigen initiatief van de FG; 37-1g - het optreden als contactpunt voor de toezichthouder. 37-1h (X) X Competentie van de FG: B7 De verantwoordelijke heeft de FG aangesteld op basis van zijn professionele kwaliteiten, waaronder: aantoonbare deskundigheid op het gebied van privacywetgeving; 35-5 (63-1) - aantoonbare deskundigheid op het gebied van de praktijk; 35-5 (X) - in staat om toe te zien op de toepassing van de verplichtingen van privacy by design en by default; voldoende expertise om toe te zien op de uitvoering en toepassing van gegevensbeveiliging B8 De FG beschikt over de competenties om alle wettelijke taken van de FG uit te voeren (X) Positie en bevoegdheden van de FG: B9 De verantwoordelijke heeft ervoor gezorgd dat de FG: 36 - naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van 36-1 persoonsgegevens. - zijn plichten en taken onafhankelijk kan vervullen 36-2 (63-2) - geen instructies ontvangt met betrekking tot de uitoefening van zijn functie (63-2) - rechtstreeks verslag kan uitbrengen aan de verantwoordelijke (64-4) B De verantwoordelijke ondersteund de FG bij de vervulling van zijn taken en zorgen voor personeel, kantoren, 36-3 (64-3) 10 uitrusting en alle andere benodigde middelen. B 11 De verantwoordelijke heeft ervoor gezorgd dat alle andere beroepswerkzaamheden van de FG verenigbaar zijn met zijn taken en verplichtingen als FG en niet tot een belangenconflict leiden B 12 B 13 B 14 Overige maatregelen en besluiten met betrekking tot de FG: De verantwoordelijke heeft de FG aangewezen voor een periode van ten minste 2 jaar en beleid geformuleerd ten aanzien van herbenoeming. De verantwoordelijk heeft de naam en contactgegevens van de FG meegedeeld aan de Toezichthouder en openbaar gemaakt aan het publiek. Er zijn door de verantwoordelijke maatregelen getroffen zodat betrokkenen het recht wordt geboden met de FG in contact te treden over alle aangelegenheden aangaande de verwerking van persoonsgegevens (63-3) B 15 Medewerking met de toezichthoudende autoriteit Maatregelen die de verantwoordelijke in staat stellen op verzoek medewerking aan de Toezichthouder te verlenen bij de uitoefening van haar taken, zoals: - met name door het verstrekken van de in artikel 53, lid 2, onder a. en b. betreffende toegang tot persoonsgegevens en alle informatie, toegang tot gebouwen en terreinen, inclusief installaties 29-1 (X) 10

12 B 16 - bij het binnen een door de Toezichthouder aangegeven redelijke tijd te reageren, en in reactie op de Toezichthouder informatie ter beschikking te stellen van de getroffene maatregelen en bereikte resultaten. Recht beroep in te stellen tegen verantwoordelijke of verwerker De verantwoordelijke heeft procedures opgesteld en maatregelen getroffen voor het geval een betrokkene zijn recht een beroep in te stellen uitoefent tegen de verantwoordelijke (X) 75 B 17 B 18 B 19 Recht op vergoeding en aansprakelijkheid De verantwoordelijke heeft procedures en maatregelen getroffen om uitoefening te geven aan het recht op 77 vergoeding van schade, geleden door een persoon als gevolg van een onrechtmatige verwerking of een handeling die strijdig in met de verordening. Er zijn maatregelen getroffen dat bij eventuele contracten met derden met dit recht rekening wordt gehouden De verantwoordelijk heeft beleid, maatregelen en procedures opgesteld in verband met een vergoeding voor ieder die schade heeft geleden als gevolg van een onrechtmatige verwerking of een handeling in strijd met de regelgeving

13 C. Beleid: Rolverdeling en afspraken C 1 C 2 C 3 Vastleggen rollen en verantwoordelijkheden De verantwoordelijke heeft een sluitende rolverdeling vastgesteld met andere partijen die betrokken zijn bij een verwerking (wie is waarvoor verantwoordelijke en wie bewerker) Indien van gezamenlijke verantwoordelijkheden - waarbij sprake is van een samenwerking met een andere verantwoordelijke - is een onderlinge regeling opgesteld waarin de verantwoordelijken hun feitelijke verantwoordelijkheden voor de nakoming van de verplichtingen hebben vastgesteld. De regeling bevat in ieder geval procedures en mechanismen voor de uitoefening van de rechten van betrokkenen. Indien de verwerking van persoonsgegevens door een niet in de EU/EER gevestigde verantwoordelijke wordt gevoerd heeft de verantwoordelijke een vertegenwoordiger aangewezen indien verplicht op basis van artikel 25 AVG. In dat geval heeft die verantwoordelijke zich verplicht om de bepalingen van de AVG na te leven. (X) (X) 24 (X) 25 (4) C 4 Contract met verwerker (= bewerker onder de Wbp) Indien de verantwoordelijke een verwerker ingeschakeld heeft (die handelt in opdracht v.d. verantwoordelijke), moet de verantwoordelijke een contract afgesloten hebben met de verwerker, waarin is opgenomen dat: - de verwerker aan alle eisen op basis van de regelgeving (AVG) voldoet; 26-1 (X) - de verwerker ervoor in staat dat de rechten van betrokkenen kunnen worden geëffectueerd 26-1 (X) - er voldoende waarborgen zijn voor de tenuitvoerlegging van passende technische en organisatorische maatregelen in het kader van beveiliging en procedures; - de verwerker slechts handelt in opdracht van de van de verantwoordelijke a/27 - de verwerker slechts personeel in dienst neemt dat zich ertoe heeft verplicht vertrouwelijkheid in acht te nemen of 26-2b 12-2 een wettelijke vertrouwelijkheidsplicht heeft; - de verwerker alle uit hoofde van de beveiliging van persoonsgegevens vereiste maatregelen (art 30 AVG) neemt; 26-2c de verwerker slechts met voorafgaande toestemming van de verantwoordelijke een andere verwerker inschakelt 26-2d (X) - de verwerker voor zover dit gelet op de aard van de verwerking mogelijk is, met akkoord van verantwoordelijke de 26-2e (X) nodige technische en organisatorische voorwaarden schept waardoor de verantwoordelijke kan voldoen aan de verzoeken tot uitoefening van rechten van de betrokkenen; - de verwerker de verantwoordelijke bij staat om ervoor te zorgen de verplichtingen uit hoofde van de artikelen 30 t/m 26-2f (X) 34 AVG worden nagekomen; - de verwerker na de beëindiging van de verwerking alle gegevens overhandigt en niet anderszins verwerkt; 26-2g X - de verwerker de verantwoordelijke en de Toezichthouder alle informatie ter beschikking stelt die nodig is om de 26-2h X nakoming van de in dit artikel neergelegde verplichtingen te controleren. - de verwerker zich verplicht onmiddellijk een waarschuwing te sturen, en de verantwoordelijke te informeren in 31-2 geval van een datalek bij de verwerker. 12

14 D. Beleid: Omgang met gegevens Bewaren en vernietigen van gegevens (zie ook recht om vergeten te worden en gegevens te laten wissen) D1 Er is beleid vastgesteld om voor alle verwerkingen te voldoen aan de voorwaarden voor bewaren en vernietigen 5-e 10 van gegevens, waaronder: - Bewaartermijnen van de persoonsgegevens (5-e) Termijnen voor periodieke toetsing van de naleving (5-e) (X) - het gebruik van selectielijsten met in ieder geval aanwijzing welke archiefbescheiden voor vernietiging in aanmerking komen. (5-e) X Beveiliging D2 Er is beleid vastgesteld om voor alle verwerkingen te voldoen aan de voorwaarden voor beveiliging: 22-2/30 13 D3 Er zijn passende technische en organisatorische maatregelen getroffen om een passend beveiligingsniveau te waarborgen rekening houdend met de stand v.d. techniek en de kosten van de uitvoering van de maatregelen. D4 Voor de vaststelling van maatregelen worden risicoanalyses uitgevoerd op de betreffende verwerkingen waarbij 30-2 (X) rekening wordt gehouden met de aard van de te beschermen persoonsgegevens. D5 Er zijn maatregelen genomen ter bescherming van persoonsgegevens: tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, of tegen verlies om andere vormen van onrechtmatige verwerking te voorkomen, met name ongeoorloofde verstrekking of verspreiding van, toegang tot, of wijziging van persoonsgegevens. D6 De geldende normen voor informatiebeveiliging worden toegepast. (30) (13) D7 Er wordt actief en duidelijk richting gegeven aan het beveiligingsbeleid, toont betrokkenheid, en er worden expliciet verantwoordelijkheden voor informatiebeveiliging toegekend. (30) (X) Meldplicht datalekken betrokkenen D8 Er is beleid vastgesteld om te voldoen aan de meldplicht datalekken, waaronder: 31/ beleid om zonder onnodige vertraging en zo mogelijk niet later dan 24 uur nadat hij ervan kennis heeft gekregen, 31-1 aan de meldplicht datalekken te kunnen voldoen in geval van een datalek. - maatregelen en procedures om in geval van een datalek zonder onnodige vertraging en zo mogelijk niet later dan uur nadat de verantwoordelijke ervan kennis heeft, aan de meldplicht te kunnen voldoen, waaronder: - Indien nodig de inbreuk bij de Toezichthouder te melden Indien de melding niet binnen 24 uur bij de Toezichthouder plaatsvindt een motivering wanneer wel 31-1 D9 Er zijn procedures en maatregelen getroffen om ervoor te zorgen dat de verwerker aan de verantwoordelijke 31-2 onmiddellijk een waarschuwing stuurt en hem informeert in geval van een datalek bij hem. D10 Er worden verwerkersovereenkomsten gesloten waarin de verplichting is opgenomen dat de verwerker 31-2/26 onmiddellijk een waarschuwing stuurt en verantwoordelijke informeert in geval van een datalek bij verwerker. D11 De verantwoordelijke treft maatregelen waarin ervoor wordt gezorgd dat de melding omvat: een omschrijving van de aard van de inbreuk in verband met persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen en categorieën en aantallen gegevensrecords; 31-3a 13

15 - de vermelding van de identiteit en de contactgegevens van de functionaris voor gegevensbescherming of een 31-3b ander contactpunt waar meer informatie kan worden verkregen; - aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk te verminderen; 31-3c - een omschrijving van de gevolgen van de inbreuk in verband met persoonsgegevens; 31-3d - een omschrijving van de maatregelen die de verantwoordelijke heeft voorgesteld of genomen om de inbreuk in 31-3e verband met persoonsgegevens aan te pakken. D12 Er is beleid vastgesteld dat als zich datalekken voordoen de verantwoordelijke alle inbreuken in verband met 31-4 persoonsgegevens documenteert, met inbegrip van: - de feiten omtrent de inbreuk, en de gevolgen van de inbreuk documenteert; de corrigerende maatregelen die zijn genomen documenteert D13 Er is beleid dat als zich inbreuken voordoen, waar mogelijk corrigerende maatregelen worden getroffen. (30/31) D14 Er is beleid en er zijn maatregelen getroffen om - ingeval van waarschijnlijke negatieve gevolgen van het datalek (32-1) voor de privacy van de betrokkene, en als niet aantoonbaar kan worden gemaakt dat de toegepaste technische beschermingsmaatregelen passend waren en werden toegepast - na de melding aan de Toezichthouder, zonder onnodige vertraging de betrokkene de inbreuk in verband met persoonsgegevens mee te delen. D15 De verantwoordelijke heeft zorggedragen voor een mededeling die ten minste omvat: omschrijving aard van de inbreuk; 32/31 - de vermelding van de identiteit en de contactgegevens van de functionaris voor gegevensbescherming of een 32/31 ander contactpunt waar meer informatie kan worden verkregen; - aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met 32/31 persoonsgegevens te verminderen. D16 Er zijn maatregelen getroffen zodat de betrokkene onverwijld in kennis kan worden gesteld van een inbreuk als bedoeld in art. 32 lid 1 AVG (32-1) Privacyeffectbeoordeling (PIA) D17 Er is beleid vastgesteld zodat voor verwerkingen met een bijzonder risico voor de rechten en vrijheden van betrokkenen, gezien hun aard, reikwijdte of doeleinden, een beoordeling uitgevoerd kan worden van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens. 33/22 (X) Nieu w voor overheid 33/22 (X) D18 Er zijn procedures en maatregelen getroffen zodat voor verwerkingen met een bijzonder risico een beoordeling wordt uitgevoerd van het privacy effect van de beoogde verwerkingen. D19 De verantwoordelijke voert PIA s uit (of is voornemens PIA s uit te voeren) ingeval van: een systematische en uitgebreide beoordeling van aspecten van de persoonlijkheid, zoals bedoeld in art 33 lid a (X) - een verwerking van gegevens - over het seksuele leven, gezondheid, ras, etnische afkomst, voor het bieden van 33-2b (X) gezondheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geeste- of besmettelijke ziekten - wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen; - bewaking openbaar toegankelijke ruimten (videobewaking); 33-2c (X) - verwerking in grote bestanden inzake kinderen en genetische of biometrische gegevens; 33-2d (X) - andere verwerkingen waarvoor de toezichthouder moet worden geraadpleegd conform art 34 lid 2 onder b AVG. 33-2e (X) 14

16 D20 Beleid waarin vastgesteld dat een beoordeling van een PIA minimaal ziet op: een algemene beschrijving van de beoogde verwerkingen; 33-3 (X) - een beoordeling van de risico s voor de rechten en vrijheden van betrokkenen; 33-3 (X) - de maatregelen die worden beoogd om de risico s te beperken, en de waarborgen, beveiligingsmaatregelen en mechanismen die de bescherming van persoonsgegevens verzekeren en aantonen dat aan de AVG is voldaan, met inachtneming van rechten en gerechtvaardigde belangen van betrokkenen en andere betrokken personen (X) Privacy by design en default D21 Er is beleid vastgesteld en er zijn passende maatregelen getroffen, opdat wordt voldaan aan de beginselen van privacy by design en by default (beleid waarbij met inachtneming van de stand van de techniek en de uitvoeringskosten, zowel bij de vaststelling van de middelen voor de verwerking als bij de verwerking zelf, zodanig passende technische en organisatorische maatregelen en procedures ten uitvoer worden gelegd dat de verwerking aan de voorwaarden van de geldende privacywetgeving voldoet en de bescherming van de rechten van de betrokkene gewaarborgd is) D22 Er zijn mechanismen ingesteld om er voor te zorgen dat alleen die persoonsgegevens worden verwerkt die voor elk specifiek doeleinde nodig zijn. D23 Er zijn mechanismen ingesteld om er voor te zorgen dat met name het verzamelen of bewaren van die gegevens zowel wat betreft hoeveelheid als periode van opslag beperkt word tot dat wat voor die doeleinden strikt noodzakelijk is. D24 Bij het ontwerpen van informatiesystemen, die de privacy van betrokkenen maximaal beschermen, is door de verantwoordelijke rekening gehouden met aandachtspunten als gegevensminimalisatie en de mogelijkheden voor het afschermen van de identiteit individu D25 Procedure om (bestaande) contracten te beoordelen om vast te stellen of, en in hoeverre, is voldaan wordt aan de beginselen van privacy by design en by default ( ) (X) 23 15

17 E. Beleid: Rechten van betrokken en informatieplichten Informatieplicht (nb. de hoeveelheid informatieplichten zijn sterk toegenomen t.o.v. de Wbp) E1 Er zijn procedures en mechanismen vastgesteld voor het verstrekken van de informatie 12 (X) E2 Er zijn maatregelen getroffen om verzoeken elektronisch in te dienen wanneer gegevens geautomatiseerd worden 12-1 verwerkt E3 De verantwoordelijke heeft beleid, procedures en maatregelen vastgesteld om te waarborgen dat iedere ontvanger 13 aan wie gegevens zijn verstrekt op de hoogte wordt gebracht van elke overeenkomstig artikel 16 (Recht van Rectificatie) en artikel 17 (Recht om vergeten te worden) uitgevoerde rectificatie of elk wissen van gegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. E4 Er is beleid vastgesteld inzake de informatieplicht aan betrokkene, waarbij deze ten minste de volgende informatie 14 wordt verstrekt: - de identiteit en de contactgegevens van de verantwoordelijke, de FG en de eventuele vertegenwoordiger; 14-1a 30/33/3 4 - de doeleinden voor de verwerking; 14-1b 30/33/3 4 - de beveiliging, met inbegrip v.d. evt. clausules en algemene voorwaarden waarop de verwerking is gebaseerd; 14-1b/6b - indien van toepassing de afwegingen in het kader van gebruik i.h.k.v. gerechtvaardigd belang (artikel 6, lid 1f). 14-1b/6f - de periode gedurende welke de persoonsgegevens worden opgeslagen; 14-1c - het van recht van toegang, rectificatie, verwijderen of bezwaar maken; 14-1d 30/33/3 4 - het recht een klacht in te dienen bij toezichthouder, inclusief contactgegevens van de toezichthouder; 14-1e - de ontvangers of categorieën ontvangers; 14-1f 30/33/3 4 - het eventuele voornemen tot doorgifte naar een land buiten de EU of een internationale organisatie met een niet 14-1g evenredig beschermingsniveau; - alle verdere informatie die, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen. 14-1h 33/34 E5 Er is beleid i.v.m. het informeren van betrokkenen: - Ingeval de gegevens direct van betrokkene worden verkregen, wordt naast de informatieplichten in artikel 13 en 14 lid 1 AVG, de betrokken tegelijkertijd geïnformeerd in hoeverre het opgeven van de gegevens verplicht is of vrijwillig, en de gevolgen van het niet verstrekken van de gegevens. - Ingeval de gegevens niet direct van betrokkene worden verkregen conform artikel 14 AVG waarin onder meer het tijdstip van verstrekken is opgenomen X

18 Het recht op informatie, toegang (inzage), rectificatie, vergeten worden, overdraagbaarheid en bezwaar E6 Er is beleid ten aanzien van het recht op informatie toegang, rectificatie, vergeten worden, overdraagbaarheid en bezwaar: - wanneer persoonsgegevens geautomatiseerd worden verwerkt, is ervoor gezorgd dat verzoeken elektronisch kunnen worden ingediend; - procedures en mechanismen vastgesteld om de betrokkene in staat te stellen zijn rechten uit te oefenen inzake informatie, toegang, rectificatie, het recht vergeten te worden, overdraagbaarheid en bezwaar; - procedures en mechanismen om (bij het recht op toegang, rectificatie, vergeten worden en bezwaar) de betrokkene schriftelijk onverwijld en uiterlijk 40 dagen na ontvangst van het verzoek van de betrokkene te informeren over de gevraagde informatie, en verstrekt de gevraagde informatie; - procedures en mechanismen voor het geval de verantwoordelijke weigert om actie te ondernemen naar aanleiding van het verzoek. De verantwoordelijke deelt in voorkomende gevallen de betrokkene de redenen voor de weigering mee en informeert hem over de mogelijkheden een klacht in te dienen bij de Toezichthouder beroep, of een beroep in te stellen; - Er zijn maatregelen die bepalen dat de bedoelde informatie, en verzoek verrichte acties in beginsel gratis zijn. Er is een procedure in geval van aantoonbare excessieve uitoefening van rechten waarbij administratieve kosten in rekening kunnen worden gebracht; - Er is een procedure voor het eenduidig vaststellen van de identiteit van de verzoeker (nb. de verantwoordelijke blijft verantwoordelijk voor het aan de juiste persoon verlenen van rechten) (X) 12-2 (X) 12-3 (X) (o.a 35-3) 12-4 o.a. 15-2/ 17-1a/ X Recht van toegang E7 De verantwoordelijke heeft beleid vastgesteld inzake het recht van toegang, waaronder het recht te allen tijde uitsluitsel te verkrijgen omtrent het al dan niet plaatsvinden van verwerkingen van hem betreffende gegevens Er is beleid, en er zijn procedures dat bij een verzoek de volgende informatie wordt verstrekt: de doeleinden van de verwerking voor elke categorie persoonsgegevens; 15-1a de categorieën persoonsgegevens die worden verwerkt; 15-1b ontvangers of categorieën ontvangers aan wie gegevens zijn, of worden verstrekt (name landen buiten EU); 15-1c de bewaartermijn, of anders de criteria waaraan deze termijn moet voldoen; 15-1d - wijzen op het bestaan van het recht op rectificatie of het wissen van persoonsgegevens, of bezwaar te maken; 15-1e - het recht een klacht in te dienen bij toezichthouder, inclusief contactgegevens van de toezichthouder; 15-1f - het belang en de verwachte gevolgen van de verwerking (met name ook gezien artikel 20 AVG); 15-1h Recht van rectificatie E8 Er is beleid vastgesteld inzake het recht op rectificatie, waaronder: het recht op rectificatie van hem betreffende onjuiste persoonsgegevens; het recht op completering van onvolledige persoonlijke persoonsgegevens, onder meer door toevoeging van een rectificerende verklaring; - iedere ontvanger (met inbegrip van de gezamenlijk voor de verwerking verantwoordelijken en verwerkers) wordt op de hoogte gesteld van elke rectificatie van gegevens

19 Recht om vergeten te worden en om gegevens te laten wissen E9 Er is beleid vastgesteld inzake het recht om vergeten te worden en gegevens te laten wissen 17 Googl e vonni s E10 Er zijn maatregelen getroffen dat dit recht kan worden uitgeoefend in geval van een van de volgende gronden: - de gegevens zijn niet langer nodig voor doel waarvoor ze waren verzameld of anderszins; 17-1a - bij intrekking van toestemming waarop de verwerking is gebaseerd; 17-1b - bij het verstrijken van de bewaartermijn, zonder dat er een andere grondslag is de gegevens te verwerken; 17-1b - in geval van een toegekend bezwaar van betrokkene tegen de verwerking (artikel 19 AVG); 17-1c - de gegevens onrechtmatig worden verwerkt. 17-1d E11 Er zijn procedures en maatregelen voor het onverwijld kunnen wissen, waaronder: - alle redelijke maatregelen genomen, waaronder technische maatregelen, om gegeven te wissen, ook bij derde partijen teneinde derden die deze gegevens verwerken ervan op de hoogte te stellen dat een betrokkene hun 17-2 verzoekt ieder koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen; - mechanismen vastgesteld om ervoor te zorgen dat de termijnen die zijn vastgesteld voor het wissen van 17-3 persoonsgegevens en/of voor de periodieke beoordeling van de noodzaak van de opslag van de gegevens, in acht worden genomen; - afzonderlijk beleid i.v.m. de uitzondering voor historisch, statisch of wetenschappelijk onderzoek (art. 83 AVG); 17-3c - afzonderlijk beleid ten aanzien van afzien van wissen bij gelimiteerde verwerking conform art. 17 lid 4 AVG; 17-4 Recht van gegevensoverdraagbaarheid E12 Er is beleid inclusief procedures en maatregelen - vastgesteld inzake het recht op overdraagbaarheid van gegevens (recht van betrokkene op een kopie van de gegevens die worden verwerkt in een elektronisch en gestructureerd formaat dat algemeen wordt gebruikt), waaronder procedures en maatregelen zodat de gegevens verder door de betrokkene kunnen worden gebruikt. 18 Recht van bezwaar E13 Er is beleid vastgesteld inzake het recht van bezwaar, waaronder: 19 (40+41) - procedures en maatregelen vastgesteld voor uitoefening van het recht van bezwaar 19-1 X - maatregelen dat de betreffende persoonsgegevens door de verantwoordelijke niet langer gebruikt of anderszins verwerkt worden wanneer een bezwaar gegrond wordt verklaard X Profilering Er is beleid vastgesteld inzake profilering, waaronder: 42 E14 Beleid gericht op het recht om niet te worden onderworpen aan een maatregel waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die deze in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking. E15 Beleid wanneer een dergelijke maatregel wel mag worden genomen, zoals: - Wanner deze wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst; of, 20-2a 41-2a - wanneer deze uitdrukkelijk is toegestaan bij de wet; of, 20-2b 41-2b 18

20 - wanneer de betrokkene zijn toestemming heeft gegeven. 20-2c E16 Passende maatregelen en waarborgen bij de toepassing van profilering, te weten (overweging nr. 58): - specifiek voldoen aan de informatieplicht; OW58 - het recht op menselijke tussenkomst; OW58 - de bepaling dat een dergelijke maatregel geen betrekking heeft op kinderen. OW58 19

21 Deel II. Beleid gericht op afzonderlijke verwerkingen (veel gelijkenissen met de Wbp) Alle verwerkingen moeten worden getoetst AVG Wbp Wbp 2015 Er zijn procedures en maatregelen op basis waarvan kan worden vastgesteld dat: 1 - verwerkingen in overeenstemming zijn met de wet + eerlijk (behoorlijke en zorgvuldig) en transparant; 5a gegevens worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden; 5b gegevens adequaat en ter zake dienend zijn voor de doeleinden waarvoor zij worden verwerkt; 5c persoonsgegevens alleen herleidbaar worden verwerkt als het niet anoniem kan (dataminimalisatie); 5c gegevens alleen worden verzameld en verwerkt als deze juist en nauwkeurig zijn; 5d Alle redelijke maatregelen zijn genomen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren; 7 - gegevens niet langer herleidbaar worden bewaard dan noodzakelijk voor doel verwerking; 5e de aard van de te verwerken persoonsgegevens per gegevensverwerking is vastgesteld; X X 9 - niet meer persoonsgegevens worden verwerkt dan noodzakelijk; X om ervoor te zorgen dat persoonsgegevens up to date worden gehouden en worden bijgewerkt; X X 11 - wie de verantwoordelijke is, en wie bewerker (verwerker) voor de gegevensverwerkingen; X X 12 - dat elke verwerking voldoet aan de bepalingen van deze verordening. X X Rechtmatigheidsgrondslagen (nb. vrijwel identiek aan de Wbp) 13 Bij aanvang, gebruik en verandering van gegevensverwerking wordt gecontroleerd en vastgesteld dat de gegevensverwerking rechtmatig is (concreet houdt dit in dat er een gerechtvaardigde grondslag moet zijn om gegevens te verwerken, zoals: toestemming van de betrokkene, uitvoering van een overeenkomst, voldoen aan een wettelijke verplichting, het beschermen van een vitaal belang, de vervulling van een taak van algemeen belang of openbaar gezag, of de behartiging van het gerechtvaardigde belang van de verantwoordelijke). 6 8 Voorwaarden bij het gebruik van toestemming (nb. identiek onder huidige Wbp maar wel meer expliciet) 14 Bij gebruik toestemming als grondslag moet de verantwoordelijke: kunnen aantonen dat de betrokkene geïnformeerd toestemming heeft gegeven voor de verwerking voor 7-1 X welbepaalde doeleinden. - een afweging hebben gemaakt of er geen sprake is van een onevenwichtigheid tussen de positie van de betrokkene en de verantwoordelijke. X Verwerken van gegevens over kinderen 15 Maatregelen op basis waarvan er specifieke regels worden gehanteerd voor het geven van informatie aan en het verkrijgen van toestemming van minderjarigen en/of hun vertegenwoordigers 16 Maatregelen en procedures opstellen zodat uitvoering kan worden gegeven aan het recht van betrokkene om zijn toestemming te allen tijde in te trekken

22 17 De verantwoordelijke die rechtstreeks diensten van de informatiemaatschappij aanbiedt aan kinderen jonger dan 13 jaar heeft voor het verkrijgen van toestemming voor de verwerking van persoonsgegevens methodes ingericht met inachtneming van de beschikbare technologie. Verwerking bijzondere gegevens 18 Beleid om te voorkomen dat de verantwoordelijke geen bijzondere persoonsgegevens verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of overtuiging, of het lidmaatschap van een vakvereniging blijkt, en de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen of daarmee verband houdende veiligheidsmaatregelen, tenzij dit verbod niet geldt ev. Verwerking van gegevens voor historische, statistische en wetenschappelijke doeleinden 19 Er is beleid dat bij verwerking van gegevens voor historische, statistische en wetenschappelijke doeleinden volgens de specifieke voorwaarden gesteld in artikel 83 gehandeld wordt. 20 Er zijn maatregelen getroffen die ervoor zorggedragen dat persoonsgegevens alleen voor historische, statistische (83-1) of wetenschappelijke doeleinden worden verwerkt, wanneer: - deze doeleinden niet op een andere manier kunnen worden bereikt, namelijk door verwerking van gegevens 83-1a waarmee de betrokkene niet of niet langer kan worden geïdentificeerd; - gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, 83-1b gescheiden worden bewaard van andere informatie, voor zover deze doeleinden op die manier kunnen worden bereikt (pseudonimisering) 21 Er worden ten aanzien van de langere perioden dat gegevens voor historische, statistische en wetenschappelijke 5-e doeleinden mogen worden bewaard, periodieke beoordelingen uitgevoerd of de gegevens nog steeds opgeslagen moeten blijven. 22 De verantwoordelijke die historisch, statistisch of wetenschappelijk onderzoek verricht, heeft ernaar gehandeld dat 83-2 persoonsgegevens alleen worden gepubliceerd of op andere wijze bekend worden gemaakt, wanneer: - de betrokkene onder de in artikel 7 gestelde voorwaarden daarvoor toestemming heeft gegeven; 83-2a - de publicatie van persoonsgegevens nodig is om de onderzoeksresultaten te presenteren of het onderzoek te 83-2b vergemakkelijken, mits de belangen of grondrechten en vrijheden van de betrokkene geen voorrang hebben; - de betrokkene de gegevens bekend heeft gemaakt. 83-2c 21

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon. Privacyreglement Intermedica Kliniek Geldermalsen Versie 2, 4 juli 2012 ALGEMENE BEPALINGEN Artikel 1. Begripsbepalingen Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare

Nadere informatie

8.50 Privacyreglement

8.50 Privacyreglement 1.0 Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; 2. Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben

Nadere informatie

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. Vastgesteld door de Raad van Bestuur, november 2010 Artikel 1 Begripsbepalingen 1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. 1.2 verwerking van persoonsgegevens:

Nadere informatie

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV)

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting

Nadere informatie

Privacyreglement Hulp bij ADHD

Privacyreglement Hulp bij ADHD Privacyreglement Hulp bij ADHD Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad

Nadere informatie

Privacyreglement KOM Kinderopvang

Privacyreglement KOM Kinderopvang Privacyreglement KOM Kinderopvang Doel: bescherming bieden van persoonlijke levenssfeer van de ouders en kinderen die gebruik maken van de diensten van KOM Kinderopvang. 1. Algemene bepalingen & begripsbepalingen

Nadere informatie

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE IN AANMERKING NEMENDE: dat bij de Stichting Eduroute verschillende educatieve distributeurs zijn aangesloten; dat deze educatieve distributeurs

Nadere informatie

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming

Nadere informatie

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen PRIVACYREGLEMENT Hoofdstuk 1: Algemene bepalingen Artikel 1: Begripsbepaling 1. In dit reglement wordt in aansluiting bij en in aanvulling op de Wet Bescherming Persoonsgegevens (Staatsblad 2000, 302)

Nadere informatie

Is uw onderneming privacy proof?

Is uw onderneming privacy proof? Is uw onderneming privacy proof? Seminar Privacy 6 november 2014 Floor de Roos Advocaat handelsrecht 1 De Wet bescherming persoonsgegevens in vogelvlucht 2 1. Is sprake van persoonsgegevens? Ruim begrip:

Nadere informatie

Privacy reglement. Inleiding

Privacy reglement. Inleiding Privacy reglement Inleiding De Wet bescherming persoonsgegevens (WBP) vervangt de Wet persoonsregistraties (WPR). Daarmee wordt voldaan aan de verplichting om de nationale privacywetgeving aan te passen

Nadere informatie

Privacyreglement. Inhoudsopgave. Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012

Privacyreglement. Inhoudsopgave. Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012 Pagina 1 van 7 Privacyreglement Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012 Inhoudsopgave Hoofdstuk 1: Algemene bepalingen artikel 1: Begripsomschrijvingen artikel 2: Reikwijdte artikel

Nadere informatie

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Privacyreglement QPPS LIFETIMEDEVELOPMENT QPPS LIFETIMEDEVELOPMENT treft hierbij een schriftelijke regeling conform de Wet Bescherming Persoonsgegevens voor de verwerking van cliëntgegevens. Vastgelegd

Nadere informatie

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1. Begripsbepalingen 1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2. Gezondheidsgegevens Persoonsgegevens die direct of indirect betrekking

Nadere informatie

onderzoek en privacy WAT ZEGT DE WET

onderzoek en privacy WAT ZEGT DE WET onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving

Nadere informatie

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid Bewerkersovereenkomst Afnemer Logius behorende bij het aanvraagformulier MijnOverheid De ondergetekenden: [ ], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. PRIVACY REGLEMENT Algemene bepalingen Begripsbepalingen 1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2 Gezondheidsgegevens / Bijzondere

Nadere informatie

1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. PRIVACYREGLEMENT 1. Begripsbepalingen 1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 2. Zorggegevens: persoonsgegevens die direct of indirect

Nadere informatie

PRIVACYREGLEMENT BEST

PRIVACYREGLEMENT BEST PRIVACYREGLEMENT BEST BURGEMEESTER EN WETHOUDERS VAN BEST; gelet op de bepalingen van de Wet bescherming persoonsgegevens en artikel 4 van de Verordening verwerking persoonsgegevens gemeente Best; B E

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016 PRIVACY SIDN fonds Menno Weij 3 februari 2016 AGENDA Privacy Privacywetgeving van toepassing Plichten voor bedrijven Rechten betrokkenen Toezichthouder Ruimte voor vragen en discussie TERMINOLOGIE Belangrijkste

Nadere informatie

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams "Samen Doen" worden uitgevoerd in opdracht van het

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams Samen Doen worden uitgevoerd in opdracht van het O0SOPo 01-04-15 Hardenberg Privacy protocol gemeente Hardenberg Burgemeester en wethouders van de gemeente Hardenberg; Gelet op de: Wet bescherming persoonsgegevens (Wbp) Wet maatschappelijke ondersteuning

Nadere informatie

PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN

PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN 1. Begripsbepalingen. Persoonsgegevens; Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Zorggegevens Persoonsgegevens

Nadere informatie

De bestuurder van de Stichting Advies en Klachtenbureau Jeugdzorg te Amsterdam;

De bestuurder van de Stichting Advies en Klachtenbureau Jeugdzorg te Amsterdam; Privacyreglement Stichting Advies en Klachtenbureau Jeugdzorg De bestuurder van de Stichting Advies en Klachtenbureau Jeugdzorg te Amsterdam; Overwegende Dat het Advies en Klachtenbureau Jeugdzorg tot

Nadere informatie

KNKV reglement persoonsregistratie via het KISS Gebaseerd op het modelreglement van NOC*NSF

KNKV reglement persoonsregistratie via het KISS Gebaseerd op het modelreglement van NOC*NSF KNKV reglement persoonsregistratie via het KISS Gebaseerd op het modelreglement van NOC*NSF Artikel 1. Artikel 2. Artikel 3. Artikel 4. Artikel 5. Artikel 6. Artikel 7. Artikel 8. Artikel 9. Artikel 10.

Nadere informatie

Privacyreglement. Algemene bepalingen. Doelstelling

Privacyreglement. Algemene bepalingen. Doelstelling Doelstelling Privacyreglement Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet bescherming persoonsgegevens, verder te noemen WBP. Dit reglement is van toepassing

Nadere informatie

Bewerkersovereenkomst ARVODI-2014

Bewerkersovereenkomst ARVODI-2014 Instructie: 1 - Teksten/bepalingen die optioneel zijn, staat voor vermeld. - Bij teksten waar OF tussen de bepalingen in staat, dient een keuze tussen de verschillende opties gemaakt te worden.

Nadere informatie

PRIVACYREGLEMENT NKA

PRIVACYREGLEMENT NKA PRIVACYREGLEMENT NKA INHOUD 1. WANNEER IS DIT PRIVACYREGLEMENT VAN TOEPASSING?... 3 2. DOEL PRIVACYREGLEMENT... 3 3. WIE IS VERANTWOORDELIJK VOOR UW GEGEVENS?... 3 4. WELKE PERSOONSGEGEVENS VERWERKT NKA?...

Nadere informatie

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Gedragscode voor Onderzoek & Statistiek Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Inhoudsopgave 1. Considerans...3 2. Begripsbepaling...3 3. Omschrijving van de sector en toepassingsgebied...4

Nadere informatie

Privacy protocol Sociaal domein gemeente Waterland 2015

Privacy protocol Sociaal domein gemeente Waterland 2015 GEMEENTEBLAD Officiële uitgave van gemeente Waterland. Nr. 6717 29 januari 2015 Privacy protocol Sociaal domein gemeente Waterland 2015 Het college van burgemeester en wethouders van Waterland, overwegende

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Privacyreglement Kindertherapeuticum

Privacyreglement Kindertherapeuticum 1. Begripsbepalingen Binnen de Wet Bescherming Persoonsgegevens (WBP) wordt een aantal begrippen gehanteerd. In onderstaande lijst staat een uitleg van de begrippen. 1.1 Persoonsgegevens Elk gegeven betreffende

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

PRIVACY REGLEMENT - 2015

PRIVACY REGLEMENT - 2015 PRIVACY REGLEMENT - 2015 Jasnante re-integratie onderdeel van Jasnante Holding B.V. (kvk nr. 52123669 ) gevestigd aan de Jacob van Lennepkade 32-s, 1053 MK te Amsterdam draagt zorg voor de geheimhoudingsverplichting

Nadere informatie

1. Begrippen. 2. Doel van het Cameratoezicht

1. Begrippen. 2. Doel van het Cameratoezicht Protocol cameratoezicht Stichting Stadgenoot Dit protocol is van toepassing op alle persoonsgegevens, verkregen door middel van het gebruik van videocamera s door stichting Stadgenoot (Sarphatistraat 370

Nadere informatie

Privacyreglement Stichting Peuterspeelzalen Steenbergen

Privacyreglement Stichting Peuterspeelzalen Steenbergen Privacyreglement Stichting Peuterspeelzalen Steenbergen 1. Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het betreft hier

Nadere informatie

Privacyreglement AMK re-integratie

Privacyreglement AMK re-integratie Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste

Nadere informatie

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 >

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 > PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 > Artikel 1 Begripsbepalingen In deze Privacyregeling wordt

Nadere informatie

Inleiding, toelichting... 2. Algemene bepalingen... 2. Artikel 1: Begripsbepalingen... 2. Artikel 2: Reikwijdte... 3. Artikel 3: Doel...

Inleiding, toelichting... 2. Algemene bepalingen... 2. Artikel 1: Begripsbepalingen... 2. Artikel 2: Reikwijdte... 3. Artikel 3: Doel... PRIVACYREGLEMENT REGIORECHT ANTI-FILESHARINGPROJECT INHOUD Inleiding, toelichting... 2 Algemene bepalingen... 2 Artikel 1: Begripsbepalingen... 2 Artikel 2: Reikwijdte... 3 Artikel 3: Doel... 3 Rechtmatige

Nadere informatie

Privacyreglement OCA(Zorg)

Privacyreglement OCA(Zorg) Privacyreglement OCA(Zorg) Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Privacyreglement van De Zaak van Ermelo

Privacyreglement van De Zaak van Ermelo Privacyreglement van De Zaak van Ermelo ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Dit is een voorbeeld van een Bewerkersovereenkomst zoals gegenereerd met de Bewerkersovereenkomst generator van ICTRecht: https://ictrecht.nl/diensten/juridische-generatoren/bewerkersovereenkomstgenerator/

Nadere informatie

1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Privacyreglement Kraambureau Tilly Middendorp Vooraf De WBP (Wet Bescherming Persoonsgegevens) verplicht de instelling niet meer tot het maken van een privacyreglement. Dat betekent niet, dat het niet

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Reglement bescherming persoonsgegevens Kansspelautoriteit

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Reglement bescherming persoonsgegevens Kansspelautoriteit STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 21460 29 juli 2014 Reglement bescherming persoonsgegevens Kansspelautoriteit De raad van bestuur van de Kansspelautoriteit,

Nadere informatie

Informatie over privacywetgeving en het omgaan met persoonsgegevens

Informatie over privacywetgeving en het omgaan met persoonsgegevens Informatie over privacywetgeving en het omgaan met persoonsgegevens Inleiding Op 1 september 2001 is de Wet Bescherming Persoonsgegevens (WBP) in werking getreden. Hiermee werd de Europese Richtlijn over

Nadere informatie

Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming

Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming Een naslagwerk bij het gebruik van het document Privacy GAP Scan als onderdeel van de Implementatie Algemene

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

Privacyreglement. van. DoorWerk

Privacyreglement. van. DoorWerk Privacyreglement van DoorWerk Dit privacyreglement is vastgesteld op 01-01-2010 Dit privacyreglement dient als basis voor het vastleggen door het reïntegratiebedrijf hoe het omgaat met de privacy en de

Nadere informatie

Privacyreglement. September 2010 Versie definitief HRM 1

Privacyreglement. September 2010 Versie definitief HRM 1 Privacyreglement Artikel 1 Definities In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens verstaan onder: 1. de wet: de Wet bescherming Persoonsgegevens. 2.

Nadere informatie

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen PRIVACY VERKLARING Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Privacyreglement Potenco

Privacyreglement Potenco Privacyreglement Potenco Artikel 1 Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Aangifte bij de privacycommissie (CBPL) - WAT

Aangifte bij de privacycommissie (CBPL) - WAT (CBPL) - WAT > De aangifte is een handeling waarmee de verantwoordelijke voor de verwerking de CBPL op de hoogte stelt dat hij een verwerking van persoonsgegevens zal uitvoeren. > De aangifte bestaat vooral

Nadere informatie

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V. POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid

Nadere informatie

Privacyreglement Bureau Streefkerk B.V.

Privacyreglement Bureau Streefkerk B.V. Privacyreglement Bureau Streefkerk B.V. Inleiding Van alle personen die door Bureau Streefkerk worden begeleid, dat wil zeggen geadviseerd en ondersteund bij het zoeken, verkrijgen en behouden van een

Nadere informatie

Privacyreglement Werkvloertaal 26 juli 2015

Privacyreglement Werkvloertaal 26 juli 2015 Privacyreglement Werkvloertaal 26 juli 2015 Algemeen Privacyreglement Werkvloertaal Pagina 1 van 6 Algemeen Privacyreglement Werkvloertaal De directie van Werkvloertaal, overwegende, dat het in verband

Nadere informatie

Privacyreglement CURA XL

Privacyreglement CURA XL Artikel 1. Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens (WBP) daaraan

Nadere informatie

Privacyreglement. Thuiszorg De Zorgster

Privacyreglement. Thuiszorg De Zorgster Privacyreglement Thuiszorg De Zorgster Doel van het reglement De Wet Bescherming Persoonsgegevens vereist dat persoonsgegevens in overeenstemming met de wet op behoorlijke en zorgvuldige wijze dienen te

Nadere informatie

Regeling bescherming persoonsgegevens. Artikel 1 Begripsbepalingen

Regeling bescherming persoonsgegevens. Artikel 1 Begripsbepalingen Regeling bescherming persoonsgegevens Artikel 1 Begripsbepalingen In deze regeling wordt verstaan onder: a. beheerder: de functionaris die door de verantwoordelijke aangewezen is om in het kader van deze

Nadere informatie

Privacyreglement Dr. Leo Kannerhuis Bijgewerkt: 03-12-2014

Privacyreglement Dr. Leo Kannerhuis Bijgewerkt: 03-12-2014 Privacyreglement Dr. Leo Kannerhuis Bijgewerkt: 03-12-2014 Inleiding en doel In het Dr. Leo Kannerhuis worden persoonsgegevens van zowel patiënten als van medewerkers verwerkt. Het gaat daarbij vaak om

Nadere informatie

Privacyreglement verwerking Cursisten gegevens Oxford Opleidingen

Privacyreglement verwerking Cursisten gegevens Oxford Opleidingen Privacyreglement verwerking Cursisten gegevens Oxford Opleidingen Artikel 1 Begripsbepalingen In dit reglement wordt verstaan onder: 1. Cursist: persoon die een opleiding volgt op een onder het bevoegd

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) 7 november 2013 1 Inhoud

Nadere informatie

PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING

PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING Panta Rhei Zorg BV en Panta Rhei Beheer & Bewind BV kent een privacyreglement welke ten doel heeft het

Nadere informatie

gewoondoenreintegratie

gewoondoenreintegratie Privacy reglement gewoondoenreintegratie Versie 1.2 26-06-2013 ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in

Nadere informatie

VERPLICHTINGEN VAN DE VERANTWOORDELIJKE VOOR DE GEGEVENSVERWERKING

VERPLICHTINGEN VAN DE VERANTWOORDELIJKE VOOR DE GEGEVENSVERWERKING Bijlage 1 Betreft: Informatie inzake de privacy-wetgeving INLEIDING De Privacywet is van toepassing op elke geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op elke niet-geautomatiseerde

Nadere informatie

Privacyreglement Patiënten_def 1

Privacyreglement Patiënten_def 1 Privacyreglement Patiënten Ziekenhuis Amstelland Ziekenhuis Amstelland gaat zorgvuldig om met persoonlijke en vertrouwelijke gegevens. In dit reglement wordt beschreven op welke wijze dat gebeurt. Artikel

Nadere informatie

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Koninklijk Horeca Nederland DATUM 5 februari

Nadere informatie

Bewerkersovereenkomst ARVODI-2014 Contractnummer: [ ].

Bewerkersovereenkomst ARVODI-2014 Contractnummer: [ ]. Instructie: - Teksten/bepalingen die optioneel zijn, staat voor vermeld. - Bij teksten waar OF tussen de bepalingen in staat, dient een keuze tussen de verschillende opties gemaakt te worden.

Nadere informatie

SWPBS vanuit juridisch oogpunt

SWPBS vanuit juridisch oogpunt SWPBS vanuit juridisch oogpunt Samenvatting uit: De Wilde M., en Van den Berg A. (2012), SWPBS, vanuit juridisch oogpunt, afstudeerrapport juridische afdeling Christelijke Hogeschool Windesheim, Zwolle

Nadere informatie

Privacyreglement Isala voor patiënten en medewerkers

Privacyreglement Isala voor patiënten en medewerkers Privacyreglement Isala voor patiënten en medewerkers 1 Algemene bepalingen 1.1 Begripsbepalingen 1.1.1 Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Nadere informatie

ECIB/U201501573 Lbr. 15/079

ECIB/U201501573 Lbr. 15/079 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft Privacy: de Europese Algemene Verordening Gegevensbescherming & de Meldplicht Datalekken

Nadere informatie

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit Privacyreglement van Dutch & Such ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming

Nadere informatie

Protocol gebruik dienstauto's en elektronische rittenregistratie Omgevingsdienst Groningen

Protocol gebruik dienstauto's en elektronische rittenregistratie Omgevingsdienst Groningen Protocol gebruik dienstauto's en elektronische rittenregistratie Omgevingsdienst Groningen Het Algemeen Bestuur van de Omgevingsdienst Groningen, Overwegende dat het wenselijk is een regeling vast te stellen

Nadere informatie

1.8. Betrokkene Degene over wie Persoonsgegevens in de Persoonsregistratie zijn opgenomen.

1.8. Betrokkene Degene over wie Persoonsgegevens in de Persoonsregistratie zijn opgenomen. Privacyreglement 1. Begripsbepalingen 1.1. Persoonsgegevens Een gegeven dat herleidbaar is tot een individuele natuurlijke persoon. 1.2. Persoonsregistratie Elke handeling of elk geheel van handelingen

Nadere informatie

Privacy Gedragscode Keurmerk RitRegistratieSystemen

Privacy Gedragscode Keurmerk RitRegistratieSystemen Pagina 1 van 5 Privacy Gedragscode Keurmerk RitRegistratieSystemen Inleiding Dit document dient als bijlage bij alle systemen waarbij het Keurmerk RitRegistratieSystemen (RRS) wordt geleverd en is hier

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) Versie no 4: 1 juli

Nadere informatie

Stichting Werkgroep Medische Missers werkt met vrijwilligers en betaalde krachten.

Stichting Werkgroep Medische Missers werkt met vrijwilligers en betaalde krachten. Privacy reglement Reglement inzake de bescherming van persoonsgegevens door, in overeenstemming met de Wet Bescherming Persoonsgegevens. biedt integrale ondersteuning/ begeleiding en advies door casemanagers

Nadere informatie

PRIVACYREGLEMENT. Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht. Inhoudsopgave

PRIVACYREGLEMENT. Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht. Inhoudsopgave Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht PRIVACYREGLEMENT Inhoudsopgave Algemene bepalingen Art 1. Begripsbepalingen Art 2. Reikwijdte Art 3. Doel Rechtmatige verwerking persoonsgegevens

Nadere informatie

Privacy Reglement Flex Advieshuis

Privacy Reglement Flex Advieshuis Privacy Reglement Flex Advieshuis Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In aanvulling op de Wet bescherming persoonsgegevens en het Besluit Gevoelige Gegevens wordt in dit reglement

Nadere informatie

Ook worden gegevens die uit het intake-gesprek naar voren zijn gekomen en die belangrijk kunnen zijn voor de hulpverlening verwerkt.

Ook worden gegevens die uit het intake-gesprek naar voren zijn gekomen en die belangrijk kunnen zijn voor de hulpverlening verwerkt. Privacyreglement 1. Inleiding Ten behoeve van haar hulpverleningsactiviteiten registreert Community Support gegevens van haar klanten. Het doel van dit privacyreglement is de klanten op de hoogte te stellen

Nadere informatie

Privacyreglement Stichting Welzijn Ouderen Bergen op Zoom

Privacyreglement Stichting Welzijn Ouderen Bergen op Zoom Privacyreglement Stichting Welzijn Ouderen Bergen op Zoom 1 Vooraf De Wet Bescherming Persoonsgegevens (WBP) vervangt de Wet PersoonsRegistraties (WPR). Daarmee wordt voldaan aan de verplichting om de

Nadere informatie

Privacybescherming bij het verwerken van cliëntgegevens Prof.mr.dr. M.A.J.M. Buijsen

Privacybescherming bij het verwerken van cliëntgegevens Prof.mr.dr. M.A.J.M. Buijsen Privacybescherming bij het verwerken van cliëntgegevens Prof.mr.dr. M.A.J.M. Buijsen Erasmus School of Law/Erasmus Medisch Centrum Erasmus Universiteit Rotterdam buijsen@bmg.eur.nl Onderwerpen Uitgangspunten

Nadere informatie

Privacyreglement Paswerk en Werkpas Holding BV

Privacyreglement Paswerk en Werkpas Holding BV Privacyreglement Paswerk en Werkpas Holding BV Artikel 1. Definities. In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens verstaan onder: 1. de wet: de Wet

Nadere informatie

Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp)

Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp) Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp) 1. Begripsbepaling 1.1. Persoonsgegevens Alle gegevens die herleidbaar zijn tot een individuele natuurlijke persoon. 1.2. Zorggegevens

Nadere informatie

(./; KEURMERK RITRE GIS TRATI ESYSTE MEN. Gedragscode ten behoeve van ritregistratiesystemen

(./; KEURMERK RITRE GIS TRATI ESYSTE MEN. Gedragscode ten behoeve van ritregistratiesystemen Gedragscode ten behoeve van ritregistratiesystemen "Gedragscode Privacy RRS" Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) (./; KEURMERK RITRE

Nadere informatie

gelet op de bepalingen van de Wet bescherming persoonsgegevens; Regeling bescherming persoonsgegevens gemeente Emmen 2015

gelet op de bepalingen van de Wet bescherming persoonsgegevens; Regeling bescherming persoonsgegevens gemeente Emmen 2015 Het College van Burgemeester en Wethouders van Emmen, overwegende, dat de verwerking van persoonsgegevens binnen de gemeentelijke organisatie moet voldoen aan Europese en Nederlandse wetgeving, dat het

Nadere informatie

ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR

ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR ARTIKEL 1 ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis

Nadere informatie

Privacy Gedragscode RitRegistratieSystemen Privacy Gedragscode RRS

Privacy Gedragscode RitRegistratieSystemen Privacy Gedragscode RRS Privacy Gedragscode RitRegistratieSystemen Privacy Gedragscode RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) Versie: 1.2 (concept) Datum:

Nadere informatie

Privacy reglement. Concreet PD

Privacy reglement. Concreet PD Privacy reglement Concreet PD Augustus 2010 1. Begripsbepalingen 1.1 Persoonsgegevens Een gegeven dat herleidbaar is tot een individuele natuurlijke persoon. 1.2 Persoonsregistratie Elke handeling of elk

Nadere informatie

Privacyreglement 2015

Privacyreglement 2015 Het doel van dit privacyreglement betreft een praktische uitwerking geven van de bepalingen van de Wet Bescherming Persoonsgegevens, verder te noemen Wbp. Inhoudsopgave 1. Begripsbepalingen p. 2 2. Reikwijdte

Nadere informatie

Privacyreglement BON-holding BV. Zuidbroek, 10 oktober 2013 Auteur: P. Bouman

Privacyreglement BON-holding BV. Zuidbroek, 10 oktober 2013 Auteur: P. Bouman Privacyreglement BON-holding BV Zuidbroek, 10 oktober 2013 Auteur: P. Bouman I Algemene bepalingen Artikel 1 Begripsbepaling In deze gedragscode wordt in aansluiting en aanvulling op de Wet bescherming

Nadere informatie

PRIVACY REGLEMENT PERCURIS

PRIVACY REGLEMENT PERCURIS PRIVACY REGLEMENT PERCURIS Inleiding. Van alle personen die door Percuris, of namens Percuris optredende derden, worden begeleid -dat wil zeggen geïntervenieerd, getest, gere-integreerd, geadviseerd en

Nadere informatie

NVM BEWERKERSOVEREENKOMST

NVM BEWERKERSOVEREENKOMST NVM BEWERKERSOVEREENKOMST DE ONDERGETEKENDEN: 1. De besloten vennootschap met beperkte aansprakelijkheid ID CHECKER.NL B.V., gevestigd te Haarlem, ten deze enerzijds rechtsgeldig vertegenwoordigd door

Nadere informatie

concretiseren binnen de door de Wbp gestelde kaders.] Voorts zal de WV Schieland dit

concretiseren binnen de door de Wbp gestelde kaders.] Voorts zal de WV Schieland dit PROTOCOL Het protocol Wet Bescherming Persoonsgegevens (Wbp) zoals bedoeld in artikel 9 van het huishoudelijk reglement, is vastgesteld overeenkomstig artikel 13 lid 2 en lid 3 van de statuten van WV Schieland

Nadere informatie

Privacyreglement cliënten SIG

Privacyreglement cliënten SIG Privacyreglement cliënten SIG Inhoudsopgave Algemene bepalingen Art 1. Begripsbepalingen Art 2. Reikwijdte Art 3. Doel Rechtmatige verwerking persoonsgegevens Art 4. Voorwaarden voor rechtmatige verwerking

Nadere informatie

NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht

NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht Studiebijeenkomst 18 december 2012 NVBI Proposal General Data Protection Regulation Eva N.M. Visser IT Advocaat Bestuurslid Vereniging Privacy Recht Inhoud 1. Huidig juridisch kader 2. Doelstellingen

Nadere informatie

Privacyreglement EVC Dienstencentrum

Privacyreglement EVC Dienstencentrum PRIVACYREGLEMENT Privacyreglement EVC Dienstencentrum De directie van het EVC Dienstencentrum: Overwegende dat het in verband met een goede bedrijfsvoering wenselijk is een regeling te treffen omtrent

Nadere informatie

Gedragscode Persoonlijk Onderzoek. 21 december 2011

Gedragscode Persoonlijk Onderzoek. 21 december 2011 Gedragscode Persoonlijk Onderzoek 21 december 2011 Inleiding Verzekeraars leggen gegevens vast die nodig zijn voor het sluiten van de verzekeringsovereenkomst en die van belang zijn voor het nakomen van

Nadere informatie