PRIVACY GAP SCAN ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) SURF WERKGROEP IST EN SOLL

Transcriptie

1 PRIVACY GAP SCAN ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) SURF WERKGROEP IST EN SOLL

2 Colofon Privacy GAP scan werkgroep IST, Privacy in het Hoger Onderwijs SURF PO Box 19035, 3501 DA Utrecht T info@surf.nl Auteurs Huib Gardeniers (Erasmus Universiteit) Peter Oost (Erasmus Universiteit) Hermine Groenendaal (Saxion) Renata van Leeuwaarde (Universiteit van Tilburg) Eindredactie Gezamenlijk product van de SURF Projectgroep 'Voorbereiding Implementatie Algemene Verordening Gegevensbescherming' SURF is de ICT-samenwerkingsorganisatie van het hoger onderwijs en onderzoek ( Deze publicatie is digitaal beschikbaar via de website van SURFnet ( SURF Versie 1.0 December 2014 Deze publicatie verschijnt onder de Creative Commons licentie Naamsvermelding 3.0 Nederland. 1

3 Het voorstel van de Europese Commissie voor een Algemene Verordening Gegevensbescherming (AVG) uit 2012 zal voor een verantwoordelijke voor de gegevensverwerking enkele ingrijpende veranderingen meebrengen. Een belangrijke verandering is dat de Verordening ervan uitgaat dat een verantwoordelijke continu weet moet hebben van, en grip moet hebben op, de verwerkingen die onder zijn verantwoordelijkheid vallen. Het voorstel voor de Verordening benoemt veel meer dan nu wat in procedures, mechanismen en maatregelen vooraf moet zijn geregeld. Deze scan is een hulpmiddel om beter zicht te krijgen op de onderwerpen die voorafgaande de invoering van de Verordening nog moeten worden opgepakt. Het moet een beeld geven van de kloof ( gap ) tussen de bestaande situatie en de gewenste situatie. De focus van de scan is daarbij gericht op maatrelen die getroffen moeten worden op het terrein van beheer en beleid. Ten tijde van het opstellen van de scan was de tekst van de Verordening nog niet definitief. De door het Europees Parlement in maart 2014 aangenomen amenderingen op het voorstel, en de voorstellen van de Raad voor Justitie en Binnenlandse Zaken voor een gedeeltelijke algemene benadering over de ontwerpverordening zijn niet in de scan meegenomen. De reden hiervoor is dat onduidelijk is in hoeverre deze wijzigingen worden overgenomen in de definitieve tekst voor de Verordening. Deze scan gaat daarom uit van de tekst van het voorstel van de Europese Commissie uit December

4 PRIVACY GAP SCAN ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Inzicht in wat er moet gebeuren De scan is een hulpmiddel om inzicht te krijgen in hoeverre nu al afdoende privacy-beleid aanwezig is (inclusief maatregelen, mechanismen en procedures), en wat mist. De komende verplichtingen in de Algemene Verordening Gegevensbescherming (AVG) staan daarbij centraal. De scan geeft de kloof ( gap ) aan tussen de bestaande situatie (IST) en de straks vereiste situatie (SOLL). Omdat een groot deel van de verplichtingen - direct of indirect - ook nu al verplicht zijn onder de huidige wet en regelgeving kan de kloof mede worden veroorzaakt doordat op dit moment nog niet, of niet in voldoende mate, in overeenstemming met de huidige wettelijke eisen wordt gewerkt. Dit vormt ook nu al een acuut aandachtspunt. In de scan zijn diverse verwijzingen naar de overeenkomstige huidige verplichtingen in de Wet bescherming persoonsgegevens (Wbp) meegenomen. De scan richt zich vooral op het aanwezige privacy beleid. Een van belangrijke wijzigingen die de AVG meebrengt is dat veel meer dan onder de huidige Wbp - expliciet beleid moet worden ontwikkeld waarop in het kader van de naleving actief intern toezicht moet plaatsvinden. De organisatie moet continu in control zijn. Uitleg checklist Eerste kolom: de nummering per onderdeel Tweede kolom: het onderwerp Derde kolom: de relevante artikelen in de AVG Vierde kolom: de overeenkomstige gelijkwaardige artikelen in de Wbp die ook nu al van kracht zijn Vijfde kolom: de Wbp 2015 kolom bevat specifieke wet- en regelgeving en jurisprudentie die - voorafgaande dat de AVG van kracht wordt - al moet worden nageleefd In veel gevallen zijn de velden in de tweede, derde of vierde kolom grijs gearceerd. In dat geval wordt de verplichting in verband met beleid (procedures, mechanismes en maatregelen) direct of indirect in de wet- en regelgeving (zoals de AVG of de Wbp) geregeld. Het verder in de scan benoemde verplichte beleid zal in veel gevallen een afgeleide van de AVG/wettelijke voorschriften zijn. Het volgt als het ware uit de AVG/wettelijke voorschriften. Om aan de voorwaarden in de AVG of de wet te voldoen is het voor grotere organisaties en instellingen bijna onmogelijk in overeenstemming met de regelgeving te werken zonder deze maatregelen, mechanismen en procedures. 3

5 In de derde en vierde kolom is dit aangegeven met een X, wat dus betekent: niet direct in de wet genoemd maar indirect toch verplicht/noodzakelijk beleid (maatregelen, mechanismen en procedures ). In MoSCoW terminologie een Must. Een (X) betekent dat het aanbevolen beleid (maatregelen, mechanismen en procedures) betreft (in MoSCoW terminologie een Should ). Voor wie is de scan bedoeld? Voor wat betreft algemene vragen, zoals met betrekking tot het organisatie overkoepelende beleid en implementatie, is de scan bedoeld voor diegenen die de coördinatie en uitvoering van de implementatie van de AVG toebedeeld hebben gekregen, of die specifieke gemeenschappelijke taken uitvoeren, zoals vaak in verband met contracten of beveiliging. Voor wat betreft de overgebleven specifieke vragen, en implementatievragen t.a.v. specifieke verwerkingen, is de scan bedoeld voor de coördinatoren van de verschillende onderdelen (afdelingen/faculteiten/etc.), waarbij de coördinatie en verantwoordelijkheid bij de direct leidinggevende/verantwoordelijk binnen dat onderdeel ligt. Inhoud De voorschriften in de afzonderlijke bepalingen in de AVG zijn in de GAP SCAN gegroepeerd in afzonderlijke onderwerpen. Er is wat betreft de onderwerpen een onderscheid gemaakt in: Deel (I) de meer algemene onderdelen van het beleid vooral gericht op de organisatie, en Deel (II) beleid gericht op afzonderlijke verwerkingen. Onder II zijn de maatregelen opgenomen in het kader van de toelaatbaarheid van concrete persoonsgegevensverwerkingen. Inhoudelijk is vooral hier nog veel hetzelfde als onder de Wbp. Het gaat om beleid (inclusief maatregelen en procedures) gericht op alle persoonsgegevensverwerkingen. Inhoudsopgave (A) Privacy beleid Aanwezigheid privacy beleid (B) Algemene verplichtingen Documentatieplicht Medewerking met de toezichthoudende autoriteit Voorafgaande toestemming en raadpleging Recht beroep in te stellen tegen verantwoordelijke of verwerker Recht op vergoeding en aansprakelijkheid De Functionaris gegevensbescherming (FG) Taken Competentie Positie en bevoegdheden 4

6 Overige maatregelen en besluiten (C) Rolverdeling en afspraken Vastleggen rollen en verantwoordelijkheden Contract met verwerker (= bewerker onder de Wbp) (D) Omgang met gegevens Bewaren en vernietigen van gegevens Beveiliging Meldplicht datalekken betrokkenen Privacyeffectbeoordeling (PIA) Privacy by design en default (E) Rechten van betrokken en informatieplichten Informatieplicht Het recht op informatie, toegang (inzage), rectificatie, vergeten worden, overdraagbaarheid en bezwaar Recht van toegang Recht van gegevensoverdraagbaarheid Recht van rectificatie Recht om vergeten te worden en om gegevens te laten wissen Recht van bezwaar Profilering (II) Beleid gericht op afzonderlijke verwerkingen Toetsing van beginselen van toepassing op alle verwerkingen Vaststellen van maatregelen: Rechtmatigheidsgrondslagen Voorwaarden toestemming Verwerken van gegevens over kinderen Verwerking bijzondere gegevens Verwerking voor historische, statistische en wetenschappelijke doeleinden 5

7 Een korte inhoudelijke toelichting ter verduidelijking Hoe ver reikt de gap? Veel meer verplichtingen dan doorgaans wordt verondersteld, zijn direct en/of indirect nu al onder de huidige Wbp relevant. Bovendien zullen veel van de nieuwe onderwerpen die in de AVG worden benoemd, al voor de inwerkingtreding van de AVG belang zijn, of zelfs verplicht. Denk daarbij aan het recht om vergeten te worden waarover in 2014 door het Europese Hof van Justitie een uitspraak is gedaan waarbij dit recht al wordt erkend. Maar ook de komende Nederlandse wetgeving met betrekking tot datalekken, de toenemende verplichtingen (vooral binnen de overheid) om Privacy Impact Assessments uit te voeren, en de naar verwachting ingrijpende verbreding en verhoging van de boetebevoegdheid van het College bescherming persoonsgegevens. De toelaatbaarheid van gegevens verwerkingen Binnen de huidige Wet bescherming persoonsgegevens richten de voorschriften met betrekking tot de toelaatbaarheid van gegevensverwerkingen zich op het in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerken van gegevens op basis van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dit komt aan de orde bij het vaststellen van een doelstelling bij het verzamelen van gegevens, het verder verwerken van gegevens, toelaatbare grondslagen voor het verwerken van gegevens (zoals met toestemming, op basis van een overeenkomst, of een wettelijke verplichting). Verdere bepalingen zien op het verwerken van gevoelige ( bijzondere ) gegevens, zoals gegevens betreffende de gezondheid, de mate van beveiliging, de kwaliteit en relevantie van gegevens, rechten van betrokkenen (zoals inzage), of verstrekken van gegevens buiten de Europese Unie (+EER). Met kleine nuances is dit wettelijke kader bijna volledig terug te vinden in de AVG. De AVG voegt in dit opzicht vooral enkele extra voorschriften toe. Denk daarbij aan het recht om vergeten te worden, extra voorwaarden ten aanzien van profilering m.b.v. persoonsgegevens of extra informatieplichten. Maar ook expliciete bepalingen met betrekking tot onderwerpen als privacy-bij-design of privacy-by-default welke onderwerpen indirect ook nu al op basis van de Wbp aandachtspunten zijn. Datzelfde geldt voor de expliciete (beveiligings-)maatregelen om datalekken te voorkomen, of het uitvoeren van een risico analyse bij verwerkingen (PIA). De uitvoering: de AVG is straks meer expliciet en uitgewerkt Hoewel veel van deze verplichtingen in de AVG met betrekking tot de uitvoering onder de Wbp in min of meerdere mate ook nu al van belang zijn, is de AVG In dit opzicht wel veel meer expliciet. Kort aangegeven vereist de AVG straks dat een instelling meer continu en actief in controle is hoe wordt omgegaan met persoonsgegevens. De instelling zal daarom goed in beeld moeten hebben wie wat mag met welke gegevens, en vanuit welke rol en taak dat gebeurt. Bij samenwerkingen moet ook nu al worden vastgesteld wie verantwoordelijke partijen zijn in de zin van de wet, en wie bewerkers. Vanuit een actieve controle zal het niet alleen gaan om het beleggen van de verantwoordelijkheden, maar meer en meer ook over het afleggen van verantwoording, ook intern binnen de instelling. Het gaat dus niet alleen om het kunnen tonen van afspraken (zoals wettelijk verplichte bewerkerscontracten), maar vooral aantoonbaar werken volgens de afspraken. 6

8 Deze zorgplicht wordt in de AVG nadrukkelijk vastgelegd. De verantwoordelijke moet beleid ontwikkelen en op basis daarvan effectieve maatregelen nemen om te borgen dat de verwerkingen plaatsvinden conform de bepalingen in de verordening. De verordening vereist daarbij een grotere mate van accountability van de verantwoordelijke voor de gegevensverwerking. Enkel een implementatieproject van de wettelijke vereisten, inclusief het melden van de gegevensverwerkingen zoals dat in het verleden vaak werd gedaan, is onder de AVG zeker niet meer afdoende. De verantwoordelijke moet op ieder moment kunnen aantonen dat passende maatregelen zijn genomen om te zorgen dat de verwerkingen conform de voorschriften worden gevoerd, en dient continu in controle te zijn. Enkele afsluitende opmerkingen: In de scan is het College bescherming persoonsgegevens (Cbp) omschreven als de Toezichthouder. Dit is gedaan omdat de naamgeving van het Cbp binnenkort zal worden aangepast. De laatste kolom kan worden gebruikt om Ja/Nee of Niet van Toepassing in te vullen. Het valt aan te bevelen indien geen antwoord kan worden gegeven aan de hand van het nummer van het onderdeel een toelichting op te nemen. Deze scan is opgesteld op basis van de teksten uit het Voorstel van de Europese Commissie van 25 januari 2012 voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming, 2012/0011 (COD)). Ten tijde van het opstellen waren de door het Europees Parlement op woensdag 12 maart 2014 aangenomen amenderingen op het voorstel, en enkele voorstellen van de Raad voor Justitie en Binnenlandse Zaken voor een gedeeltelijke algemene benadering over de ontwerpverordening wel al bekent. Omdat echter onduidelijk was wat de impact van de amenderingen en voorstellen zijn, is als uitgangspunt voor deze GAP-scan het voorstel van de Europese Commissie uit 2012 genomen. De scan is afgerond in december

9 Deel I AVG Art. Wbp Art. Wbp 2015 A. Privacy beleid A 1 A 2 A 3 A 4 A 5 A 6 A 7 A 8 A 9 Er is een privacy beleid vastgesteld, en voert passende en aantoonbare technische en organisatorische maatregelen uit om er voor te zorgen dat alle verwerkingen in overeenstemming met de regelgeving worden uitgevoerd. De maatregelen zien vooral op: - het bewaren van documentatie (artikel 28 AVG) - gegevensbeveiliging (artikel 30 AVG) - het uitvoeren van een privacy effect beoordeling (PIA, artikel 33 AVG) - het aanwijzen van een Functionaris voor de Gegevensbescherming (artikel 35, lid 1, AVG) - het voldoen aan eisen voor voorafgaande toestemming en raadpleging door de toezichthouder (artikel 34, lid 1 en 2 AVG) Informatie en mededelingen met betrekking tot het beleid ten aanzien van de verwerking(en) en de uitoefening van de rechten van betrokkenen is beknopt, transparant, duidelijk en eenvoudig toegankelijk. Bij informatie specifiek voor kinderen wordt vooral gelet op eenvoudig taalgebruik. De doeltreffendheid van de maatregelen (A2) wordt periodiek getoetst door onafhankelijke controleurs (bijvoorbeeld interne of externe auditors). De bevindingen worden gerapporteerd (bijvoorbeeld aan het College van Bestuur en de Raad van Toezicht). De rapportage bevat een beknopte beschrijving van het beleid en de getroffen maatregelen (6) 22-2 (6) / / /30/ 33/34/3 5 Van alle verwerkingen is een scan formulier ingevuld 1 X X + (X) Van alle verwerkingen is de rechtmatigheid getoetst 2 X X + (X) Er is een overzicht van de inventarisatie van alle verwerkingen beschikbaar dat regelmatig wordt bijgewerkt 3 28 X + (X) In het beleid is opgenomen dat bij nieuwe ontwikkelingen - zoals bij nieuwe verwerkingen (bijvoorbeeld analyses op bestaande gegevens, gebruik voor andere doeleinden, of vertrekkingen aan derde partijen) of nieuwe systemen - vooraf afstemming en overleg moet plaatsvinden met de intern verantwoordelijke(n) voor het privacy-beleid. Er is beleid dat bij contracten en aanbestedingen relevante aspecten van de AVG direct worden meegenomen. Toelichting: zo kan bij aanbestedingen met betrekking tot specificaties van de functionele eisen en wensen in het Request for Information of het Request for Proposal een vertaling worden opgenomen van de mogelijkheden van privacy by design en privacy by default, de voorwaarden om aan de meldplicht datalekken te voldoen, de verplichting tot het uitvoeren van een privacy effect beoordeling (PIA), en de beveiligingseisen. X X (X) (X) (X) 1 Hiervoor is een afzonderlijk formulier beschikbaar 2 Zie in deze scan met name onder onderdeel II: Beleid gericht op afzonderlijke verwerkingen 3 Hiervoor is een afzonderlijk inventarisatieformulier beschikbaar 8

10 B. Beleid: algemene verplichtingen B1 B2 Documentatieplicht: AVG Art. Wbp Art. Er is beleid vastgesteld om te voldoen aan de documentatieplicht, waaronder passende maatregelen: om te waarborgen dat - voor alle verwerkingen - de documentatie die noodzakelijke is om blijvend te voldoen aan de 28 (X) voorwaarden regelmatig up-to date wordt gehouden Er is beleid vastgesteld om te voldoen aan de documentatieplicht, waaronder passende maatregelen: 28-2 X + (X) voor het bijhouden van documentatie m.b.t. alle verwerkingen die onder zijn verantwoordelijkheid plaatsgevonden. De documentatie bevat ten minste de volgende informatie: - naam en contactgegevens verantwoordelijke+(indien van toepassing) medeverantwoordelijke(n) of bewerker(s); 28-2a naam en de contactgegevens van de FG; 28-2b naam en contactgegevens van verantwoordelijken aan wie gegevens worden verstrekt (indien van toepassing) 28-2ba de doeleinden van de verwerking, waaronder de gerechtvaardigde belangen; 28-2c beschrijving van de categorieën betrokkenen en hen betreffende persoonsgegevens; 28-2d indien van toepassing, de doorgifte van gegevens naar een derde land of een internationale organisatie; 28-2f algemene aanwijzing betreffende bewaar-, verwijderings-/vernietigings- termijnen van verschillende gegevens; 28-2g (X) - de beschrijving van de mechanismen voor het bewaren van de documentatie 28-2h Wbp 2015 B3 Voorafgaande toestemming en voorafgaande raadpleging De verantwoordelijke heeft beleid opgesteld en maatregelen getroffen om de Toezichthouder of de Privacy Functionaris alle informatie te verstrekken op grond waarvan deze de conformiteit en de risico s kunnen beoordelen van verwerkingen waarvoor voorafgaande toestemming en voorafgaande raadpleging op basis van artikel 34 AVG moet plaatsvinden. 34 (51 ev.) De Functionaris gegevensbescherming (FG) B4 Er is op basis van de eisen in artikel 35 AVG een FG aangesteld 35-1a (62 ev.) B5 Er zijn met betrekking tot de aanstelling maatregelen getroffen, waaronder een apart besluit waarin de aanstellingsduur, taken, verantwoordelijkheden en bevoegdheden van de FG zijn beschreven en toegekend, inclusief een functie- en wettelijk bepaald competentieprofiel (22-2) o.b.v. Wbp is FG een keuze Taken van de FG: B6 - De verantwoordelijke heeft de taken van de FG beschreven en vastgesteld, waaronder: 37 (X) - het informeren en adviseren over hun verplichtingen en het documenteren van deze activiteit en de ontvangen 37-1a (X) antwoorden; - het toezien op de uitvoering en toepassing van het beleid, met inbegrip van de toewijzing van 37-1b (X) verantwoordelijkheden, de opleiding van betrokken personeel en de betreffende audits; - het toezien op met name de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren, en het uitoefenen van rechten van betrokkenen; 37-1c (X) 9

11 - ervoor zorgen dat de in artikel 28 bedoelde documenten worden bewaard; 37-1d (X) - het toezien op het documenteren, melden en meedelen van inbreuken in verband met persoonsgegevens overeenkomstig de artikelen 31 en 32 AVG; 37-1-e - het toezien op de uitvoering van de privacy effect beoordelingen op het verzoek om voorafgaande toestemming of 37-1f raadpleging, voor zover daartoe o.g.v. de artikelen 33 en 34 een verplichting bestaat; - medewerking aan de toezichthoudende autoriteit op diens verzoek of op eigen initiatief van de FG; 37-1g - het optreden als contactpunt voor de toezichthouder. 37-1h (X) X Competentie van de FG: B7 De verantwoordelijke heeft de FG aangesteld op basis van zijn professionele kwaliteiten, waaronder: aantoonbare deskundigheid op het gebied van privacywetgeving; 35-5 (63-1) - aantoonbare deskundigheid op het gebied van de praktijk; 35-5 (X) - in staat om toe te zien op de toepassing van de verplichtingen van privacy by design en by default; voldoende expertise om toe te zien op de uitvoering en toepassing van gegevensbeveiliging B8 De FG beschikt over de competenties om alle wettelijke taken van de FG uit te voeren (X) Positie en bevoegdheden van de FG: B9 De verantwoordelijke heeft ervoor gezorgd dat de FG: 36 - naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van 36-1 persoonsgegevens. - zijn plichten en taken onafhankelijk kan vervullen 36-2 (63-2) - geen instructies ontvangt met betrekking tot de uitoefening van zijn functie (63-2) - rechtstreeks verslag kan uitbrengen aan de verantwoordelijke (64-4) B De verantwoordelijke ondersteund de FG bij de vervulling van zijn taken en zorgen voor personeel, kantoren, 36-3 (64-3) 10 uitrusting en alle andere benodigde middelen. B 11 De verantwoordelijke heeft ervoor gezorgd dat alle andere beroepswerkzaamheden van de FG verenigbaar zijn met zijn taken en verplichtingen als FG en niet tot een belangenconflict leiden B 12 B 13 B 14 Overige maatregelen en besluiten met betrekking tot de FG: De verantwoordelijke heeft de FG aangewezen voor een periode van ten minste 2 jaar en beleid geformuleerd ten aanzien van herbenoeming. De verantwoordelijk heeft de naam en contactgegevens van de FG meegedeeld aan de Toezichthouder en openbaar gemaakt aan het publiek. Er zijn door de verantwoordelijke maatregelen getroffen zodat betrokkenen het recht wordt geboden met de FG in contact te treden over alle aangelegenheden aangaande de verwerking van persoonsgegevens (63-3) B 15 Medewerking met de toezichthoudende autoriteit Maatregelen die de verantwoordelijke in staat stellen op verzoek medewerking aan de Toezichthouder te verlenen bij de uitoefening van haar taken, zoals: - met name door het verstrekken van de in artikel 53, lid 2, onder a. en b. betreffende toegang tot persoonsgegevens en alle informatie, toegang tot gebouwen en terreinen, inclusief installaties 29-1 (X) 10

12 B 16 - bij het binnen een door de Toezichthouder aangegeven redelijke tijd te reageren, en in reactie op de Toezichthouder informatie ter beschikking te stellen van de getroffene maatregelen en bereikte resultaten. Recht beroep in te stellen tegen verantwoordelijke of verwerker De verantwoordelijke heeft procedures opgesteld en maatregelen getroffen voor het geval een betrokkene zijn recht een beroep in te stellen uitoefent tegen de verantwoordelijke (X) 75 B 17 B 18 B 19 Recht op vergoeding en aansprakelijkheid De verantwoordelijke heeft procedures en maatregelen getroffen om uitoefening te geven aan het recht op 77 vergoeding van schade, geleden door een persoon als gevolg van een onrechtmatige verwerking of een handeling die strijdig in met de verordening. Er zijn maatregelen getroffen dat bij eventuele contracten met derden met dit recht rekening wordt gehouden De verantwoordelijk heeft beleid, maatregelen en procedures opgesteld in verband met een vergoeding voor ieder die schade heeft geleden als gevolg van een onrechtmatige verwerking of een handeling in strijd met de regelgeving

13 C. Beleid: Rolverdeling en afspraken C 1 C 2 C 3 Vastleggen rollen en verantwoordelijkheden De verantwoordelijke heeft een sluitende rolverdeling vastgesteld met andere partijen die betrokken zijn bij een verwerking (wie is waarvoor verantwoordelijke en wie bewerker) Indien van gezamenlijke verantwoordelijkheden - waarbij sprake is van een samenwerking met een andere verantwoordelijke - is een onderlinge regeling opgesteld waarin de verantwoordelijken hun feitelijke verantwoordelijkheden voor de nakoming van de verplichtingen hebben vastgesteld. De regeling bevat in ieder geval procedures en mechanismen voor de uitoefening van de rechten van betrokkenen. Indien de verwerking van persoonsgegevens door een niet in de EU/EER gevestigde verantwoordelijke wordt gevoerd heeft de verantwoordelijke een vertegenwoordiger aangewezen indien verplicht op basis van artikel 25 AVG. In dat geval heeft die verantwoordelijke zich verplicht om de bepalingen van de AVG na te leven. (X) (X) 24 (X) 25 (4) C 4 Contract met verwerker (= bewerker onder de Wbp) Indien de verantwoordelijke een verwerker ingeschakeld heeft (die handelt in opdracht v.d. verantwoordelijke), moet de verantwoordelijke een contract afgesloten hebben met de verwerker, waarin is opgenomen dat: - de verwerker aan alle eisen op basis van de regelgeving (AVG) voldoet; 26-1 (X) - de verwerker ervoor in staat dat de rechten van betrokkenen kunnen worden geëffectueerd 26-1 (X) - er voldoende waarborgen zijn voor de tenuitvoerlegging van passende technische en organisatorische maatregelen in het kader van beveiliging en procedures; - de verwerker slechts handelt in opdracht van de van de verantwoordelijke a/27 - de verwerker slechts personeel in dienst neemt dat zich ertoe heeft verplicht vertrouwelijkheid in acht te nemen of 26-2b 12-2 een wettelijke vertrouwelijkheidsplicht heeft; - de verwerker alle uit hoofde van de beveiliging van persoonsgegevens vereiste maatregelen (art 30 AVG) neemt; 26-2c de verwerker slechts met voorafgaande toestemming van de verantwoordelijke een andere verwerker inschakelt 26-2d (X) - de verwerker voor zover dit gelet op de aard van de verwerking mogelijk is, met akkoord van verantwoordelijke de 26-2e (X) nodige technische en organisatorische voorwaarden schept waardoor de verantwoordelijke kan voldoen aan de verzoeken tot uitoefening van rechten van de betrokkenen; - de verwerker de verantwoordelijke bij staat om ervoor te zorgen de verplichtingen uit hoofde van de artikelen 30 t/m 26-2f (X) 34 AVG worden nagekomen; - de verwerker na de beëindiging van de verwerking alle gegevens overhandigt en niet anderszins verwerkt; 26-2g X - de verwerker de verantwoordelijke en de Toezichthouder alle informatie ter beschikking stelt die nodig is om de 26-2h X nakoming van de in dit artikel neergelegde verplichtingen te controleren. - de verwerker zich verplicht onmiddellijk een waarschuwing te sturen, en de verantwoordelijke te informeren in 31-2 geval van een datalek bij de verwerker. 12

14 D. Beleid: Omgang met gegevens Bewaren en vernietigen van gegevens (zie ook recht om vergeten te worden en gegevens te laten wissen) D1 Er is beleid vastgesteld om voor alle verwerkingen te voldoen aan de voorwaarden voor bewaren en vernietigen 5-e 10 van gegevens, waaronder: - Bewaartermijnen van de persoonsgegevens (5-e) Termijnen voor periodieke toetsing van de naleving (5-e) (X) - het gebruik van selectielijsten met in ieder geval aanwijzing welke archiefbescheiden voor vernietiging in aanmerking komen. (5-e) X Beveiliging D2 Er is beleid vastgesteld om voor alle verwerkingen te voldoen aan de voorwaarden voor beveiliging: 22-2/30 13 D3 Er zijn passende technische en organisatorische maatregelen getroffen om een passend beveiligingsniveau te waarborgen rekening houdend met de stand v.d. techniek en de kosten van de uitvoering van de maatregelen. D4 Voor de vaststelling van maatregelen worden risicoanalyses uitgevoerd op de betreffende verwerkingen waarbij 30-2 (X) rekening wordt gehouden met de aard van de te beschermen persoonsgegevens. D5 Er zijn maatregelen genomen ter bescherming van persoonsgegevens: tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, of tegen verlies om andere vormen van onrechtmatige verwerking te voorkomen, met name ongeoorloofde verstrekking of verspreiding van, toegang tot, of wijziging van persoonsgegevens. D6 De geldende normen voor informatiebeveiliging worden toegepast. (30) (13) D7 Er wordt actief en duidelijk richting gegeven aan het beveiligingsbeleid, toont betrokkenheid, en er worden expliciet verantwoordelijkheden voor informatiebeveiliging toegekend. (30) (X) Meldplicht datalekken betrokkenen D8 Er is beleid vastgesteld om te voldoen aan de meldplicht datalekken, waaronder: 31/ beleid om zonder onnodige vertraging en zo mogelijk niet later dan 24 uur nadat hij ervan kennis heeft gekregen, 31-1 aan de meldplicht datalekken te kunnen voldoen in geval van een datalek. - maatregelen en procedures om in geval van een datalek zonder onnodige vertraging en zo mogelijk niet later dan uur nadat de verantwoordelijke ervan kennis heeft, aan de meldplicht te kunnen voldoen, waaronder: - Indien nodig de inbreuk bij de Toezichthouder te melden Indien de melding niet binnen 24 uur bij de Toezichthouder plaatsvindt een motivering wanneer wel 31-1 D9 Er zijn procedures en maatregelen getroffen om ervoor te zorgen dat de verwerker aan de verantwoordelijke 31-2 onmiddellijk een waarschuwing stuurt en hem informeert in geval van een datalek bij hem. D10 Er worden verwerkersovereenkomsten gesloten waarin de verplichting is opgenomen dat de verwerker 31-2/26 onmiddellijk een waarschuwing stuurt en verantwoordelijke informeert in geval van een datalek bij verwerker. D11 De verantwoordelijke treft maatregelen waarin ervoor wordt gezorgd dat de melding omvat: een omschrijving van de aard van de inbreuk in verband met persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen en categorieën en aantallen gegevensrecords; 31-3a 13

15 - de vermelding van de identiteit en de contactgegevens van de functionaris voor gegevensbescherming of een 31-3b ander contactpunt waar meer informatie kan worden verkregen; - aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk te verminderen; 31-3c - een omschrijving van de gevolgen van de inbreuk in verband met persoonsgegevens; 31-3d - een omschrijving van de maatregelen die de verantwoordelijke heeft voorgesteld of genomen om de inbreuk in 31-3e verband met persoonsgegevens aan te pakken. D12 Er is beleid vastgesteld dat als zich datalekken voordoen de verantwoordelijke alle inbreuken in verband met 31-4 persoonsgegevens documenteert, met inbegrip van: - de feiten omtrent de inbreuk, en de gevolgen van de inbreuk documenteert; de corrigerende maatregelen die zijn genomen documenteert D13 Er is beleid dat als zich inbreuken voordoen, waar mogelijk corrigerende maatregelen worden getroffen. (30/31) D14 Er is beleid en er zijn maatregelen getroffen om - ingeval van waarschijnlijke negatieve gevolgen van het datalek (32-1) voor de privacy van de betrokkene, en als niet aantoonbaar kan worden gemaakt dat de toegepaste technische beschermingsmaatregelen passend waren en werden toegepast - na de melding aan de Toezichthouder, zonder onnodige vertraging de betrokkene de inbreuk in verband met persoonsgegevens mee te delen. D15 De verantwoordelijke heeft zorggedragen voor een mededeling die ten minste omvat: omschrijving aard van de inbreuk; 32/31 - de vermelding van de identiteit en de contactgegevens van de functionaris voor gegevensbescherming of een 32/31 ander contactpunt waar meer informatie kan worden verkregen; - aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met 32/31 persoonsgegevens te verminderen. D16 Er zijn maatregelen getroffen zodat de betrokkene onverwijld in kennis kan worden gesteld van een inbreuk als bedoeld in art. 32 lid 1 AVG (32-1) Privacyeffectbeoordeling (PIA) D17 Er is beleid vastgesteld zodat voor verwerkingen met een bijzonder risico voor de rechten en vrijheden van betrokkenen, gezien hun aard, reikwijdte of doeleinden, een beoordeling uitgevoerd kan worden van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens. 33/22 (X) Nieu w voor overheid 33/22 (X) D18 Er zijn procedures en maatregelen getroffen zodat voor verwerkingen met een bijzonder risico een beoordeling wordt uitgevoerd van het privacy effect van de beoogde verwerkingen. D19 De verantwoordelijke voert PIA s uit (of is voornemens PIA s uit te voeren) ingeval van: een systematische en uitgebreide beoordeling van aspecten van de persoonlijkheid, zoals bedoeld in art 33 lid a (X) - een verwerking van gegevens - over het seksuele leven, gezondheid, ras, etnische afkomst, voor het bieden van 33-2b (X) gezondheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geeste- of besmettelijke ziekten - wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen; - bewaking openbaar toegankelijke ruimten (videobewaking); 33-2c (X) - verwerking in grote bestanden inzake kinderen en genetische of biometrische gegevens; 33-2d (X) - andere verwerkingen waarvoor de toezichthouder moet worden geraadpleegd conform art 34 lid 2 onder b AVG. 33-2e (X) 14

16 D20 Beleid waarin vastgesteld dat een beoordeling van een PIA minimaal ziet op: een algemene beschrijving van de beoogde verwerkingen; 33-3 (X) - een beoordeling van de risico s voor de rechten en vrijheden van betrokkenen; 33-3 (X) - de maatregelen die worden beoogd om de risico s te beperken, en de waarborgen, beveiligingsmaatregelen en mechanismen die de bescherming van persoonsgegevens verzekeren en aantonen dat aan de AVG is voldaan, met inachtneming van rechten en gerechtvaardigde belangen van betrokkenen en andere betrokken personen (X) Privacy by design en default D21 Er is beleid vastgesteld en er zijn passende maatregelen getroffen, opdat wordt voldaan aan de beginselen van privacy by design en by default (beleid waarbij met inachtneming van de stand van de techniek en de uitvoeringskosten, zowel bij de vaststelling van de middelen voor de verwerking als bij de verwerking zelf, zodanig passende technische en organisatorische maatregelen en procedures ten uitvoer worden gelegd dat de verwerking aan de voorwaarden van de geldende privacywetgeving voldoet en de bescherming van de rechten van de betrokkene gewaarborgd is) D22 Er zijn mechanismen ingesteld om er voor te zorgen dat alleen die persoonsgegevens worden verwerkt die voor elk specifiek doeleinde nodig zijn. D23 Er zijn mechanismen ingesteld om er voor te zorgen dat met name het verzamelen of bewaren van die gegevens zowel wat betreft hoeveelheid als periode van opslag beperkt word tot dat wat voor die doeleinden strikt noodzakelijk is. D24 Bij het ontwerpen van informatiesystemen, die de privacy van betrokkenen maximaal beschermen, is door de verantwoordelijke rekening gehouden met aandachtspunten als gegevensminimalisatie en de mogelijkheden voor het afschermen van de identiteit individu D25 Procedure om (bestaande) contracten te beoordelen om vast te stellen of, en in hoeverre, is voldaan wordt aan de beginselen van privacy by design en by default ( ) (X) 23 15

17 E. Beleid: Rechten van betrokken en informatieplichten Informatieplicht (nb. de hoeveelheid informatieplichten zijn sterk toegenomen t.o.v. de Wbp) E1 Er zijn procedures en mechanismen vastgesteld voor het verstrekken van de informatie 12 (X) E2 Er zijn maatregelen getroffen om verzoeken elektronisch in te dienen wanneer gegevens geautomatiseerd worden 12-1 verwerkt E3 De verantwoordelijke heeft beleid, procedures en maatregelen vastgesteld om te waarborgen dat iedere ontvanger 13 aan wie gegevens zijn verstrekt op de hoogte wordt gebracht van elke overeenkomstig artikel 16 (Recht van Rectificatie) en artikel 17 (Recht om vergeten te worden) uitgevoerde rectificatie of elk wissen van gegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. E4 Er is beleid vastgesteld inzake de informatieplicht aan betrokkene, waarbij deze ten minste de volgende informatie 14 wordt verstrekt: - de identiteit en de contactgegevens van de verantwoordelijke, de FG en de eventuele vertegenwoordiger; 14-1a 30/33/3 4 - de doeleinden voor de verwerking; 14-1b 30/33/3 4 - de beveiliging, met inbegrip v.d. evt. clausules en algemene voorwaarden waarop de verwerking is gebaseerd; 14-1b/6b - indien van toepassing de afwegingen in het kader van gebruik i.h.k.v. gerechtvaardigd belang (artikel 6, lid 1f). 14-1b/6f - de periode gedurende welke de persoonsgegevens worden opgeslagen; 14-1c - het van recht van toegang, rectificatie, verwijderen of bezwaar maken; 14-1d 30/33/3 4 - het recht een klacht in te dienen bij toezichthouder, inclusief contactgegevens van de toezichthouder; 14-1e - de ontvangers of categorieën ontvangers; 14-1f 30/33/3 4 - het eventuele voornemen tot doorgifte naar een land buiten de EU of een internationale organisatie met een niet 14-1g evenredig beschermingsniveau; - alle verdere informatie die, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen. 14-1h 33/34 E5 Er is beleid i.v.m. het informeren van betrokkenen: - Ingeval de gegevens direct van betrokkene worden verkregen, wordt naast de informatieplichten in artikel 13 en 14 lid 1 AVG, de betrokken tegelijkertijd geïnformeerd in hoeverre het opgeven van de gegevens verplicht is of vrijwillig, en de gevolgen van het niet verstrekken van de gegevens. - Ingeval de gegevens niet direct van betrokkene worden verkregen conform artikel 14 AVG waarin onder meer het tijdstip van verstrekken is opgenomen X

18 Het recht op informatie, toegang (inzage), rectificatie, vergeten worden, overdraagbaarheid en bezwaar E6 Er is beleid ten aanzien van het recht op informatie toegang, rectificatie, vergeten worden, overdraagbaarheid en bezwaar: - wanneer persoonsgegevens geautomatiseerd worden verwerkt, is ervoor gezorgd dat verzoeken elektronisch kunnen worden ingediend; - procedures en mechanismen vastgesteld om de betrokkene in staat te stellen zijn rechten uit te oefenen inzake informatie, toegang, rectificatie, het recht vergeten te worden, overdraagbaarheid en bezwaar; - procedures en mechanismen om (bij het recht op toegang, rectificatie, vergeten worden en bezwaar) de betrokkene schriftelijk onverwijld en uiterlijk 40 dagen na ontvangst van het verzoek van de betrokkene te informeren over de gevraagde informatie, en verstrekt de gevraagde informatie; - procedures en mechanismen voor het geval de verantwoordelijke weigert om actie te ondernemen naar aanleiding van het verzoek. De verantwoordelijke deelt in voorkomende gevallen de betrokkene de redenen voor de weigering mee en informeert hem over de mogelijkheden een klacht in te dienen bij de Toezichthouder beroep, of een beroep in te stellen; - Er zijn maatregelen die bepalen dat de bedoelde informatie, en verzoek verrichte acties in beginsel gratis zijn. Er is een procedure in geval van aantoonbare excessieve uitoefening van rechten waarbij administratieve kosten in rekening kunnen worden gebracht; - Er is een procedure voor het eenduidig vaststellen van de identiteit van de verzoeker (nb. de verantwoordelijke blijft verantwoordelijk voor het aan de juiste persoon verlenen van rechten) (X) 12-2 (X) 12-3 (X) (o.a 35-3) 12-4 o.a. 15-2/ 17-1a/ X Recht van toegang E7 De verantwoordelijke heeft beleid vastgesteld inzake het recht van toegang, waaronder het recht te allen tijde uitsluitsel te verkrijgen omtrent het al dan niet plaatsvinden van verwerkingen van hem betreffende gegevens Er is beleid, en er zijn procedures dat bij een verzoek de volgende informatie wordt verstrekt: de doeleinden van de verwerking voor elke categorie persoonsgegevens; 15-1a de categorieën persoonsgegevens die worden verwerkt; 15-1b ontvangers of categorieën ontvangers aan wie gegevens zijn, of worden verstrekt (name landen buiten EU); 15-1c de bewaartermijn, of anders de criteria waaraan deze termijn moet voldoen; 15-1d - wijzen op het bestaan van het recht op rectificatie of het wissen van persoonsgegevens, of bezwaar te maken; 15-1e - het recht een klacht in te dienen bij toezichthouder, inclusief contactgegevens van de toezichthouder; 15-1f - het belang en de verwachte gevolgen van de verwerking (met name ook gezien artikel 20 AVG); 15-1h Recht van rectificatie E8 Er is beleid vastgesteld inzake het recht op rectificatie, waaronder: het recht op rectificatie van hem betreffende onjuiste persoonsgegevens; het recht op completering van onvolledige persoonlijke persoonsgegevens, onder meer door toevoeging van een rectificerende verklaring; - iedere ontvanger (met inbegrip van de gezamenlijk voor de verwerking verantwoordelijken en verwerkers) wordt op de hoogte gesteld van elke rectificatie van gegevens

19 Recht om vergeten te worden en om gegevens te laten wissen E9 Er is beleid vastgesteld inzake het recht om vergeten te worden en gegevens te laten wissen 17 Googl e vonni s E10 Er zijn maatregelen getroffen dat dit recht kan worden uitgeoefend in geval van een van de volgende gronden: - de gegevens zijn niet langer nodig voor doel waarvoor ze waren verzameld of anderszins; 17-1a - bij intrekking van toestemming waarop de verwerking is gebaseerd; 17-1b - bij het verstrijken van de bewaartermijn, zonder dat er een andere grondslag is de gegevens te verwerken; 17-1b - in geval van een toegekend bezwaar van betrokkene tegen de verwerking (artikel 19 AVG); 17-1c - de gegevens onrechtmatig worden verwerkt. 17-1d E11 Er zijn procedures en maatregelen voor het onverwijld kunnen wissen, waaronder: - alle redelijke maatregelen genomen, waaronder technische maatregelen, om gegeven te wissen, ook bij derde partijen teneinde derden die deze gegevens verwerken ervan op de hoogte te stellen dat een betrokkene hun 17-2 verzoekt ieder koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen; - mechanismen vastgesteld om ervoor te zorgen dat de termijnen die zijn vastgesteld voor het wissen van 17-3 persoonsgegevens en/of voor de periodieke beoordeling van de noodzaak van de opslag van de gegevens, in acht worden genomen; - afzonderlijk beleid i.v.m. de uitzondering voor historisch, statisch of wetenschappelijk onderzoek (art. 83 AVG); 17-3c - afzonderlijk beleid ten aanzien van afzien van wissen bij gelimiteerde verwerking conform art. 17 lid 4 AVG; 17-4 Recht van gegevensoverdraagbaarheid E12 Er is beleid inclusief procedures en maatregelen - vastgesteld inzake het recht op overdraagbaarheid van gegevens (recht van betrokkene op een kopie van de gegevens die worden verwerkt in een elektronisch en gestructureerd formaat dat algemeen wordt gebruikt), waaronder procedures en maatregelen zodat de gegevens verder door de betrokkene kunnen worden gebruikt. 18 Recht van bezwaar E13 Er is beleid vastgesteld inzake het recht van bezwaar, waaronder: 19 (40+41) - procedures en maatregelen vastgesteld voor uitoefening van het recht van bezwaar 19-1 X - maatregelen dat de betreffende persoonsgegevens door de verantwoordelijke niet langer gebruikt of anderszins verwerkt worden wanneer een bezwaar gegrond wordt verklaard X Profilering Er is beleid vastgesteld inzake profilering, waaronder: 42 E14 Beleid gericht op het recht om niet te worden onderworpen aan een maatregel waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die deze in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking. E15 Beleid wanneer een dergelijke maatregel wel mag worden genomen, zoals: - Wanner deze wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst; of, 20-2a 41-2a - wanneer deze uitdrukkelijk is toegestaan bij de wet; of, 20-2b 41-2b 18

20 - wanneer de betrokkene zijn toestemming heeft gegeven. 20-2c E16 Passende maatregelen en waarborgen bij de toepassing van profilering, te weten (overweging nr. 58): - specifiek voldoen aan de informatieplicht; OW58 - het recht op menselijke tussenkomst; OW58 - de bepaling dat een dergelijke maatregel geen betrekking heeft op kinderen. OW58 19

21 Deel II. Beleid gericht op afzonderlijke verwerkingen (veel gelijkenissen met de Wbp) Alle verwerkingen moeten worden getoetst AVG Wbp Wbp 2015 Er zijn procedures en maatregelen op basis waarvan kan worden vastgesteld dat: 1 - verwerkingen in overeenstemming zijn met de wet + eerlijk (behoorlijke en zorgvuldig) en transparant; 5a gegevens worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden; 5b gegevens adequaat en ter zake dienend zijn voor de doeleinden waarvoor zij worden verwerkt; 5c persoonsgegevens alleen herleidbaar worden verwerkt als het niet anoniem kan (dataminimalisatie); 5c gegevens alleen worden verzameld en verwerkt als deze juist en nauwkeurig zijn; 5d Alle redelijke maatregelen zijn genomen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren; 7 - gegevens niet langer herleidbaar worden bewaard dan noodzakelijk voor doel verwerking; 5e de aard van de te verwerken persoonsgegevens per gegevensverwerking is vastgesteld; X X 9 - niet meer persoonsgegevens worden verwerkt dan noodzakelijk; X om ervoor te zorgen dat persoonsgegevens up to date worden gehouden en worden bijgewerkt; X X 11 - wie de verantwoordelijke is, en wie bewerker (verwerker) voor de gegevensverwerkingen; X X 12 - dat elke verwerking voldoet aan de bepalingen van deze verordening. X X Rechtmatigheidsgrondslagen (nb. vrijwel identiek aan de Wbp) 13 Bij aanvang, gebruik en verandering van gegevensverwerking wordt gecontroleerd en vastgesteld dat de gegevensverwerking rechtmatig is (concreet houdt dit in dat er een gerechtvaardigde grondslag moet zijn om gegevens te verwerken, zoals: toestemming van de betrokkene, uitvoering van een overeenkomst, voldoen aan een wettelijke verplichting, het beschermen van een vitaal belang, de vervulling van een taak van algemeen belang of openbaar gezag, of de behartiging van het gerechtvaardigde belang van de verantwoordelijke). 6 8 Voorwaarden bij het gebruik van toestemming (nb. identiek onder huidige Wbp maar wel meer expliciet) 14 Bij gebruik toestemming als grondslag moet de verantwoordelijke: kunnen aantonen dat de betrokkene geïnformeerd toestemming heeft gegeven voor de verwerking voor 7-1 X welbepaalde doeleinden. - een afweging hebben gemaakt of er geen sprake is van een onevenwichtigheid tussen de positie van de betrokkene en de verantwoordelijke. X Verwerken van gegevens over kinderen 15 Maatregelen op basis waarvan er specifieke regels worden gehanteerd voor het geven van informatie aan en het verkrijgen van toestemming van minderjarigen en/of hun vertegenwoordigers 16 Maatregelen en procedures opstellen zodat uitvoering kan worden gegeven aan het recht van betrokkene om zijn toestemming te allen tijde in te trekken

22 17 De verantwoordelijke die rechtstreeks diensten van de informatiemaatschappij aanbiedt aan kinderen jonger dan 13 jaar heeft voor het verkrijgen van toestemming voor de verwerking van persoonsgegevens methodes ingericht met inachtneming van de beschikbare technologie. Verwerking bijzondere gegevens 18 Beleid om te voorkomen dat de verantwoordelijke geen bijzondere persoonsgegevens verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of overtuiging, of het lidmaatschap van een vakvereniging blijkt, en de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen of daarmee verband houdende veiligheidsmaatregelen, tenzij dit verbod niet geldt ev. Verwerking van gegevens voor historische, statistische en wetenschappelijke doeleinden 19 Er is beleid dat bij verwerking van gegevens voor historische, statistische en wetenschappelijke doeleinden volgens de specifieke voorwaarden gesteld in artikel 83 gehandeld wordt. 20 Er zijn maatregelen getroffen die ervoor zorggedragen dat persoonsgegevens alleen voor historische, statistische (83-1) of wetenschappelijke doeleinden worden verwerkt, wanneer: - deze doeleinden niet op een andere manier kunnen worden bereikt, namelijk door verwerking van gegevens 83-1a waarmee de betrokkene niet of niet langer kan worden geïdentificeerd; - gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, 83-1b gescheiden worden bewaard van andere informatie, voor zover deze doeleinden op die manier kunnen worden bereikt (pseudonimisering) 21 Er worden ten aanzien van de langere perioden dat gegevens voor historische, statistische en wetenschappelijke 5-e doeleinden mogen worden bewaard, periodieke beoordelingen uitgevoerd of de gegevens nog steeds opgeslagen moeten blijven. 22 De verantwoordelijke die historisch, statistisch of wetenschappelijk onderzoek verricht, heeft ernaar gehandeld dat 83-2 persoonsgegevens alleen worden gepubliceerd of op andere wijze bekend worden gemaakt, wanneer: - de betrokkene onder de in artikel 7 gestelde voorwaarden daarvoor toestemming heeft gegeven; 83-2a - de publicatie van persoonsgegevens nodig is om de onderzoeksresultaten te presenteren of het onderzoek te 83-2b vergemakkelijken, mits de belangen of grondrechten en vrijheden van de betrokkene geen voorrang hebben; - de betrokkene de gegevens bekend heeft gemaakt. 83-2c 21