· Web viewHoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden...

Privacy compliance kader mbo

IBPDOC2B


Verantwoording

Bron:Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming Versie mei 2016

Met dank aan:Jan Bartling (saMBO-ICT)Remco de Boer (Kennisnet)Yvonne Dijkman (MBO Raad)Hans Doffegnies (Summa College))Casper Schutte (ROC Midden Nederland)Pierre Veelenturg (MBO Raad)Pepijn de Vette (MBO Amersfoort)

Bewerkt door:Kennisnet / saMBO-ICT

Auteurs Chloë Baardman (SURF)Leo Bakker (Kennisnet)Ludo Cuijpers (saMBO-ICT)Axel Eissens (Kennisnet)Job Vos (Kennisnet)

Versie 2.0 juli 2016

Sommige rechten voorbehoudenHoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden.

Op teksten in deze publicatie rust mogelijk auteursrecht van derden. Dat betekent dat het niet is toegestaan om zonder voorafgaande toestemming van Kennisnet of saMBO-ict teksten uit deze publicatie over te nemen, te bewerken, of verder (digitaal) te verspreiden. De elders in het framework IBP gebruikte CC-BY licentie is op dit document niet van toepassing.

IN DIT DOCUMENT WORDEN DE BEGINSELEN EN PRINCIPES BESCHREVEN DIE EEN ONDERWIJSINSTELLING MOET AANHOUDEN ALS HIJ GEGEVENS VERZAMELT OVER STUDENTEN EN DOCENTEN. WET- EN REGELGEVING IS EVENEENS AFKOMSTIG VAN DEZE BEGINSELEN. DIT DOCUMENT IS BEDOELD OM DE WET EENVOUDIGER TE KUNNEN BEGRIJPEN. DE TEKST IS GESCHREVEN VOOR NIET-JURISTEN. DAARBIJ IS ER VOOR GEKOZEN OM NIET ALTIJD DE LETTERLIJKE JURIDISCHE BEWOORDINGEN AAN TE HOUDEN. MET DEZE VERTAALSLAG GAAN SOMS JURIDISCHE FINESSES EN DETAILS VERLOREN. VOOR DE VOLLEDIGHEID WORDT U ALTIJD AANGERADEN OM BIJ TWIJFEL DE WETTEKST TE RAADPLEGEN EN ZO NODIG EEN DESKUNDIGE IN TE SCHAKELEN.

IBPDOC2B, versie 2.0 Pagina 2 van 58


InhoudsopgaveVerantwoording...........................................................................................................................2

1. Verantwoording en toelichting..............................................................................................51.1 Verdere ontwikkeling Compliance kader...............................................................................................6

1.2 Nieuwe Europese wetgeving: AVG........................................................................................................6

1.3 Toetsingskader......................................................................................................................................7

2. Basisbeginselen privacy.........................................................................................................82.1 Ontstaan privacy....................................................................................................................................8

2.2 Basis privacy principes...........................................................................................................................9

2.2.1 Privacy by design.........................................................................................................................92.2.2 Doel en doelbinding.....................................................................................................................92.2.3 Grondslag.....................................................................................................................................92.2.4 Dataminimalisatie......................................................................................................................102.2.5 Transparantie.............................................................................................................................112.2.6 Rechten van de betrokkene.......................................................................................................112.2.7 Beveiliging..................................................................................................................................112.2.8 Datakwaliteit (data-integriteit)..................................................................................................112.2.9 Verantwoordelijkheid (responsibility)........................................................................................11

2.3 Eigendom.............................................................................................................................................12

3. Afgeleide privacy principes: statements...............................................................................133.1 Algemeen............................................................................................................................................13

3.2 Samenhang informatiebeveiliging en privacy......................................................................................13

3.3 Privacy gevoelige statements uit het normenkader informatiebeveiliging mbo.................................13

Beleid en organisatie....................................................................................................................................14Personeel, studenten en gasten...................................................................................................................15Ruimtes en apparatuur.................................................................................................................................15Continuïteit...................................................................................................................................................16Vertrouwelijkheid en integriteit...................................................................................................................16Controle en Logging......................................................................................................................................17

3.4 Specifieke privacy-statements.............................................................................................................18

Beleid en organisatie Controle.....................................................................................................................19Personeel, studenten en gasten...................................................................................................................19Ruimte en apparatuur..................................................................................................................................24Vertrouwelijkheid en integriteit...................................................................................................................24Controle en Logging......................................................................................................................................25

Bijlage 1: Samenhang principes en wettelijke kaders.................................................................26Privacy by design..............................................................................................................................................26

Doel en Doelbinding.........................................................................................................................................26

Grondslag.........................................................................................................................................................28

Dataminimalisatie.............................................................................................................................................31

Transparantie....................................................................................................................................................35

Rechten betrokkene.........................................................................................................................................36

Beveiliging........................................................................................................................................................41

Datakwaliteit (zorgvuldigheid; data integriteit)................................................................................................45



Verantwoordelijkheid (responsibility)..............................................................................................................46

Bijlage 2: Definities...................................................................................................................52

Bijlage 3: Framework informatiebeveiliging en privacy in het mbo............................................54



1. Verantwoording en toelichting

Privacy is een thema dat door de digitalisering van de maatschappij en de populariteit van sociale media meer leeft dan ooit. Er wordt steeds meer informatie met elkaar gedeeld en dit roept vragen op over wat wel of niet verstandig is. Ook in het onderwijs is te merken dat ict steeds vaker wordt ingezet in de klas, maar ook in het secundaire proces zoals bij de studentenadministratie. Het toenemend opslaan en verzamelen van informatie over studenten, maakt dat er ook meer aandacht moet zijn voor privacy en informatiebeveiliging.

Willen onderwijsinstellingen in de toekomst gebruik blijven maken van gegevens, én willen studenten (en docenten) ook nog gegevens met scholen blijven delen, dan moet er sprake zijn van goed samenspel bij: 1. de interactie met studenten en eventueel hun ouders; 2. de interactie met betrokken partijen (zoals tussen scholen en hun leveranciers); 3. het gebruik van de middelen en de gegevens. Dit noemen we samen een digitaal ecosysteem: partijen en middelen moeten op een goede manier in balans zijn om tot een legitiem ecosysteem te komen. Bij een datalek, is er - spreekwoordelijk - sprake van vervuiling en een verstoring van die balans. Het lek moet worden gedicht, de vervuiling wordt zo veel mogelijk verwijderd, maatregelen worden genomen om herhaling te voorkomen en met betrokkenen wordt gebouwd aan het vertrouwen om te voorkomen dat een nieuw lek opnieuw plaatsvindt.

Het zorgvuldig omgaan met gegevens is (wettelijk) de verantwoordelijkheid van onderwijsinstellingen zelf. Zij kunnen en mogen dit niet afwentelen op bijvoorbeeld hun leveranciers. Door het toegenomen gebruik van ict in het onderwijs, en de toenemende mogelijkheden daarvan, komt de noodzaak voor informatiebeveiligingsbeleid en privacy steeds vaker in beeld. De bescherming van privacy en daarmee samenhangende gegevens wordt steeds belangrijker voor mbo-scholen.

Een onderwijsinstelling1 die studentengegevens gebruikt, is verantwoordelijk voor het regelen en beschermen van de privacy van haar studenten. De wet bepaalt dat degene die alleen of samen met anderen, het doel van en de middelen voor het gebruikt van persoonsgegevens bepaalt, de verantwoordelijke voor de gegevensbescherming wordt genoemd. In het onderwijs is dit het bevoegd gezag. Binnen het mbo zal dit de voorzitter van het College van Bestuur zijn. Als een onderwijsinstelling een leverancier gebruikt voor bijvoorbeeld haar administratie, en studentengegevens verstrekt aan deze leverancier, dan wordt deze leverancier bewerker genoemd.

De persoon op wie de informatie betrekking heeft, noemen we betrokkene: dat kunnen studenten zijn, maar ook medewerkers (docenten, administratief personeel). Een goed ingericht secundair proces zorgt ervoor dat primaire processen beter kunnen renderen. Ict kan er aan bijdragen dat de organisatie van de randvoorwaarden efficiënter en effectiever wordt en draagt bij aan administratieve lastenverlichting. Door de inzet van ict kunnen beschikbare gegevens (over studenten en hun prestaties) beter worden benut. Scholen kunnen met die gegevens gemakkelijker transparant zijn over de resultaten en vorderingen van studenten. Docenten kunnen gegevens over het leerproces van de student gebruiken om dat leerproces te volgen en maatwerk te bieden. Bestuurders en managers kunnen op basis van (objectieve) gegevens onderbouwde keuzes maken om de effectiviteit en doelmatigheid van het onderwijs te verbeteren. Bovendien spelen gegevens een belangrijke rol bij de bekostiging, de verantwoording en het toezicht. En om goed onderwijs te bieden is het waardevol dat relevante informatie over een student van de ene instelling naar de andere wordt overgedragen. Bovendien is het wenselijk dat basale informatie, zoals namen en adresgegevens, niet steeds opnieuw moet worden ingevoerd.

Juist omdat er steeds meer gegevens digitaal worden opgeslagen en overgedragen (zowel leerinhoud, toetsen, examens als gegevens over studenten), nemen de risico’s toe. Het gaat daarbij om de organisatie (wie bewaart wat?), de ontsluiting (wie mag welke informatie zien en wanneer?) en de afscherming (hoe worden gemaakte afspraken afgedwongen of gecontroleerd?).

1 Met instelling wordt de rechtspersoon bedoeld, concreet wordt in de onderwijscontext het bevoegd gezag bedoeld. Binnen het mbo zal dit de voorzitter van het College van Bestuur zijn.



Bij dit gebruik van gegevens van en over studenten en docenten, is het van belang dat aandacht wordt besteed aan informatiebeveiliging en privacy. Deze twee begrippen gaan samen op: het zorgvuldig en rechtmatig verzamelen van gegevens is niets waard als deze gegevens niet beveiligd zijn (en snel op straat liggen). Andersom is een optimale beveiliging van de administratie geen garantie dat informatie op de juiste wijze is opgevraagd bij de studenten.

In deze publicatie worden de uitgangspunten en principes van privacy beschreven. Daarbij staat het doel van privacy centraal (het ‘wat’), terwijl de manier om dat doel te bereiken, ondergeschikt is (het ‘hoe’) en in andere publicaties wordt beschreven.

1.1 Verdere ontwikkeling compliance kaderDit Privacy compliance kader mbo is ter goedkeuring voorgelegd aan de Taskforce Informatiebeveiliging en Privacy in het mbo.

Het Privacy compliance kader mbo is medio 2016 geëvalueerd en herzien naar aanleiding van de invoering van de Algemene Verordening Gegevensbescherming (tekst 25 mei 2016), zie paragraaf 1.2 voor meer informatie.

Er wordt nog onderzocht of aansluiting moet en kan worden gezocht bij de ISO 27018 standaard, een verdere detaillering van de ISO 27002 norm, specifiek voor PII (Personally Identifiable Information).

1.2 Nieuwe Europese wetgeving: AVGIn april 2016 heeft het Europees Parlement ingestemd met de Algemene Verordening Gegevensbescherming (AVG), in het Engels General Data Protection Regulation (GDPR) genoemd. Deze Europese verordening treedt



vanaf 25 mei 2016 in werking, en is op 25 mei 2018 van toepassing in alle landen van de Europese Unie. Deze AVG vervangt (alle) nationale privacywetgeving. Door de AVG zijn persoonsgegevens van alle EU-inwoners straks op dezelfde uniforme wijze beschermd, ongeacht of de data van die EU-burgers in Europa of in de Verenigde Staten wordt opgeslagen. De AVG stimuleert organisaties tot bewustere omgang met privacy; onder meer met de verplichting om risicoanalyses uit te voeren, bewuster toestemming te vragen of door een FG aan te stellen.

De periode tussen 25 mei 2016 en 25 mei 2018 geeft organisaties de tijd en gelegenheid om te kunnen voldoen aan de AVG. Vanwege de inwerkingtreding in 2016, moeten organisaties zich al wel aan de AVG-bepalingen houden indien dat voor 2018 al mogelijk is.

Vanuit het oogpunt dat onderwijsinstellingen privacy-bewustere organisaties moeten worden, betekent de AVG op hoofdlijnen dat de baseline voor beheersmaatregelen gemiddeld hoger zal komen te liggen. Vooralsnog kan niet gesteld worden dat alle statements en beheersmaatregelen aan level 4 (maatregelen geborgd in PDCA-cyclus) zouden moeten voldoen, terwijl dat uiteraard wel een goede ambitie is.

Dit toetsingskader gaat uit van de vastgestelde Nederlandse vertaling van de AVG zoals opgenomen in het Publicatieblad van de Europese Unie van 4 mei 2016. De officiële benaming is “Verordening EU 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)2.

Bij de Nederlandse tekst van de AVG dient een belangrijke kanttekening te worden geplaatst. In deze tekst wordt de verantwoordelijke de verwerkingsverantwoordelijke genoemd, en de bewerker wordt als verwerker aangeduid. Deze vertalingen worden ook al gebruikt in de Richtlijn 95/46/EG, terwijl in de Nederlandse wetgeving de benamingen verantwoordelijke en bewerker worden aangehouden. Naar verluid is dit verschil te verklaren doordat een Vlaamse vertaler de Engelse teksten zou hebben vertaald. Vooralsnog wordt in dit document de huidige wettelijke benaming aangehouden: verantwoordelijke en bewerker.

1.3 ToetsingskaderIn aanvulling op het Privacy Compliance kader MBO is een Privacy Toetsingskader versie 2.0 (IBPDOC7) beschikbaar. In dit toetsingskader staat in detail beschreven wat een instelling geregeld moet hebben om aan de normen voor een succesvolle bescherming van persoonsgegevens te voldoen. In dit toetsingskader is voor ieder statement in dit compliance kader op procesniveau beschreven wat de vereisten zijn om aan een volgend volwassenheidsniveau te voldoen.

Een breed gedragen projectplan vanuit saMBO-ICT heeft de aanzet gegeven voor het IBP programma. Een breed samengestelde taskforce heeft leiding gegeven aan het programma en de uitvoering van de diverse activiteiten is door een aantal werkgroepen ter hand genomen. Hierbij leverden de mbo-instellingen zelf een grote bijdrage. De Gebruikersgroep IBP in het mbo heeft het initiatief gecontinueerd. Het verantwoordingsdocument (IBPDOC1) schetst de uitgangspunten voor het programma, de samenhang met externe factoren en het geeft als zodanig ook een verantwoording voor de gekozen aanpak en de gemaakte keuzes

2 Officiële Nederlandse vertaling:http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL


http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL


2. Basisbeginselen privacy

2.1 Ontstaan privacy Privacy is van alle tijden. Al rond 400 voor Christus bestaat al zoiets als “respect” voor in vertrouwen gedeelde informatie3. Ook heeft privacy een ontwikkeling doorgemaakt van bescherming van de persoonlijke en ‘materiele’ levenssfeer naar de bescherming van (digitale) informatie van en over een persoon. We zien de definitie van privacy als “recht om met rust te worden gelaten”, zich ontwikkelen tot een “recht om te weten en bepalen wat er met gegevens over jou gebeurt, en om te weten wie de beschikking heeft over jouw gegevens”.

Privacy - in de zin van de algemene bescherming van het privéleven - bestaat uit verschillende aspecten. Zo kennen we relationele privacy (bescherming van het gezinsleven), ruimtelijke privacy (bescherming van de woning) en informationele privacy (bescherming van persoonlijke gegevens). Deze publicatie richt zich op informationele privacy.

Alhoewel het lastig is om privacy in een wereldwijd geaccepteerd begrip te omschrijven, is er in de literatuur wel consensus dat een aantal universeel geaccepteerde fundamentele mensenrechten aan de basis liggen van informationele privacy:

1. Menselijke waardigheid: het recht op bestaan (van identiteit)Dit beginsel is terug te voeren tot het fundamentele principe dat iedereen het recht heeft om te bestaan. Iedereen heeft recht op lichamelijke en geestelijke integriteit. Ieder mens is uniek. Om een uniek persoon te identificeren is informatie en een beschrijving nodig. Ieder uniek persoon willen we kunnen identificeren. Tegenwoordig bepaalt de informatie die over iemand beschikbaar is, mede zijn identiteit. Het hebben van een identiteit maakt dat iedere persoon weet en voelt dat hij iemand is. En omdat het gaat over de identiteit en integriteit van een persoon, moet die persoon er ook van uit kunnen gaan dat er met zijn gegevens zorgvuldig wordt omgegaan: de gegevens moeten kloppen, wijzigingen moeten tijdig worden doorgevoerd en fouten moeten worden gecorrigeerd.

2. Niet-delen als uitgangspuntIeder persoon heeft zelf het recht om te beschikken over zijn eigen mens-zijn (menselijke waardigheid). Dat kan alleen als een persoon ook kan bepalen wat hij (niet) deelt over zichtzelf: het gaat immers om informatie die hem identificeert en maakt tot wat hij is: hoe hij wordt gezien. Bescherming van ieders integriteit is alleen mogelijk als het uitgangspunt is dat informatie niet standaard wordt gedeeld. Om de identiteit van een persoon te beschermen, is daarom het uitgangspunt dat informatie over een persoon niet wordt gedeeld (tenzij het belang van de persoon of diens medemens toch beter gediend is met het delen van informatie). Het recht om met rust te worden gelaten, is hier een uitwerking van.

3. Keuzevrijheid Informatie over een persoon bepaalt mede zijn identiteit. Daar kan een mens alleen zelf over beslissen. Dit zelfbeschikkingsrecht kan dus niet zomaar worden prijsgegeven, maar vraagt om een afweging. Het gaat om informatie over iemands persoonlijke levenssfeer. Een persoon is zelf het beste in staat om zelf te bepalen wat er over hem wel of niet gedeeld wordt. Daarvoor is noodzakelijk dat de persoon vooraf goed geïnformeerd is over de keuzemogelijkheden en gevolgen daarvan. Daarbij is het uitgangspunt dat ieder persoon zelf mag beslissen om informatie over zichzelf te delen. Om die keuze te maken, moet de persoon vooraf goed geïnformeerd zijn over de gevolgen van zijn keuze.

4. Vertrouwelijkheid en beveiligingOmdat het bij gegevens over een persoon gaat om diens fundamentele mensenrechten, is vertrouwelijkheid en beveiliging uitgangspunt. Vertrouwelijkheid omdat alleen de persoon zelf beslist wie informatie over hem mag weten of delen. Hij moet er van uit gaan dat anderen zorgvuldig met zijn

3 Hippocrates leerde zijn studenten dat als hun iets als arts in vertrouwen is medegedeeld, geheim moet worden gehouden.



gegevens omgaan en zijn informatie niet delen (want dat bepaalt de persoon immers zelf). Beveiliging is nodig om dat te garanderen. Omdat de persoon centraal staat, bepaalt deze de voorwaarden van beveiliging en vertrouwelijkheid (het gaat immers om diens gegevens die op het spel staan). En als de gegevens van de persoon worden gebruikt, is het noodzakelijk dat de vertrouwelijk is gegarandeerd en de beveiliging goed geregeld moet zijn.

5. Transparantie (terugkoppeling)Als er informatie over een persoon wordt verwerkt, dan wil je vanuit het principe van transparantie ook kunnen uitleggen wat er met de informatie is gebeurd. De verwerker van de informatie moet zich (kunnen) verantwoorden: vooraf door duidelijk te maken wat het beoogde gebruik van de informatie is, en achteraf door wat er uiteindelijk met de persoonsgegevens is gebeurd. Terugkoppeling is essentieel om een persoon in staat te stellen zijn eigen rechten te kunnen uitoefenen.

Als deze beginselen worden uitgelegd en in onderling verband met elkaar worden gebracht, leidt dat tot weten regelgeving op het gebied van privacy.

2.2 Basis privacy principesDe Organisatie van Economische Samenwerking en Ontwikkeling (OESO) heeft in de loop van de jaren een belangrijke rol gespeeld bij het bevorderen van respect voor privacy als een fundamentele waarde én als voorwaarde voor het vrije verkeer van persoonsgegevens over de grenzen heen. In 2013 zijn de “Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”4 uit 1980 herzien. Deze richtlijnen van de OESO gaan onder meer uit van de zelfde algemene privacy beginselen en zijn daarom een goed en internationaal erkend aanknopingspunt om algemene privacy principes aan te ontlenen.

Van de in paragraaf 1 genoemde algemene privacy beginselen, zijn de volgende privacy principes afgeleid. Voor de formulering van deze principes wordt aangesloten bij de wereldwijd gehanteerde privacy principes zoals die zijn opgenomen in de voornoemde Guidelines van de OESO.

2.2.1 Privacy by design5

Privacy is uitgangspunt: privacy by design (de AVG spreekt overigens over ‘gegevensbescherming door ontwerp en standaardinstellingen). Zonder het respecteren en erkennen van elkaar privacy, is privacy niet mogelijk. Het respecteren van privacy is uitgangspunt en staat niet ter discussie. Privacy bescherming is alleen mogelijk als we daar afspraken (regels) maken én nakomen. Voor iedereen moeten de zelfde uitgangspunten gelden. Uitvoering van alle hier opvolgende principes ligt in het verlengde van het respect voor de zorgvuldige omgang met en bescherming van persoonsgegevens in overeenstemming met de wet. In overeenstemming met de wet betekent dat omgang met persoonsgegevens is gebaseerd op rechtmatig, eerlijk en transparant handelen ten opzichte van de betrokkene. Rechtmatigheid (grondslag) en transparantie worden respectievelijk in eigen beginselen uitgewerkt, en met eerlijkheid wordt een behoorlijke en fatsoenlijke omgang met betrokkenen en hun belangen gewaarborgd. Door bij ieder gebruik van persoonsgegevens vooraf na te denken over het doel van dat gebruik, wordt bereikt dat privacy bescherming standaard wordt niet een sluitpost is.

4 http://www.oecd.org/internet/ieconomy/privacy-guidelines.htm5 Privacy by design houdt in dat u als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. (BRON; CBP)


http://www.oecd.org/internet/ieconomy/privacy-guidelines.htm


2.2.2 Doel en doelbinding Het is aan iedereen zelf voorbehouden om te beschikken (beslissen) over zijn eigen persoonsgegevens. Daarom mogen persoonsgegevens niet zomaar verzameld worden. Het moet duidelijk zijn waarvoor de persoonsgegevens worden gebruikt. Dit doel wordt vastgesteld voordat de informatie wordt verzameld. Het gebruik van de persoonsgegevens moet overeenkomen met het doel, en mag daar niet mee onverenigbaar zijn. De gegevens zijn exclusief beschikbaar voor alleen dit vooraf bepaalde doel. Dit betekent dat deze gegevens - behoudens toestemming van betrokkene of op grond van de wet - niet bekend mag worden gemaakt, beschikbaar gesteld of anderszins gebruikt voor andere doeleinden dan die vooraf zijn overeengekomen. Verstrekking aan anderen (derden), kan bijvoorbeeld alleen als dat nodig is om het doel te bereiken.

2.2.3 GrondslagPersoonsgegevens kunnen alleen op basis van een rechtmatig (wettelijk bepaald) doeleinde worden verwerkt. Persoonsgegevens moeten rechtmatig verkregen worden: hoe kom ik aan deze gegevens? Daarvoor is er een grond nodig voor het gebruik van persoonsgegevens. Het universele uitgangspunt is dat de betrokkene toestemming geeft. Indien dat niet mogelijk is, moet de wet een grondslag geven. In wetgeving, bijvoorbeeld de Wet bescherming persoonsgegevens, zijn de volgende gronden (grondslagen) toegestaan: Toestemming: er is toestemming van de betrokkene;

Voorbeeld: de student geeft op een formulier toestemming om zijn foto op te nemen op de website van de school.

Uitvoering overeenkomst: om een overeenkomst uit te kunnen voeren, is het noodzakelijk om persoonsgegevens van de betrokkene te verwerken;

Voorbeeld: voor aanvang van het onderwijs, tekenen onderwijsinstelling, student en diens ouders de onderwijsovereenkomst (OOK). Daarin worden afspraken gemaakt over het geven aan en volgen van onderwijs door de student. Om deze overeenkomst goed uit te kunnen voeren, moet de onderwijsinstelling een aantal gegevens over de student vastleggen en gebruiken om bijvoorbeeld de leerresultaten en studievoortgang te registreren.

Wettelijke verplichting: de verwerking van persoonsgegevens is wettelijk verplicht of opgedragen door de wetgever;

Voorbeeld: de onderwijsinstelling is wettelijk verplicht om jaarlijks aan DUO gegevens over de ingeschreven studenten door te geven. Daarbij is in die wet specifiek opgenomen welke gegevens moeten worden verstrekt.

Publiekrechtelijke taak: voor de uitvoering van een publieke taak (overheid) is de verwerking van persoonsgegevens noodzakelijk;

Voorbeeld: het afnemen van examens en uitreiken van diploma’s is een wettelijke (publieke) taak. Om deze diploma’s uit te kunnen reiken moet de onderwijsinstelling persoonsgegevens van de examinandi hebben om o.a. op het diploma te kunnen vermelden of door te geven aan het diplomaregister.

Vitaal belang (bescherming van de betrokkene): het verwerken van persoonsgegevens is noodzakelijk om een ernstige bedreiging van de gezondheid van betrokkene beperken/voorkomen;

Voorbeeld 1: een student met een bekende medische geschiedenis, is tijdens college onwel geworden. Er wordt contact opgenomen met diens huisarts om te overleggen. Voor dit overleg is geen toestemming gevraagd maar dat is wel in het belang van de student. Voorbeeld 2: een minderjarige student die regelmatig met blauwe plekken op de onderwijsinstelling verschijnt en geen logische verklaring kan geven voor het letsel. Er is vermoeden van mishandeling (huiselijk geweld) en daarover neemt de onderwijsinstelling conform de gedragscode “Meldcode Huiselijk Geweld en Kindermishandeling” contact op met het meldpunt Kindermishandeling. Hierbij worden er gegevens over de student uitgewisseld zonder dat deze of diens ouders hiervoor toestemming hebben gegeven.

Gerechtvaardigd belang (belangenafweging): de gegevensverwerking is noodzakelijk waarbij het belang van het verwerken van die gegevens zwaarder weegt dan het privacy belang van de betrokkene.

Voorbeeld: voor het gebruik van digitaal leermateriaal, moet de onderwijsinstelling gegevens doorgeven aan bijvoorbeeld een uitgever. Voor deze uitwisseling is geen toestemming gevraagd aan de student, toch is de uitwisseling noodzakelijk om goed onderwijs te geven. Mits de onderwijsinstelling zich aan de wet houdt en afspraken maakt met de leverancier over deze persoonsgegevens, is het belang voor de uitwisseling groter dan het belang om de privacy van de leerling te beschermen.



2.2.4 Dataminimalisatie Er zijn grenzen aan het verzamelen van persoonsgegevens. Informatie moet door wettige en eerlijke middelen en manieren zijn verkregen. Daarbij is de gegevensverzameling: 1. Proportioneel: dit betekent dat het verzamelen van persoonsgegevens redelijk moet zijn, het moet in

verhouding staan tot het doel dat je wilt bereiken. De inbreuk op de privacy moet te rechtvaardigen zijn om je doel te bereiken.

2. Subsidiair: dit betekent dat het doel waarvoor de persoonsgegevens worden verzameld, in redelijkheid niet op een andere manier wordt bereikt dan door de persoonsgegevens te gebruiken. Er mogen geen alternatieven zijn die minder ingrijpend zijn voor de privacy van de betrokkene. Als gebruik van anonieme gegevens mogelijk is, mogen er geen persoonsgegevens worden gebruikt.

Proportionaliteit legt daarmee een bovengrens, terwijl subsidiariteit een zekere ondergrens stelt aan de aard en hoeveelheid uit te wisselen gegevens.

Persoonsgegevens worden alleen bewaard zolang het gestelde doeleinde nog niet is behaald, daarna worden zij verwijderd of vernietigd. Dit gaat over de (wettelijk bepaalde) bewaartermijnen.

2.2.5 TransparantieOmdat het gaat om persoonsgegevens van en over de betrokkene, moet deze volstrekt helder en begrijpelijk zijn geïnformeerd welke gegevens er worden verzameld, en wat er met de gegevens gebeurt. Openheid en transparantie over de gegevensverwerking is uitgangspunt. Bij voorkeur is er organisatie breed beleid ontwikkeld hoe er met persoonsgegevens wordt omgegaan, wat de doelen zijn, en wat de rechten en plichten zijn. Er is ook duidelijk hoe lang de gegevens worden bewaard, en met wie de gegevens zijn/worden gedeeld. Voorbeelden van transparantie zijn het privacy reglement (in de studiegids, op de website), of uitleg bij het aanmeld- en inschrijfformulier, hoe de onderwijsinstelling omgaat met de persoonsgegevens.

2.2.6 Rechten van de betrokkeneIn geval van verzameling van persoonsgegevens, heeft de betrokkene altijd, bij iedere stap, een aantal rechten. Deze rechten moeten zonder belemmering kunnen worden uitgevoerd. Het gaat hierbij om: de betrokkene wordt (vooraf) in begrijpelijke taal actief en laagdrempelig geïnformeerd over de

gegevensverwerking; het op verzoek van de betrokkene inzage geven welke persoonsgegevens er worden verwerkt; het op verzoek van betrokkene corrigeren van ontbrekende of verkeerd vastgelegde persoonsgegevens; het op verzoek van betrokkenen verwijderen van persoonsgegevens die niet (langer) nodig zijn om de

vastgestelde doelen te behalen; het door betrokkene verzet instellen tegen een verwerking van zijn persoonsgegevens die plaats vond op

grond van een gerechtvaardigd belang. Een voorbeeld hiervan is het gebruik van de persoonsgegevens door de leverancier van leermiddelen van de leerling, de student wil niet langer aanbiedingen krijgen en meldt zich af.

Deze rechten moeten binnen een redelijke tijd worden uitgeoefend, zonder dat de betrokkene een buitensporige vergoeding hoeft te betalen. De verstrekte informatie moet gemakkelijk verstaanbaar en begrijpelijk zijn.

Een voorbeeld voor de uitoefening van de rechten, is een student wiens ouders recent zijn gescheiden. Die student wil zien welke informatie over hem en zijn ouders zijn geregistreerd en hij vraagt om correctie van zijn gegevens.

2.2.7 Beveiliging persoonsgegevens Er moet zorgvuldig worden omgegaan met de persoonsgegevens die iemand worden toevertrouwd: het gaat om andermans gegevens. Persoonsgegevens moeten zijn beschermd met een redelijke zekerheid en waarborgen tegen risico's zoals verlies of onbevoegde toegang, vernietiging, gebruik, wijziging of openbaarmaking van gegevens. Hierbij wordt voldaan gemaakt van algemeen geaccepteerde organisatorische en technische beveiligingsnormen (zoals bijvoorbeeld ISO-normen).



2.2.8 Datakwaliteit (data-integriteit)Bij persoonsgegevens gaat het informatie waarmee personen worden geïdentificeerd, gegevens die iets zeggen over een persoon. Daarom moet die informatie gegarandeerd juist, nauwkeurig, volledig en up-to-date (tijdig) zijn en blijven.

2.2.9 Verantwoordelijkheid (responsibility)Degene die de persoonsgegevens verzamelt (de ‘verantwoordelijke’), is verantwoordelijk voor de nakoming deze algemene privacy regels en is daarop aanspreekbaar. De verantwoordelijke legt daarover verantwoording af. Ook als er anderen namens de verantwoordelijke met de persoonsgegevens willen werken, moet de verantwoordelijke met die partij (‘bewerker’ genoemd) afspraken maken over deze algemene privacy regels. Verwerking vindt dus alleen plaats in overeenstemming met de wet. De verantwoordelijke draagt ook de bewijslast aan om dit aan te tonen. Ook speelt de verantwoordelijke een belangrijke rol bij verstrekking van gegevens aan derden. Bij vertrekking van gegevens aan een bewerker moeten er dan ook goede afspraken worden gemaakt.

2.3 EigendomPrivacy zegt iets over hoe er moet worden omgegaan met persoonsgegevens. Daarbij is het niet relevant van wie die gegevens zijn. Dat is juist ook de kracht van privacy, ongeacht wáár de persoonlijke informatie staat, of van wie die is, er moet altijd zorgvuldig mee worden omgegaan.

In juridische zin kunnen op persoonsgegevens echter geen eigendomsrechten rusten: gegevens zijn niets anders dan een verzameling eentjes en nullen (I/O). Op een database met persoonsgegevens kan wel een databankenrecht rusten, of er kan een er een geheimhoudingsverplichting op rusten. Ook kan een verzameling met persoonlijke gegevens een bepaalde commerciële waarde vertegenwoordigen. Maar daarmee ontstaat er geen ‘exclusief recht om te beschikken’ over die persoonsgegevens.

Bij privacy gaat het om rechten en verplichtingen van degenen die met die gegevens om moeten gaan. Daarbij kan iedereen een aparte rol hebben (verantwoordelijke; bewerker). Privacy maakt duidelijk wie bevoegd is om informatie te verstrekken aan andere partijen.

Om verwarring te voorkomen, is het beter om niet meer te spreken over ‘eigendom van de persoonsgegevens’, maar om rechten en plichten jegens die gegevens te duiden in termen van 'zeggenschappen'. De ROSA 6 biedt hiervoor een zeggenschapsmodel, waarin onderscheid wordt gemaakt in de verschillende zeggenschappen die partijen kunnen hebben over persoons- en andere gegevens.

6 ROSA: Het onderwijs werkt aan een efficiëntere en uniforme (sectoroverstijgende) informatievoorziening. De ROSA is de referentiearchitectuur van het onderwijs en is een instrument bij informatiegerichte ketensamenwerking. Verschillende partijen hebben de handen ineengeslagen om deze ambitie te realiseren. De zes sectorraden (primair-, voortgezet-, middelbaar-, agrarisch-, hoger- en universitair onderwijs) hebben zich verenigd in het Samenwerkingsplatform Informatie Onderwijs (Sion). Samen met de Dienst Uitvoering Onderwijs (DUO) en het ministerie van OCW wordt gebouwd aan de ROSA. www.wikixl.nl/wiki/rosa



3. Afgeleide privacy principes: statements

3.1 AlgemeenDe basis privacy principes beschrijven de uitgangspunten voor privacy op hoofdlijnen (het ‘wat’). Deze principes worden nu verder uitgewerkt in hanteerbare en praktisch toepasbare statements (het ‘hoe’). De statements zijn geabstraheerd van wetgeving. Hierdoor wordt voorkomen dat dit Compliance kader moet worden aangepast bij wetswijzigingen. Daarmee is dit Compliance kader toekomstvast, zonder daarmee uit te sluiten dat dit kader te zijner tijd moet worden aangepast aan (inter) nationale ontwikkelingen op het gebied van privacy.

Omwille van de duidelijkheid, is er voor gekozen om de statements voor privacy aan te laten sluiten bij de indeling (clustering) zoals deze in het Normenkader Informatiebeveiliging mbo (IBPDOC2A) is uitgewerkt. Deze clustering wordt ook in het hoger onderwijs aangehouden. Hierbij worden 6 clusters benoemd. Deze clusters groeperen maatregelen die logischerwijs met elkaar samenhangen. Hiermee kan inzichtelijk gemaakt worden op welk onderdeel (beleid, personeel, fysieke beveiliging, continuïteit ed.) een instelling sterk of zwak is en kunnen inspanningen voor verbetering en controle beter en in samenhang gestuurd worden.

In aanvulling op dit Compliance Kader MBO, is er een Toetsingskader privacy (IBPDOC 7) beschikbaar. In dit toetsingskader is voor ieder statement in dit Compliance Kader beschreven welke maatregelen er getroffen moeten worden en wat de vereisten zijn om dit op verschillende niveaus te toetsen. Het toetsingskader is opgesteld in nauwe samenhang met het bestaande Toetsingskader Informatiebeveiliging mbo (IBPDOC3), ook hierin zijn de maatregelen gekoppeld aan de zgn. volwassenheidsniveaus van het Capability Maturity Model (CMM).

3.2 Samenhang informatiebeveiliging en privacyHet beveiligen van persoonsgegevens is een belangrijke randvoorwaarde voor het voldoen aan de privacy wetgeving. Door het College Bescherming Persoonsgegevens is in 2013 vastgesteld dat het ISO 27001 en ISO 27002 normenkader een goed uitgangspunt is voor de te nemen beveiligingsmaatregelen en dat deze ISO-norm voor informatiebeveiliging aansluiten bij weten regelgeving. Dit betekent dat om te voldoen aan privacy wetgeving, moet worden voldaan aan deze ISO-norm voor informatiebeveiliging. Het voldoen aan het bij dit normenkader behorende “Toetsingskader voor informatiebeveiliging en privacy mbo” (IBPDOC 3), is dus relevant om te voldoen aan privacy weten regelgeving.

In feite zijn daarmee privacy en informatiebeveiliging direct aan elkaar gekoppeld. Dit komt ook tot uiting in het specifieke statement 1.20 dat in het normenkader Informatiebeveiliging is opgenomen (Privacy en bescherming van persoonsgegevens: privacy en bescherming van persoonsgegevens worden, voor zover van toepassing, gewaarborgd in overeenstemming met relevante weten regelgeving). Andersom is in het compliance kader privacy expliciet opgenomen (statement P9) dat informatiebeveiliging op orde moet zijn volgens de algemeen geldende normen voor informatiebeveiliging.

Daarmee is de ISO-norm 27001/27002 dus een uitgangspunt voor de beveiliging van persoonsgegevens. Dit betekent dat in feite aan alle ISO-statement moet worden voldaan. Om privacy echt te waarborgen geldt echter dat aan een aantal ISO-statements aan een hoger volwassenheidsniveau moeten voldoen: privacy gevoelige statements.



3.3 Privacy gevoelige statements uit het normenkader informatiebeveiliging mbo

De 38 statements uit het Normenkader Informatiebeveiliging mbo die specifieke aandacht behoeven in het kader van de privacy zijn hieronder weergegeven. Ze zijn ingedeeld volgens de clustering 1 t/m 6 die het normenkader hanteert.



Cluster 1: Beleid en organisatieNr. ISO27002 Statement

1.1 5.1.1.1

Beleidsregels voor informatiebeveiliging: Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuurPrivacy toets: Hanteer als uitgangspunt IBPDOC6 Model informatiebeveiliging en privacy beleid voor de mbo sector. Indien gebruik wordt gemaakt van een eigen beleidsplan controleer dan de volgende onderdelen op aanwezigheid en juistheid:1. Inleiding2. Beleidsuitgangspunten en -principes informatiebeveiliging en privacy3. Classificatie4. Wet- en regelgeving5. Governance informatiebeveiligingsbeleid (waaronder het aanstellen FG of privacy officer)6. Melding en afhandeling van incidenten

1.2 5.1.1.2

Beleidsregels voor informatiebeveiliging: Het door het bestuur vastgestelde Informatiebeveiligingsbeleid wordt gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.Privacy toets: onderzoek of er ook met externe partijen wordt gecommuniceerd over het informatiebeveiliging en privacy beleid van de mbo instelling.

1.6 6.2.1.1Beleid voor mobiele apparatuur: Er dient beleid te worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beheren.Privacy toets: er is een beleid op het gebied van Bring Your Own Device (BYOD) en Bring Your Company Device (BYCD). Bovendien wordt dit beleid gecontroleerd.

1.7 8.2.1

Classificatie van informatie: Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.Privacy toets: er is een beleid waarin de uitgangspunten van de BIV classificatie worden beschreven. De classificatie wordt op Laag, Midden en Hoog niveau beschreven. De beheersmaatregelen worden eveneens op deze schaalverdeling beschreven. Deze classificatie wordt gebruikt en periodiek geëvalueerd, en is nodig voor het bepalen van de te nemen maatregelen om de privacy van betrokkenen te beschermen.

1.8 8.2.2

Informatie labelen: Om informatie te labelen behoort een passende reeks procedures te worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.Privacy toets: de mbo instelling moet kunnen aantonen dat de classificatie daadwerkelijk wordt toegepast. Te denken valt aan: Security architectuur document; Documenten die voorzien zijn van een ‘stempel’ vertrouwelijk; Aanwezigheid van een vertrouwenspersoon; Aanvullende afspraken voor functioneel beheerders i.v.m. vertrouwelijkheid;Etc.

1.9 10.1.1.1Beleid inzake het gebruik van crypto grafische beheersmaatregelen: Ter bescherming van informatie behoort een beleid voor het gebruik van crypto grafische beheersmaatregelen te worden ontwikkeld.Privacy toets: Er is een beleid t.a.v. crypto grafische beheersmaatregelen.

1.10 10.1.1.2

Beleid inzake het gebruik van crypto grafische beheersmaatregelen: Ter bescherming van informatie zijn er tools of applicaties aanwezig waarmee het beleid voor het gebruik van crypto grafische beheersmaatregelen wordt geïmplementeerd.Privacy toets: de mbo instelling heeft een of meerder tools aangeschaft ihkv crypto grafische beheersmaatregelen.

1.15 15.1.2

Opnemen van beveiligingsaspecten in leveranciersovereenkomsten: Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt.Privacy toets: eisen worden opgenomen in SLA’s en (bijvoorbeeld) maandelijks teruggekoppeld in een SLR (Service Level Rapportage).

1.18 16.1.2Rapportage van informatiebeveiligingsgebeurtenissen: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.Privacy toets: er is een goede escalatie procedure beschikbaar.



1.19 18.1.3

Beschermen van registraties: Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave.Privacy toets: er is een document met afgesproken bewaartermijnen binnen een mbo instelling. Er moet zicht zijn op welke categorieën persoonsgegevens er worden verwerkt.



1.20 18.1.4

Privacy en bescherming van persoonsgegevens: Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante weten regelgeving. Dit statement is de verbindende schakel tussen informatiebeveiliging en privacy. IB is een wettelijke eis om zorgvuldig met persoonsgegevens om te gaan.Privacy toets: privacy kan onderdeel zijn van het informatiebeveiligingsbeleid zoals opgenomen in statement 1.1.

Cluster 2: Personeel, studenten en gastenNr. ISO27002 Statement

2.1 7.1.2

Arbeidsvoorwaarden: De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden.Privacy toets: geen aanvullende opmerkingen

2.2 7.2.2

Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging: Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.Privacy toets: geen aanvullende opmerkingen

2.3 9.2.6

Toegangsrechten intrekken of aanpassen: De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast.Privacy toets: de autorisatie matrix is voor dit statement cruciaal. Met name de medewerkers dit uitdienst zijn getreden moeten worden ge-audit.

2.4 11.2.9

‘Clear desk’- en ‘clear screen’-beleid: Er behoort een ‘clear desk’-beleid voor papieren documenten en verwijderbare opslagmedia en een ‘clear screen’-beleid voor informatie verwerkende faciliteiten te worden ingesteld.Privacy toets: geen aanvullende opmerkingen

2.5 13.2.4

Vertrouwelijkheids- of geheimhoudingsovereenkomst: Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.Privacy toets: geheimhoudingsovereenkomst beoordelen. Onderzoek met name de deelnemersadministratie. T.a.v. de geheimhouding kan ook verwezen worden naar de cao.

Cluster 3: Ruimtes en apparatuurNr. ISO27002 Statement

3.1 6.2.1.2

Beleid voor mobiele apparatuur: Er dienen beveiligingsmaatregelen te worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beperken.Privacy toets: een reglement notebooks (die eigendom zijn van de mbo instelling) is niet voldoende. Een AUP (Acceptable Use Policy), in het Nederlands “Verantwoord Gebruik”, is noodzakelijk, immers alle medewerkers thuis op hun eigen device inloggen op applicaties die eigendom zijn van de mbo instelling moeten alle medewerkers zich aan de afspraken zoals verwoord in AUP houden. Juridisch is de AUP een aanvulling op de arbeidsovereenkomst als deze goedgekeurd is door de Ondernemingsraad (WOR, artikel 27, lid K).

3.14 11.2.7

Veilig verwijderen of hergebruiken van apparatuur: Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.Privacy toets: het betreft hier afvoer van apparatuur.



Cluster 4: ContinuïteitNr. ISO27002 Statement

4.5 12.3.1.1Back-up van informatie: Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt. Privacy toets: controle van de volume van de back up is gewenst (Is van alle informatie een back up gemaakt?). Controleer logboek back up.

4.6 12.3.1.2Back-up van informatie: Gemaakte back ups worden regelmatig getest conform het back-up beleid.Privacy toets: terugzetten van bestanden (restore) middels een logboek controleren.

4.14 17.1.2

Informatiebeveiligingscontinuïteit implementeren: De organisatie behoort processen, procedures en beheersmaatregelen vast te stellen, te documenteren, te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen.Privacy toets: een continuïteitsplan (BCM) moet voorhanden zijn.

Cluster 5: Vertrouwelijkheid en integriteitNr. ISO27002 Statement

5.1 9.1.1Beleid voor toegangsbeveiliging: Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen.Privacy toets: toegangsbeveiliging zowel voor het netwerk als voor applicaties.

5.2 9.1.2

Toegang tot netwerken en netwerkdiensten: Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.Privacy toets: het betreft hier technische netwerkdiensten, denk aan VPN en draadloos netwerk.

5.3 9.2.1Registratie en afmelden van gebruikers: Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.Privacy toets: het betreft nieuwe gebruikers en het verwijderen van gebruikers.

5.4 9.2.2

Gebruikers toegang verlenen: Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.Privacy toets: het verlenen van toegangsrechten tot applicaties op basis van functie en rollen (RBAC) van medewerkers.

5.5 9.2.3Beheren van speciale toegangsrechten: Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.Privacy toets: het betreft hier de super users / administrators rechten.

5.6 9.2.4

Beheer van geheime authenticatie-informatie van gebruikers: Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.Privacy toets: het betreft het wachtwoorden beleid dat op basis van delegatie is goedgekeurd.

5.7 9.3.1Geheime authenticatie-informatie gebruiken: Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie informatie houden aan de praktijk van de organisatie.Privacy toets: geen aanvullende opmerkingen.

5.8 9.4.1

Beperking toegang tot informatie: Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.Privacy toets: de gebruiker ziet alleen die opties in het keuzemenu waartoe hij rechten heeft.

5.9 9.4.2 Beveiligde inlogprocedures: Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.Privacy toets: een aantal aanbevelingen: 2-way authenticatie; Wachtwoord kan niet worden “afgeluisterd”; Wachtwoord wordt niet weergegeven;



Wachtwoord en username komen niet overeen is de juiste foutmelding bij onjuist ingetypt wachtwoord.

5.10 10.1.2.1Sleutelbeheer: Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels behoort tijdens hun gehele levenscyclus een beleid te worden ontwikkeld.Privacy toets: beleid t.a.v. digitale sleutels (voorbeeld Bitlocker).

5.11 10.1.2.2Sleutelbeheer: Er wordt gebruik gemaakt van tools om cryptografische sleutels tijdens hun gehele levenscyclus adequaat te beheren.Privacy toets: beheer van digitale sleutels (bijvoorbeeld Bitlocker).

5.12 12.4.2Beschermen van informatie in logbestanden: Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang.Privacy toets: geen aanvullende opmerkingen

5.16 13.2.3Elektronische berichten: Informatie die is opgenomen in elektronische berichten behoort passend te zijn beschermdPrivacy toets: toetsen op certificering.

Cluster 6: Controle en Logging Nr. ISO27002 Statement

6.1 9.2.5Beoordeling van toegangsrechten van gebruikers: Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.Privacy toets: een van de belangrijkste statements. De proceseigenaar moet samen met hoofd systeembeheer controleren of de toegangsrechten juist zijn.

6.2 12.4.1

Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.Privacy toets: geen aanvullende opmerkingen.

6.9 18.2.2

Naleving van beveiligingsbeleid en –normen: Het management behoort regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.Privacy toets: proceseigenaren controleren of afspraken gerealiseerd zijn. Er mogen geen vragen zijn in de trant van: “Waar liggen de verantwoordelijkheden?”.

6.10 18.2.3

Beoordeling van technische naleving: Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging.Privacy toets: beoordeling op technisch inhoudelijk gebied..



3.4 Specifieke privacy statementsISO 27001 en 27002, de Code voor Informatiebeveiliging, beschrijft weliswaar alle voorkomende risico’s op het gebied van informatiebeveiliging, maar alleen op een generieke manier. De Code is niet opgesteld om alle risico’s die samenhangen met privacy te verminderen. Weliswaar wordt een flink deel van de risico’s afgedekt maar niet alle. In dit hoofdstuk benoemen we alle aanvullende statements die vanuit het complete compliance kader privacy zijn geselecteerd. Zoals aangegeven zijn die op dezelfde wijze gerangschikt als de generieke statements.

In de onderstaande statements wordt in de eerste kolom met een kleur aangegeven met welke wet of norm dit statement concreet overeenkomt. Het statement (of een afgeleide daarvan) kan in andere bewoordingen bijvoorbeeld ook voorkomen in de Wbp of AVG. Bij een mogelijke overlap wordt gekozen voor de wet- of regel die daarbij het beste aansluit. In de laatste kolom wordt vermeld van welk privacy principe het statement is afgeleid. Het betreft de kleuren:

Kleuren Basis

EVRM Europees Verdrag voor de Rechten van de Mens

AVG Algemene Verordening Gegevensbescherming (toekomstige Europese wetgeving met directe werking)

Wbp Wet bescherming persoonsgegevens

NEN7510 NEN-norm voor privacy en informatiebeveiliging in de zorg, veel gebruik in academische ziekenhuizen

Andere nationale wetgeving

Overige nationale wetgeving zoals de Archiefwet

Ook de aanvullende statements zijn ingedeeld in dezelfde clustering als de statements uit het Normenkader Informatiebeveiliging mbo. Dit is gedaan omdat het op zich een heldere en goed werkbare indeling is en omdat het daarmee uniformiteit in de aanpak bevordert.



Beleid en organisatie

Nr. Statement Principe

P.1

Privacy beleid: Ten behoeve van het garanderen van privacy van deelnemers en medewerkers en om te voldoen aan de relevante weten regelgeving, behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur. In dit beleid is voorzien in procedures voor het uitoefenen van de rechten van deelnemers en docenten.

5) Transparantie

P.2

Functionaris gegevensbescherming: De instelling benoemt een functionaris voor de gegevensbescherming (FG), of indien dit niet mogelijk of wenselijk is een privacy officer (PO), die is belast met intern toezicht op de verwerkingen van persoonsge-gevens binnen de instelling, en alle verwerkingen van persoonsgegevens inventariseert en registreert. De verantwoordelijke zorgt er voor dat alle andere beroepswerkzaamheden van de FG verenigbaar zijn met zijn taken en verplichtingen als FG en dat die niet tot een belangenconflict leiden.

9) Verantwoordelijkheid

P.3

Doelbepaling en doelbinding, grondslag, dataminimalisatie, transparantie en data-integriteitDe instelling draagt er zorg voor dat bij verwerking van persoonsgegevens de volgende uitgangspunten worden gehanteerd: P.3a Doelbepaling en doelbinding: De instelling draagt er zorg voor dat voor

iedere categorie van verwerkingen – voorafgaand aan die verwerking - een specifiek doeleinde is vastgesteld, en dat dit doeleinde is gecommuniceerd bij de gegevensverzameling. De instelling zorgt er voor dat persoonsgegevens alleen worden verwerkt voor het doeleinde waarvoor die gegevens verkregen zijn.

P.3b Grondslag (rechtmatigheid): De instelling zorgt er voor dat persoonsgegevens altijd op basis van een wettelijke grondslag worden verwerkt. Daarbij maakt de instelling geen gebruik van opt-out regelingen als het gaat om verwerkingen van persoonsgegevens. Indien toestemming noodzakelijk is voor verwerkingen van persoonsgegevens van deelnemers jonger dan 16 jaar, dan wordt toestemming altijd afgestemd met de wettelijke vertegenwoordigers, en deze toestemming wordt vastgelegd en is reproduceerbaar.

P.3c Dataminimalisatie: Het verwerken van persoonsgegevens moet redelijk zijn en in verhouding staan tot het te realiseren doel van die verwerking: de inbreuk op de privacy moet te rechtvaardigen zijn om het doeleinde te bereiken (proportionaliteit), de te verzamelen persoonsgegevens blijven beperkt tot datgene wat minimaal nodig is om de doeleinde(n) te bereiken waarvoor de data worden verwerkt (subsidiariteit).

P.3d Transparantie: de instelling informeert de gebruikers (of hun wettelijke vertegenwoordigers) en medewerkers van wie persoonsgegevens worden verwerkt, beknopt, transparant, eenvoudig toegankelijk en begrijpelijk in duidelijke en eenvoudige taal over het beleid alsmede over alle gegevensverwerkingen.

P.3e Data-integriteit: de instelling zorgt er voor dat bij verwerkingen die door of namens de instelling worden uitgevoerd, de juiste persoonsgegevens op het juiste moment op de juiste plaats beschikbaar zijn.

2) Doel en doelbinding3) Grondslag4) Dataminimalisatie 5) Transparantie8) Data-integriteit

P.4 Registratieplicht: Een verwerking van persoonsgegevens wordt gemeld aan de aangestelde




Functionaris Gegevensbescherming die daartoe een (openbaar) register bijhoudt. In geval er geen Functionaris voor Gegevensbescherming is aangesteld, wordt deze melding gedaan bij de Autoriteit Persoonsgegevens voor zover de verwerking niet onder een vrijstelling van de meldingsplicht valt.

P.5

Bewaartermijnen: Er is een actief archief- en vernietigingsbeleid: persoonsgegevens worden niet langer bewaard dan nodig voor het gestelde doeleinde. De instelling stelt op basis van de Archiefwet de vernietigings- en bewaartermijnen vast van de verwerkte persoonsgegevens. De instelling is in staat om alle persoonsgegevens die niet onder een wettelijke bewaartermijn vallen, op een eerste verzoek van de deelnemer (of indien deze jonger is dan 16 jaar: diens wettelijk vertegenwoordgiers) te vernietigen.

4) Dataminimalisatie

P.6

Verwerking t.b.v. onderzoek: Persoonsgegevens mogen worden verwerkt ten behoeve van:

a) archivering in het algemeen belang (Archiefwet);b) wetenschappelijk of historisch onderzoek of c) statistische doeleinden.

Indien passende technische en organisatorische maatregelen zijn genomen om de privacy van de betrokken deelnemers te garanderen. Onder deze maatregelen wordt in ieder geval verstaan dat er niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is. Hierbij valt te denken aan pseudonimisering (in geval de data herleidbaar moet zijn tot individuen) of anonimisering (in geval data niet herleidbaar hoeft te zijn).

Bij historische, statistische of wetenschappelijke doeleinden is verwerking alleen mogelijk op basis van strikte voorwaarden vergelijkbaar met de ‘Gedagscode voor Onderzoek & Statistiek’ en de verantwoordelijke voorafgaand toestemming heeft verleend.

2) Doel en doelbinding

P.7

Verwerking van bijzondere persoonsgegevens:De instelling verwerkt geen persoonsgegevens betreffende iemands religieuze of levensbeschouwelijke overtuigingen, tenzij dit gelet

op het doel van de instelling en voor de verwezenlijking van haar grondslag strikt noodzakelijk is,

ras of etnische afkomst, tenzij de instelling daartoe op grond van een wet verplicht is, of alleen in met het doel om personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen om feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen,

biometrische gegevens (zoals vingerafdruk of irisscan) voor zover deze gebruikt worden met het oog op de unieke identificatie van een persoon,

gezondheid of iemands seksueel gedrag of seksuele gerichtheid, voor zover dat met het oog op de speciale begeleiding van deelnemers of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is,

tenzij de deelnemer voor het gebruik van deze categorieën persoonsgegevens zelf toestemming heeft gegeven voor het verwerken van de hiervoor genoemde categorieën persoonsgegevens.

2) Dataminimalisatie

P.8 Geautomatiseerde besluitvorming: In geval de instelling gebruik maakt van geautomatiseerde individuele besluitvorming (geautomatiseerde besluitvorming), zal zij: geen geautomatiseerde beslissingen laten nemen over de betrokkene

zonder dat bij die beslissing een natuurlijk persoon namens de instelling betrokken is, tenzij de betrokkene instemt met een geautomatiseerde beslissing zonder menselijke interventie; en

er aan de betrokkene duidelijke informatie is verstrekt over de wijze van geautomatiseerde besluitvorming, en

2) Doel en doelbinding



de betrokkene de mogelijkheid heeft o zijn standpunt en visie over het besluit en

besluitvormingsproces te geven, en o in verweer te komen tegen een dergelijke geautomatiseerde

beslissing; en bij de geautomatiseerde besluitvorming geen gebruik maken van bijzondere

persoonsgegevens.

P.9

Informatiebeveiliging: De instelling neemt passende technische of organisatorische maatregelen op een dusdanige manier dat de passende beveiliging van persoonsgegevens gewaarborgd is. De integriteit en vertrouwelijkheid van de persoonsgegevens moet gegarandeerd zijn.

Verwerkte persoonsgegevens zijn beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze beveiliging is afhankelijk van de stand van de techniek, de uitvoeringskosten, alsook de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de privacy van de onderwijsdeelnemers. Bij de beveiliging wordt aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging.

7) Beveiliging

P.10

Bewerkersovereenkomsten: Met alle leveranciers die als bewerker voor of namens de instelling persoonsgegevens (van deelnemers, medewerkers en externen) verwerken, worden bewerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld.




Personeel, studenten en gastenNr. Statement Principe

P.11 Transparantie privacy beleid: De instelling informeert de (ouders van) deelnemers en medewerkers van wie persoonsgegevens worden verwerkt, beknopt, transparant, eenvoudig toegankelijk en begrijpelijk in duidelijke en eenvoudige taal over het privacy beleid en de rechten en verplichtingen van betrokkenen.

5) Transparantie

P.12 Informatieplicht verwerkingen: De instelling informeert actief, al dan niet met gebruikmaking van door leveranciers geleverde informatie, aan de (ouders van) deelnemers en medewerkers van wie persoonsgegevens worden verwerkt, welke verwerking er in welke informatiesystemen binnen de instelling plaatsvindt en welke maatregelen er zijn getroffen om de privacy van die deelnemer te kunnen waarborgen.Aan de betrokken deelnemers en docenten wordt beknopt, transparant, eenvoudig toegankelijk en begrijpelijk in duidelijke en eenvoudige taal ten minste medegedeeld: De identiteit en contactgegevens van de verantwoordelijke (CvB van de

onderwijsinstelling), De contactgegevens van de FG of PO, welke (categorieën) persoonsgegevens worden verwerkt, het doel van de verwerking, of die verwerking beperkt is tot dat wat voor het gestelde doeleinde strikt

noodzakelijk is, of persoonsgegevens ook voor andere doeleinden worden verwerkt, wat de bewaar- en vernietigingstermijnen zijn; of persoonsgegevens worden gedeeld met commerciële derden, of persoonsgegevens worden verkocht of verhuurd, of persoonsgegevens gecodeerd worden bewaard.

5) Transparantie

P.13 Rechten van betrokkene: De instelling respecteert expliciet de volgende rechten:P.13.a. Deelnemers (dan wel hun ouders) en medewerkers hebben het recht

een verzoek te doen ter verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens, in het geval dat deze gegevens: feitelijk onjuist zijn, voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, de verwerking van de persoonsgegevens niet meer nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden

verwerkt.P.13.b. De verbetering, aanvulling of verwijdering wordt voor zover

redelijkerwijs mogelijk doorgegeven aan alle personen en organisaties die van de onderwijsinstelling hebben ontvangen.

P.13.c. Deelnemers hebben het recht om geheel ‘te worden vergeten’ door het verwijderen van alle persoonsgegevens, tenzij de onderwijsinstelling op grond van een wettelijke plicht, of ter vrijwaring van een rechtsvordering deze gegevens moet bewaren. Evenmin worden de gegevens verwijderd indien deze verwijdering een inbreuk op vrijheid van meningsuiting en informatie oplevert.

P.13.d. In geval de verwerking van persoonsgegevens plaatsvindt op basis van toestemming of een overeenkomst, heeft de deelnemer heeft recht om de door de onderwijsinstelling verwerkte persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen.

P.13.e. De betrokken deelnemer wordt in kennis gesteld van de door de onderwijsinstelling uitgevoerde handelingen met zijn persoonsgegevens.

6) Rechten betrokkene

P.14 Arbeidsvoorwaarden: In de contractuele overeenkomst met medewerkers en contractanten zijn hun (eventuele) verantwoordelijkheden voor privacy opgenomen. In deze overeenkomst is voorzien in een vertrouwelijkheids- of geheimhoudingsbeding




ten aanzien van de verwerkte persoonsgegevens.

P.15 Bewustzijn, opleiding en training ten aanzien van privacy: Alle interne en externe medewerkers van de organisatie behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. De FG is hierbij betrokken.

5) Transparantie



Ruimte en apparatuurNr. Statement Principe

P.16 Verwijderen van persoonsgegevens:van apparatuur die niet langer wordt gebruikt, worden de op het apparaat aanwezige persoonsgegevens op een betrouwbare en veilige wijze vernietigd. Vernietiging is mogelijk door vernietiging van de gegevensdrager zelf. In geval van vernietiging door een derde, geeft deze een verklaring af aangaande vernietiging.

4) Dataminimalisatie7) Beveiliging

Vertrouwelijkheid en integriteitNr. Statement Principe

P.17 Datakwaliteit (data-integriteit): De verantwoordelijke gaat zorgvuldig om met de verwerkte persoonsgegevens en waarborgt het behoud en bescherming van de juistheid en de consistentie van die gegevens.

8) Datakwaliteit

P.18 Datalek: In geval van een inbreuk in verband met de (beveiliging van) persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.En die inbreuk houdt een risico in voor de rechten en vrijheden van betrokkenen, dan meldt de verantwoordelijke de inbreuk bij de AP zo snel mogelijk, doch uiterlijk binnen 72 uur nadat de inbreuk bekend is geworden.

Deze inbreuk wordt aan getroffen betrokkenen gemeld indien de inbreuk een waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. De getroffen deelnemers en medewerkers worden geïnformeerd over de aard van de inbreuk, en de gevolgen van de inbreuk op hun privacy.

5) Transparantie

P.19 Bijzondere persoonsgegevens: Bij verwerking van bijzondere persoonsgegevens zoals gezondheidsgegevens, neemt de instelling (extra) passende, consequente en specifieke maatregelen om de veiligheid van de gegevens te garanderen. Het gebruik van deze bijzondere gegevens blijft beperkt tot alleen die gevallen dat de informatie strikt noodzakelijk en evenredig is.

4) Beveiliging



Controle en LoggingNr. Statement Principe

P.20

Privacy in informatiesystemen: Bij het gebruiken en/of ontwerpen van informatiesystemen die persoonsgegevens van deelnemers en medewerkers verwerken, worden privacy regels zoals privacy by design en privacy by default in die systemen een aangehouden en zo mogelijk ingebouwd: • Gegevensminimalisatie af te dwingen (zo min mogelijk vrije velden)• Transparantie over gebruik van gegevens• Afschermen van de identiteit (pseudonimisering)• Gebruik sticky policies Data tracking (waaronder logging).

4) Dataminimalisatie8) Datakwaliteit

P.21

Gegevensbeschermingseffectbeoordeling (GEB, voorheen PIA): De instelling voert een (tweejaarlijks terugkerende) evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerking op de rechten en vrijheden van de betrokkenen. Deze evaluatie vindt eveneens plaats in geval van een wijziging in de verwerking van persoonsgegevens die specifiek de risico’s wijzigt voor de privacy van de betrokken deelnemers en medewerkers. De instelling voert naar aanleiding van de evaluatie een volledige GBEB uit in geval de verwerking van de persoonsgegevens: in geval van een systematische en uitgebreide beoordeling van

persoonlijke aspecten van betrokkenen, die is gebaseerd op geautomatiseerde verwerking, waaronder geautomatiseerde besluitvorming, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;

Bijzondere persoonsgegevens (ras, gezondheid) worden verwerkt; Geautomatiseerde bewaking van publiek toegankelijke ruimtes.De beoordeling heeft betrekking op de gehele levenscyclus van persoonsgegevens van verzameling van verwerking tot verwijdering. In geval van herziening van of nieuwe verwerkingen van grote hoeveelheden persoonsgegevens, wordt vooraf bepaald wat de impact is van deze (gewijzigde) verwerking op de privacy van de deelnemers.Bij de GBEB is altijd de FG betrokken.

2) Doel en doelbinding7) Doel en doelbinding8) Datakwaliteit

P.22

Naleving van privacy beleid en –normen: De instelling controleert (laat controleren) regelmatig de naleving van de privacy regels en informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. De FG ziet toe op de (dagelijkse) naleving van het beleid.


P.23Rapportage van privacy gebeurtenissen: Privacy- en informatiebeveiligingsincidenten behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd aan de FG en verantwoordelijke.

7) Beveiliging

P.24Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzoneringen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig beoordeeld.

5) Transparantie 9) Verantwoordelijkheid



Bijlage 1: Samenhang principes en wettelijke kaders

Privacy by design Onderwijsinstellingen respecteren privacy van studenten en medewerkers en komen weten regelgeving na.

Wbp Rechten en verplichtingen Toelichting

In het convenant Digitale Onderwijsmiddelen en Privacy worden afspraken gemaakt over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige omgang met Persoonsgegevens die worden verwerkt in het kader van het gebruik van Digitale Onderwijsmidde-len voor het volgen van onderwijs bij Onderwijsinstellin-gen.

Onderwijsinstellingen in het PO en VO, onderschrijven het Convenant Digitale Onderwijsmiddelen en Privacy(Leermiddelen en Toetsen).

Doel en DoelbindingPersoonsgegevens mogen alleen worden verwerkt aan welbepaalde, uitdrukkelijk doeleinden op een wijze die niet onverenigbaar is met deze doeleinden.


Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

Bij de beoordeling hiervan houdt de verantwoordelijke in elk geval rekening met: a. de verwantschap tussen het doel van de beoogde

verwerking en het doel waarvoor de gegevens zijn verkregen;

b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor de

betrokkene; d. de wijze waarop de gegevens zijn verkregen en e. de mate waarin jegens de betrokkene wordt voorzien

in passende waarborgen.

De instelling draagt er zorg voor dat – voorafgaand aan verwerking – voor iedere categorie van verwerkingen een specifiek doeleinde is vastgesteld en dat dit is gecommuniceerd aan de betrokkenen.

Persoonsgegevens worden alleen verwerkt in het kader van het doel waarvoor die gegevens verkregen zijn (doelbinding).


In beginsel is het verwerken van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden, die primair voor een ander dan deze doeleinden zijn verzameld, niet in strijd met de wet. Wel dient de verantwoordelijke in die gevallen passende voorzieningen te treffen ten einde te verzekeren dat verwerking uitsluitend voor deze doeleinden geschiedt.

Verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden is alleen mogelijk ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling. Deze verwerking is alleen mogelijk op basis van strikte voorwaarden vergelijkbaar met de Wbp ‘Gedagscode voor Onderzoek & Statistiek’ en vereist voorafgaande toestemming van de verantwoordelijke



AVG Rechten en verplichtingen Toelichting

Aangescherpte voorwaarden, verwerking is dan alleen mogelijk indien:a. de doeleinden niet op een andere manier kunnen

worden bereikt, namelijk door verwerking van gegevens waarmee de betrokkene niet of niet langer kan worden geïdentificeerd (anonimisering of pseudonimisering)

b. gegevens waardoor informatie aan een geïden-tificeerde of identificeerbare betrokkene kan worden toegekend, gescheiden worden be-waard van andere informatie, volgens de aller-hoogste technische standaarden, en alle noodzakelijke maatregelen worden getroffen om het onmogelijk te maken dat de betrokke-nen alsnog om ongegronde redenen worden geïdentificeerd.

[opgenomen onder dataminimalisatie]


Persoonsgegevens worden niet verwerkt in het geval dat daaraan een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift in de weg staat.Dit geldt slechts voor die persoonsgegevens die voor de verantwoordelijke of bewerker in het kader van een onder deze geheimhoudingsplicht vallende activiteit heeft ontvangen of verkregen.

NEN7510 Rechten en verplichtingen Toelichting

"Eisen voor vertrouwelijkheid die een weerslag vor-men van de behoefte van de organisatie aan beveiliging van informatie behoren in een geheimhoudingsovereenkomst te worden vast-gesteld. Deze eisen en deze overeenkomst behoren regelmatig te worden beoordeeld. (ISO 27799)"



GrondslagWbp Rechten en verplichtingen Toelichting

Persoonsgegevens mogen slechts worden verwerkt indien er sprake is van:a. Toestemming De betrokkene heeft voor verwerking

zijn ondubbelzinnige toestemming gegeven (ook wel geïnformeerde toestemming of informed consent).

b. Uitvoering overeenkomst: De verwerking is noodzake-lijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.

c. Wettelijke verplichting: De verwerking is noodzakelijk om een wettelijke verplichting na te komen.

d. Vitaal belang: De verwerking is noodzakelijk om een ernstige bedreiging voor de gezondheid van de be-trokkene te bestrijden.

e. Publiekrechtelijke taak: Verwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak.

f. Gerechtvaardigd belang verantwoordelijke/bewerker: Belangenafweging tussen (i) het gerechtvaardigd be-lang van de verantwoordelijke en (ii) het gerecht-vaardigd belang van de betrokkene

Let op: De betrokkene heeft het recht zijn toestemming te

allen tijde in te trekken. De betrokkene wordt door verantwoordelijke op de

hoogte gebracht indien de intrekking van de toestemming kan leiden tot de beëindiging van de geleverde diensten of van de betrekkingen met de verantwoordelijke.

Toestemming is aan het specifieke doeleinde gebonden, en niet meer geldig zodra dit doel wegvalt of is voltooid.

Toestemming is geen rechtmatige grondslag als er sprake is van een hiërarchische verhouding tussen verantwoordelijke en betrokkene.

De instelling draagt er zorg voor dat persoonsgegevens ten alle tijde op basis van een wettelijke grondslag worden verwerkt.

[geregeld bij rechten betrokkene]


Opt-out is niet langer toegestaan, omdat dan geen sprake is van toestemming aangezien niet gesproken kan worden van expliciete wilsverklaring door het vergeten een link ‘uit’ te klikken.

N.v.t.




Voor verwerking van gegevens van een betrokkene die jonger is dan 16 jaar, is toestemming van de wettelijk vertegenwoordiger vereist.

Informatie die aan kinderen, ouders en wettelijke verte-genwoordigers wordt verstrekt om toestemming te ver-lenen, met inbegrip van informatie betreffende het verza-melen en gebruiken van persoonsgegevens door de ver-antwoordelijke, moet in duidelijke en op de doelgroep afgestemde taal worden verschaft.

Persoonsgegevens van studenten jonger dan 16 jaar die worden verwerkt, wordt afgestemd met de ouders of wettelijke vertegenwoordigers.

Ingeval gegevens van minderjarigen in grote hoeveelheden of systematisch verwerkt worden, dient vooraf te worden bepaald wat de impact is van deze verwerking op de privacy van de minderjarigen. Er wordt zo nodig een PIA uitgevoerd.

Andere wet en regelgeving

Rechten en verplichtingen Toelichting

WGBOVoor een verwerking ter uitvoering van een behandelingsovereenkomst is ingeval van minderjarigen (<18 jaar) toestemming vereist van:

Minderjarigen <12 jaar alleen toestemming van de ouders of wettelijke vertegenwoordigers

Minderjarigen tussen 12-16 jaar naast toestemming van de betrokkene tevens toestemming van ouders of wettelijke vertegenwoordiger vereist (tenzij dit kennelijk ernstig nadeel aan de patiënt toebrengt)

Minderjarigen >16 jaar zelfstandige toestemming vereist

[WGBO niet van toepassing]


Definitie van een kind in de wet gesteld op iedere betrokkene <18 jaar.

Bij kinderen <13 jaar wordt tevens toestemming van ouders of wettelijke vertegenwoordiger vereist in geval van het rechtstreeks aanbieden van diensten of goederen van de informatiemaatschappij (online diensten).

[Door te voeren in de volgende versie, na invoering AVG. Impact blijft beperkt voor het MBO aangezien studenten allen ouder zijn dan 13 jaar.]


De instelling die een gedragscode wil vast stellen, kan het Cbp verzoeken te verklaren dat de daarin opgenomen regels, gelet op de bijzondere kenmerken van de sector of sectoren van de samenleving waarin de instelling werkzaam is, een juiste uitwerking vormen van de Wbp of andere wettelijke bepalingen betreffende verwerking van persoonsgegevens.

[niet van toepassing, er is een convenant dat in de plaats komt van de gedragscode]




Stelt specifiekere eisen aan opstellen gedragscodes, die moeten bijdragen aan juiste toepassing van de AVG en:a. eerlijke en transparante gegevensverwerking;b. de eerbiediging van de consumentenrechtenc. de verzameling van gegevens;d. het informeren van het publiek en de betrokkenen:e. verzoeken van betrokkenen in het kader van de

uitoefening van hun rechten;f. het informeren en de bescherming van kinderen;g. doorgifte van gegevens naar derde landen of naar

internationale organisaties;h. mechanismen voor het toezicht op en de verzekering

van de naleving van de code door de voor de verwerking verantwoordelijken die deze hebben onderschreven;

i. buitengerechtelijke procedures en andere procedures voor geschillenbeslechting tussen verantwoordelijken en betrokkenen met betrekking tot de verwerking van persoonsgegevens.

[De kans bestaat dat door specificering van wetgeving op het gebied van bescherming van persoonsgegevens door de AVG, het Cbp wellicht zal afzien van voorafgaande goedkeuring van gedragscodes.]


"De directie behoort informatiebeveiliging binnen de organisatie actief te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. (ISO 27799; NVZ 2010)"



DataminimalisatieHet verzamelen van persoonsgegevens moet redelijk zijn, het moet in verhouding staan tot het doel dat je wilt bereiken. De inbreuk op de privacy moet te rechtvaardigen zijn om je doel te bereiken (proportionaliteit). Persoonsgegevens blijven beperkt tot datgene wat minimaal nodig is voor de doeleinde(n) waarvoor de data worden verwerkt en persoonsgegevens worden alleen verwerkt wanneer en voor zolang als de doeleinde(n) nog niet is/zijn verwezenlijkt (subsidiariteit). Persoonsgegevens worden niet langer bewaard dan nodig voor het gestelde doeleinde.


Het is verboden bijzondere persoonsgegevens te verw-erken. Het is aan de verantwoordelijk om te checken of deze gegevens worden geregistreerd.Met uitzondering van de volgende gevallen:a. toestemming van de betrokkeneb. noodzakelijk voor uitvoering verplichtingen en

specifieke rechten arbeidsrechtc. noodzakelijk is ter bescherming van de vitale belangen

van de betrokkened. wordt verricht door een stichting, een vereniging of

een andere instantie zonder winstoogmerke. betrekking heeft op persoonsgegevens die duidelijk

door de betrokkene openbaar zijn gemaaktf. noodzakelijk is voor de vaststelling, uitoefening of

verdediging van een recht in rechteg. noodzakelijk voor de vervulling van een taak van

gewichtig algemeen belangh. (gegevens over gezondheid) noodzakelijk is voor

gezondheidsdoeleindeni. noodzakelijk is voor historische, statistische of

wetenschappelijke doeleindenj. (strafrechtelijke gegevens) noodzakelijk is om een

wettelijke verplichting van de verantwoordelijke na te komen of voor de vervulling van een taak om gewichtige redenen van algemeen belang.

De instelling verwerkt geen persoonsgegevens betreffende iemands - godsdienst of levensovertuiging , tenzij dit gelet

op het doel van de instelling en voor de ver-wezenlijking van haar grondslag noodzakelijk is,

- ras , tenzij de instelling daartoe op grond van een wet verplicht is, of alleen in met het doel om personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen om feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen

- gezondheid , voor zover dat met het oog op de speciale begeleiding van studenten of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is.

Registratie van een pasfoto, nationaliteit, godsdi-enst of gezondheidsgegevens kunnen hier ook onder vallen, en mogen dus alleen in uitzonderlijke om-standigheden en onder verscherpte maatregelen (strikte beveiliging) worden verwerkt.


Bij verwerking van gezondheidsgegevens (bijzondere persoons-gegevens) dienen passende, consequente en specifieke waarbor-gen te zijn opgenomen, op voorwaarde dat deze noodzakelijk en evenredig zijn, en waarvan de gevolgen door de betrokkene kunnen worden voorzien.Verwerking mag dan alleen:a. voor doeleinden van preventieve of arbeidsgeneeskunde,

medische diagnose, het verstrekken van zorg of behandelingen of het beheren van gezondheidsdiensten. Verwerking geschiedt slechts door een gezondheidswerker of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of een andere persoon voor wie een gelijkwaardige vertrouwelijkheidsplicht geldt;

b. om redenen van openbaar belang op het gebied van volksgezondheid. Verwerking geschiedt slechts door een persoon die vertrouwelijkheid in acht moet nemen;

c. om andere redenen van openbaar belang op gebieden als sociale bescherming.

Bij verwerking van bijzondere persoonsgegevens zoals gezondheidsgegevens, neemt de instelling (extra) passende, consequente en specifieke maa-tregelen om de veiligheid van de gegevens te garan-deren. Het gebruik van deze bijzondere gegevens blijft beperkt tot alleen die gevallen dat de infor-matie strikt noodzakelijk en evenredig is.




Niemand kan onderworpen worden aan een besluit dat alleen wordt genomen op grond van een geautomatiseerd persoonsgegevens verwerkingssysteem dat bestemd is om een beeld te vormen over zijn/haar persoonlijkheid (=profilering), als aan dat besluit gevolgen zijn verbonden die de betrokkene in kwestie specifieke en in aanmerkelijke mate treffen.

Zo’n verwerking is slechts rechtmatig indien de betrokkene hierover specifiek en voortijdig wordt geïnformeerd en met waarborgen voor menselijke tussenkomst ter controle.

Iedere betrokkene heeft altijd het recht bezwaar te maken tegen profilering.

Bij profilering is er sprake van een geautomatiseerde verwerking (en vergelijking) van verschillende soorten persoonsgegevens om een betrokkene te evalueren, classificeren of een beslissing over die betrokkene te nemen. De school zal bij het inzetten profilering geen geautomatiseerde beslissingen laten nemen over de betrokkene zonder dat bij die beslissing

een persoon namens de instelling betrokken is bij de besluitvorming,

er aan de betrokkene duidelijke informatie is verstrekt over de wijze van profilering, en

de betrokkene de mogelijkheid heeft in verweer te komen tegen een dergelijke geautomatiseerde beslissing.


"Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd.

[zie hiervoor]


Geen wettelijke verplichtingen opgenomen in de Wbp Let hier op eventuele gevolgen voor het HR-beleid (bijvoorbeeld werving&selectie of benoeming & ontslag).

Ook hier geldt dat toestemming niet als grondslag kan dienen voor verwerking door de instelling in hoedanigheid als werkgever. Dit artikel beoogt dan ook dat lidstaten specifieke wetgeving aannemen voor verwerkingen in arbeidsverhouding (hier worden slechts minimum standaarden voorgeschreven).




In het kader van de arbeidsverhouding kunnen specifieke regels worden ingesteld. In ieder geval dient een verantwoordelijke, die tevens werkgever is met de volgende omstandigheden rekening te houden bij verwerking van persoonsgegevens van medewerkers:1. Het doel van de verwerking moet verband houden

met de reden waarom de gegevens werden vergaard en moet beperkt blijven tot het kader van de arbeidsverhouding. Profilering of gebruik voor secundaire doeleinden is niet toegestaan.

2. Toestemming van een werknemer biedt geen rechtsgrondslag voor verwerking van gegevens door de werkgever, indien deze toestemming niet vrijwillig is verleend.

Daarbij gelden de volgende minimum normen:a. verwerking van persoonsgegevens van werknemers

zonder dat zij hiervan op de hoogte zijn, is verboden. Uitzondering geldt slechts voor gevallen waarin aantoonbare werkelijke aanknopingspunten aanleiding geven tot de verdenking dat de werknemer waarmee een arbeidsverhouding bestaat een strafbaar feit heeft gepleegd of zich schuldig heeft gemaakt aan ernstig plichtsverzuim, het onderzoek van de gegevens noodzakelijk is om het feit aan het licht te brengen en de aard en de

b. De toepassing van openlijk optisch-elektronisch en/of open akoestisch- elektronisch toezicht op de niet openbaar toegankelijke delen van het bedrijf die overwegend bedoeld zijn voor persoonlijk gebruik door de werknemers, met name ruimten voor sanitaire voorzieningen, omkleed-, pauze- en slaapruimten, is verboden.

c. ondernemingen of autoriteiten die in het kader van medische onderzoeken en/of geschiktheidstests persoonsgegevens verzamelen en verwerken moeten de sollicitant of werknemer er vooraf van op de hoogte brengen waarvoor deze gegevens worden gebruikt en dienen ervoor te zorgen dat dezen na afloop van de tests de beschikking krijgen over deze gegevens en de resultaten, en desgewenst een uitleg over hun belang.

d. of en in welke omvang het gebruik van telefoon, e-mail, internet en andere telecommunicatiediensten ook voor particuliere doeleinden is toegestaan, kan in een cao of rechtstreeks tussen werkgever en werknemer worden geregeld.

persoonsgegevens van werknemers, met name gevoelige gegevens zoals politieke overtuiging, een eventueel lidmaatschap van of een actieve rol in een vakbond, mogen onder geen beding worden gebruikt om werknemers op zogenoemde „zwarte lijsten” te plaatsen of hen door te lichten dan wel uit te sluiten van werk.

Beleidsregels voor privacy: Ten behoeve van privacy behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur.

Beleidsregels voor privacy: Het door het bestuur vastgestelde privacybeleid wordt gepubliceerd en gecommuniceerd aan me-dewerkers en relevante externe partijen.




Persoonsgegevens worden niet langer bewaard dan voor de verwezenlijking van de doeleinden noodzakelijk is.

De instelling draagt er zorg voor dat een duidelijk beleid wordt vastgesteld voor bewaartermijnen van persoonsgegevens.



ArchiefwetDe verantwoordelijke is verplicht een selectielijst op te stellen waarin tenminste wordt aangegeven welke persoonsgegevens op welke termijn worden vernietigd.

De instelling stelt op basis van het Basisselectiedocument de nodige selectielijsten op waarin tenminste wordt aangegeven welke persoonsgegevens op welke termijn worden vernietigd.


Persoonsgegevens mogen wel langer worden bewaard voor zover ze voor historische, statistische of wetenschappelijke doeleinden worden bewaard, en de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzek-eren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt.


Verscherpte voorwaarden voor secundair gebruik persoonsgegevens voor historisch, statistisch en wetenschappelijk onderzoek:

a. De verantwoordelijk moet kunnen aantonen dat het doeleinde niet bereikt kan worden zonder gebruik van de gegevens (subsidiariteit) en

b. Alle informatie die aan een betrokkene kan worden toegekend wordt gescheiden bewaard van andere informatie volgens de allerhoogste technische standaarden.

[bij herziening Compliancekader te overwegen:

Bij secundair gebruik van persoonsgegevens voor historisch, statistisch en wetenschappelijk onderzoek, toont de instelling aan dat zonder de gegevens het doel van het onderzoek niet kan worden behaald. ]



TransparantieDe betrokkene moet volstrekt helder en in begrijpelijke taal zijn geïnformeerd welke gegevens er over hem worden verwerkt. Het privacybeleid moet transparant zijn en openbaar toegankelijk voor alle betrokkenen.


Het interne privacy beleid dient beknopt, transparant, duidelijk en eenvoudig toegankelijk te zijn, en wordt vastgesteld door de verantwoordelijke. Het beleid moet op eenvoudige wijze beschikbaar en te begrijpen zijn voor iedere betrokkene. Hierbij wordt rekening gehouden met de stand van de techniek, het soort verwerking van persoonsgegevens, de context, de omvang en het doel van de verwerking, de risico's voor de rechten en vrijheden van betrokkenen en het type organisatie, zowel bij de vaststelling van de middelen voor de verwerking als bij de verwerking zelf.

Beleidsregels voor privacy: Ten behoeve van privacy behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur. Het door het bestuur vastgestelde privacy beleid wordt gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.

Daarnaast zorgt de verantwoordelijke ervoor dat er mechanismen zijn die ervoor zorgen dat doeltreffendheid van maatregelen met regelmaat wordt getoetst door interne/externe auditors.

De Onderwijsinstelling informeert actief, al dan niet met gebruikmaking van leveranciers geleverde informatie, aan de (ouders van) studenten van wie persoonsgegevens worden verwerkt, welke verwerking er plaatsvindt en welke maatregelen er zijn getroffen om de privacy van die leerling te kunnen waarborgen.


"Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, na het optreden van een omvangrijk informatiebeveiligingsincident of zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft.”

[invoering PDCA-cyclus; maturity-level 4]


Bij verwerking van persoonsgegevens draagt de verant-woordelijke er zorg voor dat de volgende informatie openbaar wordt gemaakt:

Voor welk specifiek doeleinde(n) de persoonsgegevens worden verwerkt

Of verwerking beperkt wordt tot dat wat voor het gestelde doeleinde strikt noodzakelijk is.

Of bewaring van de persoonsgegevens beperkt wordt tot dat wat voor het gestelde doeleinde strikt noodzakelijk is.

Of persoonsgegevens ook voor andere doeleinden worden verwerkt

Of persoonsgegevens worden gedeeld met commerciële derden

Of persoonsgegevens worden verkocht of verhuurdOf persoonsgegevens gecodeerd worden bewaard

De instelling kan een pagina op haar website inrichten waarop deze informatie beschikbaar wordt gesteld. Vanzelfsprekend dient deze pagina met voldoende regelmaat geüpdatet te worden.



Rechten betrokkene

Persoonsgegevens worden verwerkt met inachtneming van en respect voor de fundamentele rechten van betrokkenen. Betrokkenen hebben het recht een verzoek te doen ter verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens, in het geval dat deze gegevens (a) feitelijk onjuist zijn, (b) voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, (c) dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.


De instelling stelt procedures in die de betrokkene in staat stellen zijn recht op rectificatie uit te oefenen. Dit recht geeft de betrokkene de mogelijkheid een verzoek ter ver-betering, aanvulling, verwijdering of afscherming van persoonsgegevens in te dienen in het geval dat deze gegevens (a) feitelijk onjuist zijn, (b) voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, (c) dan wel anderszins in strijd met een wettelijk voorschrift wor-den verwerkt.

Kennisgeving na afloopNa het verbeterd, aangevuld, verwijderd of afgeschermd, is de verantwoordelijke verplicht om aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbetering, aanvulling, verwijdering of afscherming, tenzij dit onmo-gelijk blijkt of een onevenredige inspanning kost.

De verantwoordelijke stelt procedures vast voor het uitoefenen van de rechten van betrokkenen.

De verantwoordelijke zorgt er voor dat betrokkenen op eenvoudige, begrijpelijke en transparante wijze hun rechten uit te laten voeren. Hierbij maakt de instelling gebruik van gestandaardiseerde (digitale) formulieren.

De betrokkene kan zijn rechten in het algemeen kosteloos uitoefenen, behoudens in het geval van misbruik.

De instelling reageert binnen de vastgestelde termijnen (doch uiterlijk binnen 4 weken). De instelling stuurt een gemotiveerde reactie indien niet aan het verzoek kan worden voldoen, onder vermelding van diens beroepsmogelijkheden.

Na het verbeteren, aanvullen, verwijderen of afschermen van persoonsgegevens van de betrokkene, is de verantwoordelijke verplicht om aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbetering, aanvulling, verwijdering of afscherming (tenzij dit onmogelijk blijkt of een onevenredige inspanning kost).

Iedere betrokkene heeft het recht een klacht in te dienen bij de toezichthouder, indien van mening dat verwerking niet aan de wet voldoet.


Rechten van betrokkenen omvatten onder andere het ver-strekken van duidelijke en gemakkelijk te begrijpen infor-matie over de verwerking van persoonsgegevens van betrokkenen (intern privacy beleid), toegangsrechten (procedures en maatregelen), daarbij worden waar nodig persoonsgegevens verbeterd of verwijderd (rectificatie en wissen), worden betrokkenen over verwerking geïn-formeerd (recht om gegevens te verkrijgen), kunnen be-trokkenen tegen bepaalde verwerkingen bezwaar maken of gerechtelijke procedures aanspannen om hun rechten af te dwingen of schadevergoeding voor onrechtmatige ver-

[zie hiervoor]



werking te ontvangen (recht van bezwaar en beroep).


De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. De betrokkene wordt door verantwo-ordelijke op de hoogte gebracht indien de intrekking van de toestemming kan leiden tot beëindiging van geleverde diensten of betrekkingen met de verantwoordelijke. Toestemming is aan het specifieke doeleinde gebonden, en niet meer geldig zodra dit doel wegvalt of is voltooid. Toestemming is geen rechtmatige grondslag als er sprake is van een hiërarchische verhouding tussen verantwo-ordelijke en betrokkene.

[zie grondslag]


Opt-out is niet langer toegestaan, omdat dan geen sprake is van toestemming aangezien niet gesproken kan worden van expliciete wilsverklaring door het vergeten een link ‘uit’ te klikken.

[nvt]


Een betrokkene heeft het recht een verzoek in te dienen waarin hij/zij informeert naar nakoming van zijn/haar rechten als betrokkene (recht op informatie, recht op inzage, rectificatie, wissen, toegang tot of verkrijging van zijn/haar persoonsgegevens).In algemene zin draagt de verantwoordelijke de verantwoordelijkheid om omtrent een dergelijk verzoek:

Zonder onnodig uitstel informatie te verstrekken.Te informeren zonder onnodig uitstel of er al dan niet actie is ondernomen n.a.v. het specifiek verzoek.

Indien geen actie wordt ondernomen, dient de verantwoordelijke dit mee te delen, met daarbij een onderbouwing en mogelijkheid tot indienen van een klacht.

Alle informatie wordt schriftelijk verstrekt.

[zie hiervoor]


De verantwoordelijke stelt procedures vast om bij verzoek van een betrokkene uitsluitsel te kunnen bieden over het al dan niet plaatsvinden van verwerkingen van zijn/haar persoonsgegevens, in duidelijke en eenvoudige taal. De volgende informatie moet (minimaal) worden verstrekt:a. de doeleinden van de verwerking voor elke soort

gegevens;b. de soorten persoonsgegevens; c. Wie de gegevens ontvangen of er inzicht in hebben;d. Bewaartermijn of criteria die dienen om dat termijn

te bepalen;e. Het bestaan van het recht op rectificatie of het wissen

[zie hiervoor]



van persoonsgegevens of bezwaar te maken;f. Het recht om een klacht in te dienen;g. De beschikbare informatie over de herkomst van de

gegevens.h. Of gegevens zijn verstrekt aan overheidsinstanties


Naast het verstrekken van algemene informatie, dient de instelling aanvullend de volgende informatie (te zien als ondergrens) aan een betrokkene te verstrekken, als deze hier om vraagt:

1. De identiteit en contactgegevens van de instelling, en indien van toepassing de functionaris gegevensbescherming

2. De specifieke doeleinden voor verwerking en bestaande beveiligingsmaatregelen

3. Bewaartermijn of criteria die dienen om dat termijn te bepalen

4. Het bestaan van het recht van toegang, rectificatie, wissen, of verkrijgen van persoonsgegevens of bezwaar te maken

5. Het recht om een klacht in te dienen 6. Wie de gegevens ontvangen of er inzicht in hebben7. Of de gegevens buiten de EEA worden gedeeld, of

met internationale organisaties en hun betreffende beschermingsniveau

8. Of gegevens worden gebruikt voor profilering9. Of gegevens zijn verstrekt aan overheidsinstanties10. Alle verdere informatie die nodig is om tegenover de

betrokkene een eerlijke een behoorlijke en zorgvuldige verwerking te waarborgen.

[zie hiervoor]


Dit recht geeft de betrokkene de mogelijkheid een ver-zoek ter verbetering, aanvulling, verwijdering of af-scherming van persoonsgegevens in te dienen in het geval dat deze gegevens (a) feitelijk onjuist zijn, (b) voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, (c) dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.

De verantwoordelijk is verplicht binnen een redelijk gesteld termijn te reageren op het verzoek, en dient bij afwijzing van een verzoek dit duidelijk met redenen te omkleden.

Kennisgeving na afloopNa het verbeterd, aangevuld, verwijderd of afgeschermd, is de verantwoordelijke verplicht om aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbetering, aanvulling, verwijdering of afscherming, tenzij dit onmo-gelijk blijkt of een onevenredige inspanning kost.

[zie hiervoor]



Indien de verzoeker (betrokkene) ernaar vraagt, dient de verantwoordelijke hem mede aan welke derden hij deze mededeling heeft gedaan.




Als verwerking van persoonsgegevens heeft plaatsgevonden o.g.v. de volgende grondslagen (als bedoeld onder nr. {X}) (a) de goede vervulling van een publiekrechtelijke taak of (b) het gerechtvaardigd belang van de verantwoordelijke Kan een betrokkene te alle tijden (lees: zonder nadere motivatie) een klacht hiertegen indienen (= verzet).

Indien het verzet gerechtvaardigd is beëindigt de verantwoordelijke terstond de verwerking.

Bij verwerking op andere gronden dient een betrokkene niettemin op een eenvoudige en doeltreffende wijze kosteloos bezwaar te kunnen maken tegen de verwerking van gegevens die op hem betrekking heeft.

Het is aan de verantwoordelijke om te bewijzen (omge-keerde bewijslast) dat zijn gerechtvaardigde belangen zwaarder wegen dan de grondrechten en fundamentele vrijheden van de betrokkene.

[zie hiervoor]


AVG (art. 73)voorziet in een klachtrecht bij het CBP ingeval be-trokkene van mening is dat de verwerking niet aan de AVG voldoet.

Dit klachtrecht sluit in dat kan worden geklaagd over (het niet, of het niet tijdig nemen van) beslissingen van instellingen op verzoeken van betrokkene om enig recht uit hoofde van de AVG uit te oefenen, zoals het recht op toegang en inzage, rectificatie, laten wissen van gegevens, gegevensoverdraagbaarheid, alsmede het recht op te komen tegen ‘profiling’.

[wijzigen bij volgende herziening]


Iedere betrokkene heeft het recht een klacht in te dienen bij de toezichthouder, indien van mening dat verwerking niet aan de wet voldoet.

Het Cbp kan ambtshalve of op verzoek van een belanghebbende, een onderzoek instellen naar de wijze waarop ten aanzien van gegevensverwerking toepassing wordt gegeven aan het bepaalde bij of krachtens de wet.

Ook organen, organisaties of verenigingen die in het openbaar belang handelen hebben het recht een klacht in te dienen namens een of meer betrokkenen.

[zie hiervoor]




Iedere natuurlijke of rechtspersoon heeft het recht tegen hem betreffende besluiten van de toezichthouder een beroep in te stellen.

Iedere betrokkene heeft ook het recht een beroep in te stellen teneinde de toezichthouder te verplichten aan een klacht gevolg te geven, of als er geen besluit is genomen voor bescherming van zijn rechten of wanneer de toezichthouder hem niet binnen 3 maanden van de voortgang of resultaat van de klacht in kennis heeft gesteld.

[zie hiervoor]


De rechten van betrokkenen mogen achterwege blijven voor zover dit (in het uiterste geval) noodzakelijk is in het belang van:

a. Openbare veiligheidb. de voorkoming, opsporing en vervolging van strafbare

feiten;c. gewichtige economische en financiële belangen van de

staat en andere openbare lichamen;d. het toezicht op de naleving van wettelijke voorschriften die

zijn gesteld ten behoeve van de belangen, bedoeld onder b en c

e. de voorkoming, het onderzoek, de opsporing en de vervol-ging van schendingen van de beroepscodes voor geregle-menteerde beroepen;de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

[zie hiervoor]



BeveiligingEr moet zorgvuldig worden omgegaan met de persoonsgegevens die aan de instelling worden toevertrouwd: het gaat om andermans data. De veiligheid van de gegevens moet daarom worden gegarandeerd.


Zowel de verantwoordelijke als de bewerker legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Een passend beschermingsniveau houdt rekening met (a) de stand van de (beveiligings) techniek, en (b) de kosten van tenuitvoerlegging van de beveiligingsmaatregelen. De maatregelen zijn er mede op gericht onnodige verzamel-ing en verdere verwerking van persoonsgegevens te voorkomen.

De verantwoordelijke kan aan de hand van de wettelijke checklists haar systemen controleren en waar nodig aanpassen.


Stand van de techniek en kosten van uitvoering (uit-gewerkt)a) De mogelijkheid ervoor te zorgen dat de integriteit van de persoonsgegevens wordt bekrachtigd;b) de mogelijkheid te voorzien in een voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht vd systemen en diensten die persoonsgegevens verwerken; c) de mogelijkheid om de beschikbaarheid van en toegang tot gegevens ingeval van een fysiek of technisch incident met gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van de informatiesystemen en diensten te herstellen;d) ingeval van verwerking van bijzondere persoons-gegevens worden bijkomende veiligheidsmaatregelen getroffen om te zorgen voor omgevingsbewustzijn met betrekking tot de risico's en het vermogen om bijna real-time preventieve, corrigerende en beperkende maatrege-len te treffen;e) een proces voor het regelmatig testen, meten en eval-ueren van de doeltreffendheid van bestaand veiligheids-beleid en bestaande veiligheidsprocedures en -plannen, teneinde deze doeltreffendheid voortdurend te waarbor-gen.

[zie hiervoor]




De verantwoordelijke, of de bewerker, voert een al-gemene risicoanalyse uit van de mogelijke effecten van de bedoelde gegevensverwerking op de rechten en vrijhe-den van de betrokkenen, waarbij wordt beoordeeld of de verwerkingen waarschijnlijk specifieke risico’s inhouden (die een PIA behoeven).

De volgende verwerkingen kunnen (gezien hun aard) specifieke risico's inhouden:a) de verwerking van persoonsgegevens van meer dan

5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden;

b) de verwerking van bijzondere persoonsgegevens, locatiegegevens of gegevens over kinderen of werknemers in grote bestanden;

c) profilerende gegevens waarop maatregelen zijn gebaseerd die een betrokkene op aanzienlijke wijze kunnen treffen;

d) de verwerking van persoonsgegevens voor het bieden van gezondheidszorg, of wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen;

e) geautomatiseerde bewaking van openbaar toegankelijke ruimten op grote schaal;

g) indien een inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen heeft voor bescherming van de persoonsgegevens, privacy, of rechten of de gerechtvaardigde belangen van de betrokkene;

h) verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen;

i) persoonsgegevens worden toegankelijk gemaakt voor een aantal personen waarvan redelijkerwijs niet kan worden aangenomen dat het een beperkt aantal is.

De instelling voert een evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerking op de rechten en vrijheden van de betrokkenen.

De instelling voert een volledige PIA uit in geval de verwerking van de persoonsgegevens:

Meer dan 5000 betrokkenen betreft en langer duurt dan 12 maanden;

Bijzondere persoonsgegevens (ras, gezondheid) worden verwerkt;

Er sprake is van profilering;Geautomatiseerde bewaking van publiek toegankelijke ruimtes;

Inbreuken die waarschijnlijk negatieve gevolgen heeft voor bescherming van de persoonsgegevens;

Verwerkingen die regelmatige en stelselmatige observatie van betrokkenen vereisen;

Toegankelijk is voor een grotere groep gebruikers.

[Hierbij kan de handreiking PIA risicoformulier gebruikt worden.]




Indien verwerking plaatsvindt overeenkomstig de lijst onder Algemene Risicoanalyse, voert de verantwoordeli-jke/bewerker een beoordeling uit van de effecten van de beoogde verwerking op de rechten en vrijheden van be-trokkenen.

Een enkele beoordeling is voldoende ingeval het gaat om een reeks vergelijkbare verwerkingen die vergelijkbare risico’s inhouden.

De beoordeling heeft betrekking op de gehele levenscy-clus van persoonsgegevens van verzameling van verwerk-ing tot verwijdering. Deze bevat tenminste:a) een systematische beschrijving van de beoogde verwerkingen, de doeleinden van de verwerking en, indien van toepassing, de gerechtvaardigde belangen die worden nagestreefd door de verantwoordelijke;b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot het doel;c) een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen; d) een beschrijving van de beoogde maatregelen om de risico's te beperken en de hoeveelheid persoonsgegevens die wordt verwerkt, te minimaliseren;e) een lijst waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen (zoals pseudonimisering)f) een algemene aanwijzing betreffende de bewaartermijnen van de verschillende categorieën gegevens;g) een uitleg over welke privacy by design en by default praktijken zijn toegepast;h) een lijst van de ontvangers of categorieën ontvangers van de persoonsgegevens;i) indien van toepassing, een lijst van de voorgenomen doorgiften van gegevens naar een derde land of een internationale organisatie;j) een beoordeling van de context van de gegevensverwerking.

De instelling stelt procedures vast inzake het uitvoeren van een PIA.

[Voor uitvoering van een PIA kan gebruik gemaakt worden van de IPHO model PIA

Het verdient aanbeveling de FG te betrekken indien een PIA is uitgevoerd waarbij grote risico’s zijn ingeschat voor verwerking van betreffende persoonsgegevens.

https://www.surf.nl/themas/digitale-rechten/privacy/implementatie-algemene-verordening-gegevensbescherming-avg/privacy-impact-assessment-pia/index.html]



Toetsmodel PIA Rijksdienst 7 Per 1 september 2013 wordt standaard – bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ict systemen of de aanleg van grote databestanden – een PIA uitgevoerd

7 Te vinden via http://www.rijksoverheid.nl/documenten-en-publicaties/publicaties/2013/06/24/toetsmodel-privacy-impact-assessment-pia-rijksdienst.html




In geval van een datalek (inbreuk in verband met persoon-sgegevens) meldt de verantwoordelijke het Cbp deze inbreuk zonder onnodige vertraging.

De bewerker waarschuwt de verantwoordelijk zonder onnodige vertraging na de vaststelling van een datalek bij de bewerker.

De melding aan het Cbp omvat:a. een omschrijving van de aard van de inbreuk in ver-

band met persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen en categorieën en aantallen gegevensrecords;

b. de vermelding van de identiteit en de contactgegevens van de FG of een ander contactpunt waar meer infor-matie kan worden verkregen;

c. aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen;

d. een omschrijving van de gevolgen van de inbreuk in verband met persoonsgegevens;

e. een omschrijving van de maatregelen die de verantwo-ordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken en de gevolgen ervan te beperken.

Zie voor meer informatie ook het Rapport Meldplicht Datalekken

[algemeen]

Een datalek wordt door de verantwoordelijke gemeld aan het CBP.


Als bij inschatting van de gevolgen van een datalek aan-nemelijk is dat persoonsgegevens als gevolg van dat lek zijn blootgesteld aan een aanmerkelijke kans op verlies of onrechtmatige verwerking, moet de verantwoordelijke na melding aan het CBP, zonder onnodige vertraging, ook een melding doen aan de betrokkene.

Deze mededeling is uitgebreid en geschreven in duidelijke, eenvoudige taal en bevat: omschrijving aard van de inbreuk iv.m. de

persoonsgegevens de vermelding van de identiteit en de

contactgegevens van de FG of een ander contactpunt waar meer informatie kan worden verkregen;

aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen;

een omschrijving van de gevolgen van de inbreuk i.v.m. persoonsgegevens

UitzonderingBij aantoonbaar en toegepaste passende technische beschermingsmaatregelen op de betreffende persoonsgegevens mag melding achterwege blijven.

Bij een datalek moet de betrokkene worden geïnformeerd over aard inbreuk, en de gevolgen van de inbreuk op de privacy van de betrokkene.



Datakwaliteit (zorgvuldigheid; data integriteit)Persoonsgegevens worden adequaat, toereikend en ter zake dienend verwerkt en tevens treft de verantwoordelijke de nodige maatregelen om ervoor te zorgen dat de persoonsgegevens die worden verzameld juist en nauwkeurig zijn.


Geen wettelijke verplichtingen in Wbp De verantwoordelijke gaat zorgvuldig om met de verwerkte persoonsgegevens en waarborgt de het behoud en bescherming van de juistheid en de consistentie van data.


Indien een PIA is uitgevoerd, worden de resultaten daaruit in acht genomen bij het ontwikkelen van een privacy by design systeem.

De instelling stelt mechanismen in om er voor te zorgen dat alleen die persoonsgegevens worden verwerkt die voor elk specifiek doeleinde nodig zijn en dat m.n. het verzamelen of bewaren van die gegevens zich – zowel wat betreft hoeveelheid als periode van opslag – beperkt tot dat wat voor die doeleinden strikt noodzakelijk is.

Teneinde overeenstemming met de wet te waarborgen en aan te tonen, dient de verantwoordelijke intern beleid vast te stellen en passende maatregelen te treffen, die in het bijzonder voldoen aan de beginselen inzake privacy by design en by default.

Het ontwerpen van informatiesystemen, die de privacy van betrokkenen maximaal beschermen waardoor privacyregels in systemen zijn in te bouwen, door:

Gegevensminimalisatie Transparantie over gebruik van gegevensAfschermen van de identiteit individuGebruik sticky policies

Data trackingGebruik privacy icons en privacy ontologie



Verantwoordelijkheid (responsibility)In alle handelingen met betrekking tot persoonsgegevens, dienen instellingen de algemene privacy regels als vuistregels te hanteren.


Voor verwerkingen van Persoonsgegevens is de instelling de verantwoordelijke en een leverancier de bewerker in de zin van de wet.

Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Taken en verantwoordelijkheden van alle bij de verwerking betrokkenen medewerkers en externen, zijn helder belegd.

Instellingen achten het van groot belang, en stimuleren in dat kader, dat studenten en mede-werkers op de hoogte zijn van verplichtingen op grond van de Wbp en deze naleven.

De uitvoering van verwerkingen door bewerker wordt geregeld in een overeenkomst of door andere rechtshan-deling die de bewerker t.o.v. de verantwoordelijke bindt.

Indien de instelling persoonsgegevens laat verwerken door een bewerker, draagt hij er zorg voor dat de bew-erker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen mbt de te verrichten verwerkingen.

De verantwoordelijke draagt zorg voor de naleving van de verplichtingen, bedoeld in de artikelen 6 tot en met 12 en 14, tweede en vijfde lid van dit hoofdstuk.

De verantwoordelijke blijft uit hoofde verantwoordelijk voor het gedrag van de bewerker.


Specifiekere minimum eisen aan de bewerkersovereenkomst:1. de persoonsgegevens slechts verwerkt in opdracht van de verantwoordelijke (m.u.v. bepaalde wettelijke

verplichtingen)2. de passende en relevante technische en organisatorische voorwaarden schept waardoor de voor de verwerking

verantwoordelijke zijn verplichting te voldoen ingevolge wettelijke vereisten voor passende technische en organisatorische maatregelen.

3. de verantwoordelijke na de beëindiging van de verwerking alle resultaten teruggeeft, de persoonsgegevens niet anderszins verwerkt en bestaande kopieën verwijdert, tenzij in de wetgeving wordt geëist dat de gegevens worden opgeslagen;

4. de voor de verwerking verantwoordelijke en de toezichthoudende autoriteit alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en inspecties ter plaatse toestaat.




Een verwerking van persoonsgegevens wordt in beginsel gemeld aan de toezichthoudende autoriteit (Cbp of FG).De melding behelst een opgave van: a. de naam en het adres van de verantwoordelijke; b. het doel of de doeleinden van de verwerking; c. een beschrijving van de categorieën van betrokkenen

en van de gegevens of categorieën van gegevens die daarop betrekking hebben;

d. de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt;

e. de voorgenomen doorgiften van gegevens naar landen buiten de Europese Unie;

f. een algemene beschrijving om een voorlopig oordeel te kunnen geven over de gepastheid van de voorgenomen maatregelen om, ter toepassing van beveiliging van de verwerking te waarborgen.

Een verwerking van persoonsgegevens wordt in beginsel gemeld aan de toezichthoudende autoriteit (Cbp of FG).

Voor zover het eenvoudige verwerkingen van persoonsgegevens betreft in het kader van de organisatie of het geven van het onderwijs, de begeleiding van studenten, deelnemers of studenten, dan wel het geven van studieadviezen, het verstrekken of ter beschikking stellen van leermiddelen, of verstrekken van informatie over het voorgaande, het bekendmaken van de activiteiten van de instelling, financiële- en schooladministratie, accountantscontrole, is melding niet vereist.


M.i.v. de AVG zal een algemene documentatie plicht gaan gelden, voor alle verwerkingen van persoonsgegevens.Iedere verantwoordelijke bewaart met regelmaat bijgewerkte documenten die nodig zijn om aan te tonen dat zij voldoen aan de wettelijke vereisten voor verwerking van persoonsgegevens.

Daarnaast bewaart de verantwoordelijke (en bewerker) de documenten inzake de volgende gegevens:1. de naam en de contactgegevens verantwoordelijke of eventueel gezamenlijke verantwoordelijken of verw-

erker, en van de vertegenwoordiger, in voorkomend geval;2. de naam en de contactgegevens FG;3. de naam en contactgegevens van de verantwoordelijken aan wie de persoonsgegevens zijn verstrekt.


De verantwoordelijke (en bewerker) en de FG verlenen op verzoek hun medewerking aan het Cbp bij de uitoefening van diens taken (toegang tot persoonsgegevens en alle informatie, toegang tot gebouwen en terreinen, inclusief installaties).

Dit behelst noodzakelijkerwijs een adequate documentatie.




Een verantwoordelijke of een organisatie kan een eigen FG benoemen, onverminderd de bevoegdheden van het CBP.

De FG wordt aangewezen op grond van: zijn professionele kwaliteiten, zijn deskundigheid op het gebied van privacy

wetgeving en praktijk zijn vermogen de taken te vervullen Naam en contactgegevens van de FG worden aan Cbp en publiek meegedeeld. Betrokkenen hebben het recht met de FG is contact te treden over alle aangelegenheden aangaande de verwerking van persoonsgegevens.Als FG kan slechts worden benoemd een natuurlijke persoon die voor de vervulling van zijn taak over toereikende kennis beschikt en voldoende betrouwbaar kan worden geacht.

De FG kan wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de verantwoordelijke of van de organisatie die hem heeft benoemd.

Hij ondervindt geen nadeel van de uitoefening van zijn taak. De verantwoordelijke stelt de functionaris in de gelegenheidzijn taak naar behoren te vervullen.

FGs zijn gebonden tot geheimhouding wat betreft de identiteit vd betrokkenen en de omstandigheden aan de hand waarvan de betrokkenen geïdentificeerd kunnen worden, tenzij ze door de betrokkene van die verplichting zijn ontheven.

De FG oefent zijn taken eerst uit nadat de verantwoordelijke of de organisatie die hem heeft benoemd, hem heeft aangemeld bij het College. Het College houdt een lijst bij van aangemelde functionarissen.

De FG is verplicht tot geheimhouding van hetgeen hem op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene in bekendmaking toestemt.

Instellingen stellen een Functionaris Gegevensbescherming (of privacy officer) aan.

De FG rapporteert direct aan het College van Bestuur – de verantwoordelijke -.

De verantwoordelijke en de bewerker zorgen ervoor dat alle andere beroepswerkzaamheden van de FG verenigbaar zijn met zijn taken en verplichtingen als FG en niet tot een belangen-conflict leiden.




Met ingang van de AVG is een functionaris voor gegevensverwerking verplicht in de publieke sector.

Aanwijzing van een FG is verplicht voor verantwoordelijke en bewerker waarbij:1. - de verwerking wordt uitgevoerd door een overheidsinstantie of –orgaan; 2. - de verwerking wordt uitgevoerd door een rechtspersoon en betrekking heeft op meer dan 5000 betrokkenen

gedurende een achtereenvolgende periode van 12 maanden; 3. - een verantwoordelijke of bewerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang

en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen; 4. - de kernactiviteiten van de verantwoordelijke of bewerker bestaan uit de verwerking van bijzondere

persoonsgegevens, gegevens over de verblijfplaats of gegevens over kinderen of werknemers in grote bestanden.

De verantwoordelijke en verwerker zorgen ervoor dat de FG naar behoren en tijdig wordt betrokken bijalle aangelegenheden die verband houden met de bescherming van persoonsgegevens

Verantwoordelijke en verwerker zorgen ervoor dat FG: - zijn plichten en taken onafhankelijk vervult - geen instructies ontvangt met betrekking tot de uitoefening van zijn functie.

De FG brengt rechtstreeks verslag uit aan de leiding. De verantwoordelijke of verwerker wijst hiertoe een lid vd dagelijkse leiding aan als verantwoordelijke voor naleving van de bepalingen van deze verordening

Verantwoordelijke en verwerker ondersteunen de FG bij de vervulling van zijn taken en zorgen voor alle middelen, met inbegrip van personeel, kantoren, uitrusting en alle andere benodigde middelen voor de vervulling van de in artikel 37 bedoelde plichten en taken om zijn/haar vakkennis op peil te houden.


"De directie behoort informatiebeveiliging binnen de organisatie actief te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. (ISO 27799; NVZ 2010)"


De functionaris ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens door de verantwoordelijke die hem heeft benoemd of door de verantwoordelijken die zijn aangesloten bij de organisatie die hem heeft benoemd.

De functionaris kan aanbevelingen doen aan de verantwo-ordelijke die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overlegt hij met het College.

De instellingen stellen een functieprofiel van de FG op, dat recht doet aan de hier genoemde taken.

Aangezien de FG toeziet op naleving privacy by design & default en beveiliging van informatie, moet een overleg worden ingesteld tussen de FG, ISO en verantwoordelijke aanschaf en onderhoud informatiesystemen en/of informatiemanager.




Taken van de FG zijn ten minste:1. het bewust maken, informeren en adviseren van de verantwoordelijke en de bewerker over hun verplichtingen

op grond van de wetgeving, met name wat betreft technische en organisatorische maatregelen en procedures, en het documenteren van deze activiteit en de ontvangen antwoorden’

2. het toezien op de uitvoering en toepassing van het beleid, met inbegrip van de toewijzing van verantwoordeli-jkheden, de opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

3. het toezien met name de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren van betrokkenen en hun verzoeken in het kader van de uitoefening van hun rechten;

4. ervoor zorgen dat de juiste documenten worden bewaard;5. het toezien op het documenteren, melden en meedelen van inbreuken in verband met persoonsgegevens;6. het toezien op de uitvoering van de PIA op het verzoek om voorafgaande raadpleging;7. medewerking aan de toezichthoudende autoriteit op diens verzoek of op eigen initiatief van de FG;8. het optreden als contactpunt voor de toezichthouder;9. het controleren op naleving van de wet;10. het informeren van de werknemersvertegenwoordiging over de verwerking van gegevens van werknemers.


"De directie behoort informatiebeveiliging binnen de organisatie actief te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen.(ISO 27799; NVZ 2010)"


Iedere persoon die schade –waaronder immateriële schade- heeft geleden als gevolg van een onrechtmatige verwerking of een handeling die met de wet strijdig is, heeft het recht om van de voor de verwerking verantwo-ordelijke of de verwerker vergoeding te eisen.

De verantwoordelijke of de bewerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend


Het Cbp is bevoegd tot toepassing van bestuursdwang ter handhaving van de bij of krachtens deze wet gestelde verplichtingen zoals administratieve verplichtingen, maar ook algemene verplichtingen (schending beginselen, schending rechten betrokkenen, niet melden, doorgifte verboden landen, profilering, etc.)

De hoogte van de bestuurlijke boete sluit aan op de bedra-gen die in het Strafrecht worden gebruikt en varieert van maximaal €20.250 in de laagste categorie en maximaal €810.000 in de hoogste categorie.

Het CBP zal niet onmiddellijk een boete opleggen na het vaststellen van een overtreding, maar eerst een bindende aanwijzing geven die de overtreder de mogelijkheid geeft om een overtreding te herstellen. De boete volgt pas in-dien aanwijzing niet binnen een bepaalde termijn wordt

Sanctionering wordt met de wetswijziging uitgebreider en zwaarder. Een goede risico analyse, m.b.t. risico gebieden, is dus voor elke instelling van belang.

Vooral voor onderzoekers is het noodzaak deze bepalingen goed in acht te nemen. Sancties vormen risico van materieel belang. Aandachtspunt i.v.m. financiële continuïteit.

Relevant voor accountant bij controle jaarrekening en afgifte van samenstellingsverklaring.

Zie voor meer informatie het document Stappen-plan meldplicht datalekken ??



opgevolgd. In het geval er sprake is van opzettelijk hande-len of een ernstige verwijtbare nalatigheid kan het CBP een bindende aanwijzing achterwege laten en direct een boete opleggen.


Zodra de AVG van kracht wordt zullen de hoogtes van de boetes nog verder oplopen.De toezichthoudende autoriteit legt een ieder die de verplichtingen krachtens de AVG niet naleeft, ten minste een van de volgende sancties op:1. een schriftelijke waarschuwing in het geval van een eerste en niet-opzettelijke niet-naleving (bindende

aanwijzing);2. regelmatige, periodieke gegevensbeschermingsaudits;3. een boete tot 100 000 000 euro of tot 5% van de jaarlijkse wereldwijde omzet in het geval van een ondernem-

ing (welk bedrag hoger is)


De verantwoordelijke of de bewerker die namens de ver-antwoordelijke optreedt, voert uiterlijk twee jaar na uitvoering van een PIA een nalevingscontrole gegevens-bescherming uit.

Uit deze nalevingscontrole gegevensbescherming moet blijken dat de verwerkte gegevens zijn verwerkt overeenkomstig de PIA.

Ingeval de nalevingscontrole inconsistenties in de naleving laat zien, worden er in de nalevingscontrole tevens aanbevelingen opgenomen om tot volledige naleving te kunnen komen.

Indien de voor de verwerking verantwoordelijke of de verwerker een FG heeft aangewezen, wordt deze betrokken bij de uitvoering van de nalevingscontrole.

De nalevingscontrole wordt periodiek, tenminste eens per twee jaar, uitgevoerd of anderszins onmid-dellijk nadat de specifieke risico’s in verband met de verwerkingen zijn gewijzigd.

Nalevingscontrole wordt gedocumenteerd, en indien gevraagd overhandigd aan de toezichthoudende instantie.



Bijlage 2: Definities

1. Persoonsgegeven

Alle informatie die een natuurlijk persoon kan identificeren, zowel direct (naam, BSN nummer, etc.) als indirect (adres gegevens, financiële status, ip-adres, etc.)

2. Verantwoordelijke

Een natuurlijke of rechtspersoon, of ieder ander die alleen of samen met anderen, het doel van en de middelen voor verwerking van persoonsgegevens bepaalt.

3. Bewerker

De natuurlijke of rechtspersoon die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder hiërarchische verhouding tussen de verantwoordelijke en de bewerker.

4. Verwerking

Elke handeling die wordt uitgevoerd (al dan niet automatisch) met betrekking tot (een) persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, structureren, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

5. Betrokkene

Degene op wie een persoonsgegeven betrekking heeft, of wel de geïdentificeerde of identificeerbare natuurlijke persoon.

Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd. Dit kan bijvoorbeeld aan de hand van een naam, een identificatienummer, gegevens over de verblijfplaats, een unieke identificatiecode of van specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele, sociale of genderidentiteit van die persoon.

6. Toestemming van de betrokkene

Een wilsuiting van de betrokkene, waarmee deze aanvaardt dat zijn/haar persoonsgegevens worden verwerkt. Deze wilsuiting dient in ieder geval voldoende specifiek te zijn, en op informatie te berusten (van de verantwoordelijke of bewerker).

Toestemming kan worden gegeven door een verklaring (een opt-out verklaring is onvoldoende) of actieve handeling van de betrokkene en mag zowel mondeling als schriftelijk geschieden.

7.

Uitdrukkelijke toestemming van de betrokkene



Uitdrukkelijke toestemming impliceert toestemming waarmee een betrokkene expliciet zijn wil heeft geuit in woord, schrift of gedrag.

8. Derde

Iedere natuurlijke of rechtspersoon die niet de betrokkene, de verantwoordelijke, de bewerker of enig ander persoon onder gezag van de verantwoordelijke/bewerker is, maar wel de persoonsgegevens verwerkt.

9. Bijzondere persoonsgegevens

Persoonsgegevens die betrekking hebben op iemands godsdienst of levensovertuiging, ras of etniciteit, politieke opvattingen, gezondheid, DNA of biometrische gegevens, seksuele gerichtheid of genderidentiteit, lidmaatschap van een vakvereniging dan wel betrekking hebben op strafrechtelijke persoonsgegevens, rechterlijke uitspraken of administratieve sancties.

10. Pseudonieme persoonsgegevens

Gegevens die alleen indirect te herleiden zijn tot een betrokkene.

11. Anonieme persoonsgegevens

Gegevens die met behulp van technische beschermingsmaatregelen zodanig ontkoppeld zijn van persoonsgegevens, dat deze gegevens niet meer herleidbaar zijn tot specifieke identificeerbare natuurlijke personen.

12. Profilering

Iedere automatische wijze waarop persoonsgegevens van een persoon worden verwerkt met de bedoeling om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen.

13. Datalek

Een inbreuk in verband met persoonsgegevens, ook wel een inbreuk op de beveiliging van persoonsgegevens, die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige gebruik van gegevens.



Bijlage 3: Framework informatiebeveiliging en privacy in het mbo


· Web viewHoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden...

Documents

Transcript of · Web viewHoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden...