BIV-classificatie veel voorkomende verwerkingen van persoonsgegevens



Vergelijkbare documenten
Informatiemodel De Haagse Hogeschool D. Greefhorst en H.F. Schouten Versie 11, 24 januari 2012 Overzicht kernobjecten primaire processen

Dataclassificatie Juridisch Normenkader (Cloud)services Hoger Onderwijs 2016, bijlage E

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Modelprivacyreglement Stichting vmbo Dienstverlening en Producten

privacyreglement Dit reglement is voor Adhesive Bonding Center B.V. 1. Aanhef Vaartweg PD Lelystad ( verder te noemen school) 2.

Privacyreglement Edese Schoolvereniging

PRIVACYREGLEMENT UNIT ACADEMIE HOOFDSTUK 1 ALGEMENE BEPALINGEN. Artikel 1 Begripsbepalingen

Privacyreglement van De Zaak van Ermelo

1. Aanhef Dit reglement is voor KBS De Plataan, gevestigd te Meppel, Vledderstraat 3 E, 7941LC. 2. Definities

Privacy reglement (pdf te downloaden in nieuwe pagina)

Degene op wie een Persoonsgegeven betrekking heeft. Dit kan de bewoner of diens naaste of gemachtigde zijn.

1 Saxion en privacy. 2 Wat zijn je rechten? Privacyverklaring 2018

Bescherming en registratie Persoons/patiëntengegevens bij de stichting Sint Maartenskliniek waaronder RD&E, het Sport Medisch Centrum en ICARA, SMK

Privacyreglement Stichting Fonds Hartewensen Vastgesteld 30 november Privacyreglement Stichting Fonds Hartewensen

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Privacyreglement. NLeducatie

Privacyreglement en internet gebruik

Dit is de privacyverklaring voor relaties van Easys Horeca B.V. handelend onder de naam Eazis Music & Systems (verder Eazis).

Artikel 2 Reikwijdte 2.1 Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Flevotaal.

Wettelijke kaders voor de omgang met gegevens

Privacyreglement. September 2010 Versie definitief HRM 1

Privacyreglement van Stichting 070Watt;

Documentinformatie: Wijzigingslog:

Privacy proof organisatie? Okkerse & Schop Advocaten biedt u een juridische Privacy QuickScan

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Privacyverklaring sollicitanten

Privacyreglement Esma dienstverlening (februari 2018)

Privacy statement Nederlandse Triage Standaard

Datum: 20 april Auteur: Jan Vermeulen/Karin Melger. Status: Definitief t.b.v. bestuur. Directie / Bestuur / GMR / Raad van Toezicht.

Versie Privacyreglement. van Gilde Educatie activiteiten BV

Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling

Privacy Protocol van voetbalvereniging F.C.R.I.A.

Privacyreglement Stichting Queridon taal & horeca September 2017

Privacy reglement verwerking persoonsgegevens

Besluit vast te stellen het navolgende Concernkader digitale personeelsdossiers.

Privacyreglement verwerking Cursisten gegevens Oxford Opleidingen

Modelprivacyreglement voor scholen

Privacy Protocol van vereniging

Privacy reglement Pagina 1 van 6

Privacyverklaring voor werknemers en sollicitanten van DW Facility Groep B.V.

Privacyreglement voor scholen PCBO Amersfoort

Privacyreglement verwerking leerlingengegevens PPOZV. Maart 2014

Privacyreglement van de Vereniging voor Christelijk Onderwijs Instituut Coolsma

1.1 Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

Privacyreglement SOML

Privacy reglement / Geheimhouding

Privacyreglement Paswerk en Werkpas Holding BV

Welke gegevens verzamelen wij en waarvoor gebruiken wij deze gegevens? Welbions heeft uw persoonsgegevens nodig voor de volgende doeleinden:

Privacyreglement Accountantskantoor Sterkenburg

Privacyverklaring Therapeuten VVET

PRIVACY REGLEMENT

Protocol Cameratoezicht

Welke informatie Het Fonds verzamelt in het kader van haar werkzaamheden; Voor welke doeleinden Het Fonds deze gegevens gebruikt;

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit

gewoondoenreintegratie

PRIVACYREGLEMENT. Voor leerlingen en medewerkers. Stichting Fioretti Teylingen

PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING

a. persoonsgegeven: elke gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

Privacyreglement Trevianum Scholengroep

Artikel 1. Algemene begripsbepalingen 1.2 Persoonsgegevens 1.3 Verwerking van persoonsgegevens 1.4 Verantwoordelijke 1.5 Bewerker

Privacyreglement 2018

2.1. Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Accent Taaltraining NT2.

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

Verwerkersovereenkomst

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht

Privacyreglement Hofdijckschool

Het Letselhuis gebruikt verschillende categorieën van persoonsgegevens.

Privacybeleid. Wij vinden uw privacy belangrijk en wij doen er alles aan om uw persoonsgegevens zorgvuldig, veilig en vertrouwelijk te behandelen.

P R I V A C Y R E G L E M E N T

Privacy Statement Sa4-zorg

Privacyreglement personeelsinformatie gemeente Heerenveen

Privacyreglement Privacyreglement gebaseerd op het Modelprivacyreglement- Kennisnet 8 september 2015

b) een integriteitscode die in ieder geval op de website van de woningcorporatie wordt geplaatst.

Privacyreglement. Begripsbepaling Artikel 1

Stichting Openbaar Voortgezet Onderwijs Gouda

Leidraad classificatie

Privacyprotocol verwerking personeelsgegevens BijeenHoogeveen Voor medewerkers Onderdeel van het privacyreglement Bijeen Hoogeveen 2017.

Procedure meldplicht datalekken

Medi-Office gebruikt verschillende categorieën van persoonsgegevens.

BLAD GEMEENSCHAPPELIJKE REGELING

Privacyreglement CURA XL

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg

Privacyreglement Werkvloertaal 26 juli 2015

Privacyreglement. Drive The Care Company b.v. Sint Martinusstraat CK Venlo Telefoon

Privacystatement voor werknemers en sollicitanten van KDV Meneer Koekepeer

Standaard verwerkersovereenkomst

Privacy reglement Geluk in werken

STE Languages. Privacyreglement versie 1.2

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

1.2. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Documentinformatie: Wijzigingslog:

Regelement bescherming persoonsgegevens relaties Universiteit van Tilburg 1 Begripsbepalingen a. persoonsgegeven: b. verwerking van persoonsgegevens

PRIVACYREGELING MEDEWERKERS

Privacy Policy App Artikel 1 Definities Artikel 2 Reikwijdte reglement

PRIVACYREGLEMENT. de publieke uitvoerder van re-integratieactiviteiten in de Leidse regio, onderdeel van de gemeentelijke instelling DZB Leiden.

2.8 Privacy beleid. Bij organisaties waarmee regelmatig persoonsgegevens worden uitgewisseld, leggen wij afspraken vast in een verwerkersovereenkomst.

Transcriptie:

van persoonsgegevens Auteur(s): Martin Romijn Versie: 1.0 Datum: 8 mei 2015 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht 088-787 30 00 admin@surfnet.nl www.surfnet.nl ING Bank NL54INGB0005936709 KvK Utrecht 30090777 BTW NL 0089.60.173.B01

Inhoud Inleiding... 3 Veel voorkomende verwerkingen van persoonsgegevens... 4 Bijlage: Definities... 8 Bijlage: Voorstel basisniveaus... 9 Bijlage: Vrijstellingen bij de Wbp... 10 2/10

Inleiding SURF constateert binnen de community de behoefte aan een -classificatie voor verwerkingen van persoonsgegevens conform de methode voor -classificatie van informatie zoals dat vanuit informatiebeveiliging gebeurt. Uitgangspunt is dat instellingen veelal met dezelfde dreigingen te maken hebben, hetgeen ook blijkt uit het recente door SURF gepubliceerde rapport Cyberdreigingsbeeld in het Hoger Onderwijs. Verder zijn de primaire processen binnen het Hoger Onderwijs over het algemeen in grote lijnen identiek. In opdracht van SURFnet heeft Martin Romijn een tabel met veelvoorkomende verwerkingen van persoonsgegevens inclusief -codes opgesteld. Peter Oost (CISO Erasmus Universiteit) en Chloë Baartmans (Project Manager Voorbereiding Implementatie Algemene Verordening Gegevensbescherming SURFnet) hebben daarbij in de rol van meelezer bijgedragen aan het resultaat. 3/10

Veel voorkomende verwerkingen van persoonsgegevens De Hoger Onderwijs Referentie Architectuur (HORA) biedt onder meer een lijst applicaties en een lijst bedrijfsobjecten. Aan deze objecten is vanuit de HORA een -classificatie toegekend, daarbij is per applicatie aangegeven welke objecten beheerd dan wel benaderd worden. Het Vrijstellingsbesluit Wbp bevat een overzicht van verwerkingen die in de meeste organisaties plaatsvinden. In onderstaande tabel zijn verwerkingen in de het kader van de Wbp gerelateerd aan de applicaties vanuit de HORA. Via de objecten die betrokken zijn bij de meest voorkomende verwerkingen zijn -classificaties afgeleid. Uit ervaring blijkt dat het Hoger Onderwijs 25 meest voorkomende verwerkingen kent. Deze zijn, met de afgeleide -classificatie, in onderstaande tabel opgenomen. De -classificatie is niet altijd uit de HORA af te leiden, dan wordt een suggestie gedaan. Er zijn situaties denkbaar waarin de classificatie kan afwijken van de suggestie, dan wordt dat in de kolom Applicatie vermeld. Ook zullen specifieke situaties per instelling leiden tot een andere -classificatie. De uiteindelijke classificatie is een besluit van de instelling. Nr. Verwerking Applicatie Beheert objecten 1. Alumni gegevens Bedrijfsvoering Komt voor als verwerking van instelling zelf en ook bij alumniverenigingen. Alumnus object MHM/ verwerking MHM 2. Betaalsystemen Betaalsystemen Als financieel systeem MMM 3. Camera toezicht Onderwijs Facilitair systeem 4. Deelnemers sportfaciliteiten Niet in HORA aanwezig Leermateriaal Persoonsbeelden (beveiliging) Deels naar analogie toegangssysteem. MMM - 5. Digitaal toetssysteem Onderwijs Toetsmateriaal HHH HHH 6. Diverse onderzoeksbestanden 7. Dossier juridische procedures 8. Dossiers onafhankelijke colleges en commissies (zoals College beroep voor de examens, adviescommissie bezwaarschriften, Commissie seksuele intimidatie, Ombudsman etc.) Generieke onderzoeksgegevens Verzwarende omstandigheid: Patiëntenadministratie, bijzondere persoonsgegevens Niet als zodanig in HORA aanwezig. Niet als zodanig in HORA aanwezig. Onderzoeksgegevens Naar analogie CRM - Naar analogie CRM; allemaal afzonderlijke verwerkingen - Mogen niet met andere verwerkingen worden samengevoegd - Vaak bijzondere gegevens (klasse 2 LMM HHH HMH MMM LMM tot HHH 4/10

Nr. Verwerking Applicatie Beheert objecten persoonsgegevens > I=H V=H) object verwerking 9. Examen register Niet als zodanig in HORA Als Toetsresultaat, Beoordeling, Studieresultaat 10. Financiële administratie 11. Gebruikersadministra tie bibliotheek 12. Identity management systeem Financieel systeem Bibliotheeksysteem Vertrouwelijkheid hoog indien de betaal- en leenhistorie wordt bewaard. Applicatieplatform Kostenplaats Vordering Verplichting Journaalpost Activum Inkomende betaling Uitgaande betaling Uitleen Werk Manifestatie Expressie Item Beheert in HORA geen elementen 13. Inkoop systeem Bedrijfsvoering Leverancier Inkoopcontract 14. IT management systeem Bedrijfsvoering 15. Kiesgerechtigden Niet als zodanig in HORA aanwezig. Goed voorbeeld van nietbron systeem: bevat informatie uit andere bronsystemen. 16. Nevenwerk openbaar register (conform gedragscode NSVU) 17. Onderzoeks administratie en -gegevensbeheer 18. Personeelsinformatie systeem - Adressen en smoelenboek Samenwerkingssysteem Onderzoeksgegevensbeheers ysteem Personeelssysteem Applicatie Apparaat Systeemsoftware Bevat meer of minder elementen van Deelnemer en Medewerker Onderzoeksinformatiesys teem Onderwijsinstelling Organisatieonderdeel Medewerker Dienstbetrekking LHO LHO LLO LLO LLO LLH LHM LMM LHM MMM LHM/ LHH HHM LMH MHM LHO LHM 5/10

Nr. Verwerking Applicatie Beheert objecten - Promovendi (medewerkers die proefschrift schrijven) - Stagiaires 19. Relatiebeheer - Abonnementen magazines - Verzendlijst elektronische nieuwsbrief Bedrijfsvoering Competentie Beoordeling Formatieplaats Campagne Contact Organisatie Individu (is in HORA meta-element) Prospect Alumnus object LLO LMM nvt 20. Roosters Onderwijsondersteuning Rooster HML HML 21. Salarisadministratie Salaris verwerkingssysteem Beheert niets, dus geen HORA. Benadert Financieel en Personeel 22. Sollicitanten Als Personeel 23. Studenten (inclusief deelnemers aan cursussen en post academisch onderwijs) - Inzicht studievoortgang - Organisatie onderwijs - Onderhouden contacten - Inschrijven onderwijs - Resultaten - Studenten advies en begeleiding - Lijsten en smoelenboeken - Visa/internation alisering - Adressen en smoelenboek 24. Toegang en beheersysteem 25. Web content management Studenteninformatiesysteem Document Management Systeem Email Stage en afstudeer system Facilitair systeem Generiek Opleiding Minor Onderwijsprogramma Onderwijseenheiduitvoeri ng Onderwijseenheiddeelna me Examenprogramma Toetsresultaat Onderwijseenheidresulta at Onderwijsovereenkomst Deelnemer Waardedocument Lesgroep Leergroep Competentie Onderwijsactiviteit Deelnemeractiviteit Gebouw Ruimte Voorwerp (Medewerker) Beheert in HORA geen elementen MHO MHO MHL MHO MHL LHM LHM LHL LLO MMH () verwerking MMM MMH 6/10

Toelichting Vanuit de HORA bezien benadert een applicatie bedrijfsobjecten. In sommige organisaties zullen de applicaties objecten niet benaderen maar beheren. Als dat het geval is dan kan opschaling van de -classificatie nodig zijn. Soms is een vastlegging de bron voor een vervolgproces, dan moet de integriteit opgewaardeerd worden. Dat kan onder meer het geval zijn bij registraties in het kader van toekomstige juridische procedures. Studentbegeleiding kan plaatsvinden door studieloopbaanbegeleiders en psychologen. De ervaring is dat sommige instellingen de dienstverlening door psychologen uitbesteden. Betreft dit een formele uitbesteding dan valt het beheer (en de beveiliging) van de psychologische dossiers niet onder de verantwoordelijkheid van de instelling. Iedere instelling beschikt over een archief. Volgens de HORA beheert het Document Management Systeem tevens gearchiveerde documenten. Mocht een instelling verschillende archieven onderscheiden dan bepaalt de -classificatie van de in dat archief opgeslagen type documenten de code voor beschikbaarheid, integriteit en vertrouwelijkheid. Om die reden is Archief niet als aparte verwerking opgenomen. 7/10

Bijlage: Definities Verwerking (van persoonsgegevens): elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. (Bron: Wet bescherming persoonsgegevens.) Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante voorzieningen. Integriteit: het waarborgen van de correctheid en de volledigheid van informatie en verwerking. Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn. Beveiligingsklasse: het niveau van gewenste beveiliging, waaraan informatie en informatiesystemen behoren te voldoen. Vaak wordt onderscheid gemaakt naar de klassen standaard, gevoelig en kritiek, of openbaar, intern en vertrouwelijk. (Bron: SURfibo leidraad classificatie) Vanwege de aansluiting bij de HORA is in de tabel met -classificaties per verwerking gebruik gemaakt van de indeling Openbaar/Laag/Midden/Hoog. HORA: de referentie architectuur voor het hoger onderwijs, te vinden op : http://www.wikixl.nl/wiki/hora/index.php/_classificaties 8/10

Bijlage: Voorstel basisniveaus Aspect Toelichting Basis Beschikbaarheid Integriteit Vertrouwelijkheid Controleerbaarheid Beschikbaarheid heeft twee componenten: beschikbaarheid in geval van calamiteiten (compleetheid en snelheid van herstel) en beschikbaarheid voor de gebruiker. Veel systemen krijgen in HORA een laag of midden, uitzondering is een Hoog voor toetsmaterialen. De Wet bescherming persoonsgegevens (Wbp) beperkt zich tot herstelbaarheid bij calamiteiten, spreekt daarbij van beveiliging tegen verlies. Voorstel: basisniveau beschikbaarheid voor het hoger onderwijs is Midden, tenzij instelling hoger niveau wenst. Dat zou het geval kunnen zijn voor applicaties die via het web aangeboden worden. Deze krijgen Hoog. Binnen HORA krijgen systemen die gegevens ten behoeve van het primaire proces verwerken een Hoog. Dat geldt voor persoonsgegevens (alumnus, deelnemer, medewerker) en ook voor toetsen, toetsresultaten, werkproducten (zoals scripties) en waardedocumenten. Financiële objecten (zoals vorderingen en betalingen) binnen HORA krijgen Midden. Voorstel: niveau is Midden tenzij persoon of toets/toetsresultaat. In dat geval Hoog. De Wet bescherming persoonsgegevens geeft over integriteit geen advies, gebruikt daarvoor aantasting van de gegevens [of onbevoegde wijziging]. Binnen HORA wordt openbaar, laag, midden en hoog gebruikt. Hoog bij verwerking van persoonsgegevens en bij toetsmaterialen, ongeacht de hoeveelheid verwerkte gegevens en al dan niet bijzondere gegevens. De Wbp stelt de mate van vertrouwelijk afhankelijk van de risicoklasse. Opvallend binnen HORA is dat systemen die gegevens van apparaten een Hoog krijgen als het IP-adres van een apparaat wordt verwerkt. Voorstel: hoewel veel informatie openbaar is (zoals alles wat gepubliceerd is op websites), is het basisniveau Midden. Hoog wordt conform HORA dan systemen met persoons- en toetsgegevens. Controleerbaarheid wordt niet uitgewerkt in de HORA en alleen geïntroduceerd in de Wpb. Daarom ook hier niet verder uitgewerkt. Bij maatregelen voor controleerbaarheid kan gedacht worden aan encryptie van berichten (digitale handtekening, non-repudiation), logging en introductie van telling- en verbandcontroles (debet/credit, inkomend/uitgaand, inkoop/verkoop) en drill-down. M M M - 9/10

Bijlage: Vrijstellingen bij de Wbp In aansluiting op de Wet bescherming persoonsgegevens heeft de wetgever het Vrijstellingenbesluit opgesteld. Deze vrijstellingen beschrijven verwerkingen (administraties met persoonsgegevens) die in de meeste organisaties voorkomen. Verwerken conform een vrijstelling betekent dat de verwerking niet gemeld hoeft te worden aan het Cbp, Alle andere privacy-eisen (zoals toegestane bewaartermijnen) blijven van kracht. Het vrijstellingenbesluit doet geen uitspraken over -codes. Onderstaande tabel somt de voor het hoger onderwijs meest relevante van melding vrijgestelde verwerkingen op. Artikel Vrijstelling voor melding van verwerking 3 Verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties 5 Sollicitanten 7 Personeelsadministratie 8 Salarisadministratie 11 Abonnementen 12 Debiteuren en crediteuren 13 Afnemers en leveranciers van goederen en diensten en cliënten- en gastenadministraties 14 Huur en verhuur 15 Individuele gezondheidszorg (w.o. psychologen) 19 Leerlingen, deelnemers en studenten 29 Archiefbestemming 30 Wetenschappelijk onderzoek en statistiek 31 Documentenbeheer 32 Netwerksystemen 33 Computersystemen 34 Communicatieapparatuur 35 Toegangscontrole 36 Overig intern beheer 37 Bezoekersregistratie 38 Videocameratoezicht 38a 38b Intranet Persoonlijke websites 39 Bezwaarschriften, klachten en gerechtelijke procedure 40 Registers en lijsten 41 Oud-leden en oud-leerlingen 42 Communicatiebestanden 43 Combinaties van verwerkingen Details over de vrijstellingen zijn te vinden op http://wetten.overheid.nl/bwbr0012461/. 10/10

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback