Skip to main content
Menu
Startpagina
Diensten
ICT vraagstukken
Uitbesteding en/of naar de cloud
Selectie en Implementatie
ICT opbrengsten
Beveiliging ICT
Continuïteit ICT
Klantgroepen
Ondernemers en bedrijven
Accountants
Risico Management
Cyber Risico management
Informatie Management
Proces management
Project Management
Assessments & Audits
AVG Privacy Impact Analyse
AVG Privacy Control Assessment
DigiD Beveiliging Assessment
ITGC Audit Essentials
ITGC Server security assessment
Over ons
IT Risk Control
Kennis en Samenwerking
Klanten
Brochures
Contact
Press enter to begin your search
Close Search
1
Bedrijfsinformatie
2
Beheer
3
Kennisgeving
4
Keuze en toestemming
5
Verzamelen
6
Gebruik, bewaren en verwijderen
7
Datatoegang en datakwaliteit
8
Openbaar maken
9
Data beveiliging
10
Monitoring en Handhaving
Assessment code
Indien u niet over een assessment code beschikt, kunt u die hier
(klik hier)
bestellen.
Naam
*
Voornaam
Achternaam
Bedrijfsnaam
*
Adres
*
Straat + huisnummer
Stad
Postcode
Afghanistan
Aland-eilanden
Albanië
Algerije
Amerikaans Samoa
Amerikaanse Maagdeneilanden
Andorra
Angola
Anguilla
Antarctica
Antigua en Barbuda
Arabische Republiek Syrië
Argentinië
Armenië
Aruba
Australië
Azerbeidzjan
Bahama's
Bahrein
Bangladesh
Barbados
België
Belize
Benin
Bermuda
Bhutan
Bolivia
Bonaire, Sint Eustatius en Saba
Bosnië en Herzegovina
Botswana
Bouvet eiland
Brazilië
Brits-Indisch oceaan gebied
Britse Maagdeneilanden
Brunei Darussalam
Bulgarije
Burkina Faso
Burundi
Cambodja
Canada
Centraal-Afrikaanse Republiek
Chili
China
Cocoseilanden
Colombia
Comoren
Congo
Congo, Democratische Republiek
Cook eilanden
Costa Rica
Cuba
Curaçao
Cyprus
Denemarken
Djibouti
Dominica
Dominicaanse Republiek
Duitsland
Ecuador
Egypte
El Salvador
Equatoriaal-Guinea
Eritrea
Estland
Eswatini
Ethiopië
Faeröer
Falkland eilanden
Fiji
Filipijnen
Finland
Frankrijk
Frans Guyana
Frans-Polynesië
Franse zuidelijke gebieden
Gabon
Gambia
Georgië
Ghana
Gibraltar
Grenada
Griekenland
Groenland
Guadeloupe
Guam
Guatemala
Guernsey
Guinee
Guinee-Bissau
Guyana
Haïti
Heard Eiland en McDonald Eilanden
Honduras
Hong Kong
Hongarije
IJsland
Ierland
India
Indonesië
Irak
Iran
Israël
Italië
Ivoorkust
Jamaica
Japan
Jersey
Jordanië
Kaaimaneilanden
Kaapverdië
Kameroen
Kazachstan
Kenia
Kersteiland
Kirgizië
Kiribati
Kleine eilanden van de Verenigde Staten
Koeweit
Korea, Democratische Volksrepubliek
Korea, Republiek van
Kroatië
Lao Democratische Volksrepubliek
Lesotho
Letland
Libanon
Liberia
Libië
Liechtenstein
Litouwen
Luxemburg
Macau
Madagaskar
Malawi
Maldiven
Maleisië
Mali
Malta
Man
Marokko
Marshalleilanden
Martinique
Mauritanië
Mauritius
Mayotte
Mexico
Micronesia
Moldavië
Monaco
Mongolië
Montenegro
Montserrat
Mozambique
Myanmar
Namibië
Nauru
Nederland
Nepal
Nicaragua
Nieuw-Caledonië
Nieuw-Zeeland
Niger
Nigeria
Niue
Noord-Macedonië
Noordelijke Marianen
Noorwegen
Norfolk eiland
Oeganda
Oekraïne
Oezbekistan
Oman
Oostenrijk
Pakistan
Palau
Palestina, Staat
Panama
Papoea-Nieuw-Guinea
Paraguay
Peru
Pitcairn
Polen
Portugal
Puerto Rico
Qatar
Roemenië
Russische Federatie
Rwanda
Réunion
Saint Barthélemy
Saint Kitts en Nevis
Saint Lucia
Saint Pierre en Miquelon
Saint Vincent en de Grenadines
Salomonseilanden
Samoa
San Marino
Sao Tomé en Principe
Saoedi-Arabië
Senegal
Servië
Seychellen
Sierra Leone
Singapore
Sint Maarten
Sint Maarten
Sint-Helena, Hemelvaart en Tristan da Cunha
Slovenië
Slowakije
Soedan
Somalië
Spanje
Spitsbergen en Jan Mayen
Sri Lanka
Suriname
Tadzjikistan
Taiwan
Tanzania, de Verenigde Republiek van
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad en Tobago
Tsjaad
Tsjechië
Tunesië
Turkije
Turkmenistan
Turks- en Caicoseilanden
Tuvalu
Uruguay
Vanuatu
Vaticaanstad
Venezuela
Verenigd Koninkrijk
Verenigde Arabische Emiraten
Verenigde Staten
Vietnam
Wallis en Futuna
Westelijke Sahara
Wit-Rusland
Yemen
Zambia
Zimbabwe
Zuid Soedan
Zuid-Afrika
Zuid-Georgië en de Zuidelijke Sandwich eilanden
Zweden
Zwitserland
Land
Functie
*
E-mailadres
*
E-mailadres invoeren
E-mailadres bevestigen
Object van onderzoek
*
Onderwerpen in het hoofdstuk Beheer
Privacybeleid
Definitie van rollen en verantwoordelijkheden
Identificatie en classificatie van persoonlijke gegevens
Risk Management
Gegevensbeschermingseffectrapportages
Privacy Incident en Breach Management
Personeelsbevoegdheden
Bewustwording en training van personeel
Juridische beoordeling van wijzigingen in wettelijke en / of zakelijke vereisten
Het hoofdstuk beheer omvat een aantal verschillende onderwerpen. Hierboven kunt u aangeven over welke onderwerpen u vragen wenst te beantwoorden.
Privacybeleid
De entiteit heeft een beleid vastgesteld en gecommuniceerd waarin de doelstellingen en verantwoordelijkheden met betrekking tot privacy zijn bepaald en dat in overeenstemming is met de aanvaarde privacybeginselen en toepasselijke wet- en regelgeving.
PPO01: Er is een gedocumenteerd privacybeleid, dat is gecommuniceerd met intern personeel en externe belanghebbenden, dat is vastgesteld en dat jaarlijks door het management wordt beoordeeld en goedgekeurd.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PPO02: Het management erkent nadrukkelijk haar verantwoordelijkheid en committeert zich aan deugdelijke en wettige privacyprincipes.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PPO03: Het privacybeleid vermeldt de doelstellingen van de entiteit met betrekking tot privacy en bescherming van persoonsgegevens.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PPO04: Voor elke verwerking van persoonsgegevens zorgt de entiteit dat deze in lijn is met de aanvaarde en wettelijke privacyprincipes en documenteert de wijze waarop de naleving van deze principes wordt gerealiseerd.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PPO05: Voor elk geval van verwerking heeft de entiteit criteria opgesteld en gedocumenteerd op basis waarvan de wettige verwerking van persoonsgegevens wordt gegarandeerd en aangetoond.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Privacybeleid
Definitie van rollen en verantwoordelijkheden
De entiteit heeft eenduidige rollen en verantwoordelijkheden vastgesteld en geïmplementeerd met betrekking tot het waarborgen van persoonsgegevens en het bereiken van de privacydoelstellingen.
RRE01: Voor elk geval van verwerking van persoonsgegevens heeft de entiteit vastgesteld en gedocumenteerd of de entiteit fungeert als verantwoordelijke óf verwerker.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
RRE02: In geval de entiteit als een verwerker opereert zijn er overeenkomsten met de verantwoordelijke waarin de privacy verantwoordelijkheden van de verwerker zijn geregeld.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
RRE03: In geval de entiteit als verantwoordelijke fungeert, zijn er overeenkomsten met verwerkers welke de privacyverantwoordelijkheden van de verwerker bepalen. Als de entiteit als een gezamenlijke verantwoordelijke fungeert, is een overeenkomst met de andere verantwoordelijken aanwezig.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
RRE04: De entiteit wijst de coördinatie, toezicht en monitoring van privacy toe aan een specifiek persoon zoals een privacy officer of een functionaris voor gegevensbescherming (DPO). De verantwoordelijkheid, het gezag en de verantwoordelijkheid van de persoon zijn duidelijk gedocumenteerd en worden regelmatig beoordeeld.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
RRE05: De rollen en verantwoordelijkheden van individuele medewerkers bij het beschermen van persoonsgegevens en de naleving van privacyprincipes zijn vastgesteld en gecommuniceerd.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Definitie van rollen en verantwoordelijkheden
Identificatie en classificatie van persoonsgegevens
De entiteit begrijpt en documenteert welke persoonsgegevens worden opgeslagen, verwerkt en identificeert en behandelt persoonsgegevens op de juiste manier. Maatregelen om persoonsgegevens te beschermen houden rekening met de verschillen in gevoeligheid in de persoonsgegevens en leidt tot identificatie van risico's en naleving van wet- en regelgeving.
PDI01: De entiteit implementeert een beheerst en gedocumenteerd proces om de verwerking van persoonsgegevens te identificeren, te documenteren en de gegevens als zodanig te classificeren. Dit omvat mede processen, systemen en derde partijen welke persoonsgegevens verwerken.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PDI02: De entiteit onderscheidt en documenteert duidelijk verwerkingsgevallen van: persoonsgegevens en bijzondere categorieën van persoonsgegevens.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PDI03: De entiteit past een procedure toe om te beoordelen of bestaande of geplande verwerking van persoonsgegevens bijzondere categorieën van persoonsgegevens omvat. Als dit het geval is, wordt expliciet de rechtmatigheid van de (geplande) verwerking nagegaan en gedocumenteerd en worden passende maatregelen getroffen om een veilige en compliant verwerking te garanderen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PDI04: De entiteit onderhoudt en beheert een systematisch overzicht van activiteiten aangaande de verwerking van persoonsgegevens, met inbegrip van de kenmerken van deze activiteiten (legitieme basis, doel, gegevenscategorieën en betrokkenen, ontvangers).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Identificatie en classificatie van persoonsgegevens
Risk Management
De entiteit identificeert, evalueert en mitigeert systematisch en periodiek de factoren die het behalen van privacydoelstellingen in gevaar brengen.
RMA01: Er is een proces voor het periodiek identificeren van gebeurtenissen welke de privacydoelstellingen in gevaar brengen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
RMA02: Er is een proces om de impact en de waarschijnlijkheid van dergelijke gebeurtenissen periodiek te beoordelen en vervolgens adequate risicoreacties en beheersmaatregelen te formuleren.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
RMA03: Als nieuwe of gewijzigde privacy risico‘s worden vastgesteld, worden de risicobeoordeling van het privacyrisico en de risicoreactiestrategieën geëvalueerd en waar nodig bijgewerkt.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
RMA04: Criteria voor acceptatie van privacy risico's worden goedgekeurd, gedocumenteerd en toegepast.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
RMA05: De entiteit plant en implementeert de interne beheersingsmaatregelen welke nodig zijn om het privacyrisico te mitigeren. De voortgang van de implementatie wordt gemonitord en gemeten.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Risk Management
Gegevensbeschermingseffectrapportages
De privacy-gerelateerde impact van nieuwe producten en diensten en het gebruik ervan binnen de entiteit wordt systematisch geïdentificeerd, beoordeeld en opgepakt.
PIA01: De entiteit implementeert een beheerst en gedocumenteerd proces voor het beoordelen van de impact op de privacy bij nieuwe of aanzienlijk gewijzigde processen, producten en diensten.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIA02: In de beoordeling wordt rekening gehouden met de risico‘s voor de privacy van de betrokkene als gevolg van de beoogde wijzigingen en de maatregelen om deze risico's te beperken.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIA03: In de beoordeling wordt rekening gehouden met de doeleinden van de verwerking in relatie tot de noodzaak en proportionaliteit van de verwerking van de persoonsgegevens.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIA04: Het proces zorgt ervoor dat alle relevante belanghebbenden bij de beoordeling worden betrokken en dat specifieke richtlijnen van de toezichthoudende autoriteit betreffende beoordelingscriteria worden nageleefd.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIA05: De entiteit documenteert alle systemen en software welke persoonsgegevens verwerken en houdt een overzicht bij van wijzigingen welke daarop zijn toegepast.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIA06: Het wijzigingsbeheerproces van de entiteit zorgt ervoor dat goedgekeurde privacy maatregelen (vanuit de beoordeling) zijn geïmplementeerd vóórdat de wijziging wordt doorgevoerd.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Gegevensbeschermingseffectrapportages
Privacy Incident en Breach Management
De entiteit detecteert en behandelt privacygerelateerde incidenten adequaat; privacygerelateerde incidenten worden op gepaste wijze beantwoord om de gevolgen te beperken en maatregelen te nemen om toekomstige inbreuken te voorkomen.
PIB01: Een formeel, allesomvattend privacy-incident en inbreukbeheer proces is geïmplementeerd en omvat: a. De verantwoordelijkheid van medewerkers om de verantwoordelijke privacy officer te informeren in geval van een privacy incident of een mogelijke schending van gegevens. b. De privacy officer (of, indien van toepassing, security officer) beoordeelt of het incident privacy gerelateerd is. In het geval van inbreuk op persoonsgegevens , documenteert de privacy officer de aard van de overtreding, de gevolgen en het geschatte aantal gegevensrecords en de gegevens onderwerpen welke het betreft. c. De privacy officer initieert en coördineert de vereiste acties, bepaalt de vereiste betrokkenheid van individuen en belanghebbenden welke moeten worden geïnformeerd (zoals de verantwoordelijke in het geval dat de entiteit een verwerker is). d. De privacy officer houdt toezicht op de voortgang van de herstelacties en rapporteert aan het management (en indien van toepassing, informeert de verantwoordelijke).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIB02: De privacy officer heeft de algehele verantwoordelijkheid voor het (management)proces inzake schendingen. Incidenten en inbreuken welke geen persoonsgegevens inhouden, zijn de verantwoordelijkheid van de security officer.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIB03: Het proces bevat een duidelijk escalatiepad, gebaseerd op het type of ernst, of beide, van het incident, met inbegrip van het inwinnen van juridisch advies en het betrekken van C-level management. Het proces houdt rekening met de criteria voor het opnemen van contact met de wet handhavings-, regelgevende - of andere autoriteiten.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIB04: De entiteit heeft een meldingsbeleid voor schending van de privacywetgeving dat waarborgt dat de toezichthoudende autoriteit tijdig op de hoogte wordt gebracht van een datalek als de inbreuk waarschijnlijk resulteert in een risico voor de rechten en vrijheden van natuurlijke personen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIB05: Het proces waarborgt dat alle vereiste informatie over de inbreuk wordt verzameld en aan de toezichthoudende autoriteit wordt verstrekt, inclusief mitigerende maatregelen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIB06: De privacy officer heeft de algehele verantwoordelijkheid voor het proces van kennisgeving van inbreuken. De privacyfunctionaris documenteert alle overwegingen welke worden gemaakt bij het bepalen of de meldingsplicht van toepassing is.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIB07: Het proces voor het beheer van inbreuken omvat mede en schetst dat lesssons learned van inbreuken leiden tot remedies en verbeteringen en dienen als input voor bewustmakings- programma's voor privacy bewustzijnsprogramma's voor het personeel.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIB08: Het proces voor privacy incidenten en inbreuken omvat mede het volgende: a. na een groot privacy incident of datalek wordt een formele evaluatie van het incident uitgevoerd, waar nodig met externe expertise b. periodiek wordt een beoordeling van actuele incidenten uitgevoerd en worden noodzakelijke verbeteringen geïdentificeerd op basis van het volgende, o: de oorzaakanalyse van incidenten o: incidentpatronen o: veranderingen in de interne beheersing- omgeving en wet-/regelgeving o: resultaten van de periodieke beoordeling en voortgang van verbeteringen worden gerapporteerd aan en beoordeeld door het management.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PIB09: Het proces voor het beheer van inbreuken wordt minstens elk jaar herzien en direct na de implementatie van een belangrijk systeem of procedurele wijzigingen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Privacy Incident en Breach Management
Personeelsbevoegdheden
Medewerkers in functies met toegang tot of controle over persoonsgegevens en persoonsgegevensprocessen hebben de noodzakelijke privacycompetenties om hun taken adequaat te kunnen uitvoeren.
SCO01: De entiteit heeft de vereiste competenties voor medewerkers welke betrokken zijn bij het omgaan met persoonsgegevens gedocumenteerd en geformaliseerd. Tevens is vastgesteld hoe deze competenties kunnen worden bereikt (bijvoorbeeld door trainingsprogramma's).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
SCO02: De entiteit documenteert de mate waarin individuele personeelsleden over deze competenties bezitten. Er is een proces om hiaten in de competenties te overbruggen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
SCO03: De entiteit betrekt privacy competenties bij het aannemen van personeel/inhuur en betrekt de naleving van privacy door betrokkenen bij individuele beoordelingen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
SCO04: Management beoordeelt jaarlijks de toewijzing van personeel, budgetten en andere middelen voor haar privacy programma.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Personeelsbevoegdheden
Bewustwording en training van personeel
Het personeel is voldoende op de hoogte van privacywetten, voorschriften, organisatorische privacybeleidslijnen, -richtlijnen en hun individuele verantwoordelijkheden met betrekking tot privacy. De entiteit biedt programma's om het bewustzijn.
SAT01: Om het privacybeleid van de entiteit en de implicaties ervan te begrijpen worden: - Voor alle werknemers minstens een keer per jaar een cursus over privacy- en veiligheidsbewustzijn georganiseerd - Nieuwe werknemers, aannemers en anderen verplicht om binnen een maand na aanvang een vergelijkbare opleiding te voltooien.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
SAT02: Op basis van de noodzakelijke privacy competenties van het personeel (zie Personeelsbevoegdheden) wordt een diepgaande (interne of externe) privacy training aangeboden. De training omvat privacy en relevant beveiligingsbeleid en -procedures, overwegingen inzake weten regelgeving, incidentrespons en gerelateerde onderwerpen. Een dergelijke training is: - jaarlijks verplicht voor alle werknemers met toegang tot persoonsgegevens of verantwoordelijk voor de bescherming van persoonsgegevens. Voor alle werknemers minstens een keer per jaar een cursus over privacy- en veiligheidsbewustzijn georganiseerd - afgestemd op de verantwoordelijkheden van de werknemer en de vereiste competenties.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
SAT03: Trainingen- en bewustwordingscursussen worden beoordeeld en geactualiseerd aan vereisten vanuit wetgeving, regelgeving-, industrie en het beleid en de procedures van de entiteit.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Bewustwording en training van personeel
Juridische beoordeling van wijzigingen in wettelijke en / of zakelijke vereisten
Privacyrisico's die verband houden met veranderingen in de entiteit (structuur en strategie) en wettelijke vereisten worden adquaat in overweging genomen.
LRC01: De entiteit implementeert een proces om de impact op privacy vereisten te bewaken, te beoordelen en aanpassingen door te voeren bij veranderingen door: a. wet- en regelgeving b. branchevereisten, best practices en richtlijnen c. contracten, inclusief service-level-agreements met derden (wijzigingen in de privacy- en beveiligingsgerelateerde clausules in contracten worden adequaat beoordeeld en goedgekeurd voordat ze deze worden doorgevoerd) d. bedrijfsactiviteiten en processen e. in personen welke verantwoordelijk zijn voor privacy- en beveiligingsaangelegenheden f. technologie (voorafgaand aan de implementatie).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Juridische beoordeling van wijzigingen in wettelijke en / of zakelijke vereisten
Kennisgeving
Privacyverklaring
De entiteit informeert de betrokkenen op transparante wijze over het beleid, de vereisten en de handelswijze van de entiteit met betrekking tot het verzamelen, gebruiken, bewaren, openbaar maken en verwijderen van persoonsgegevens.
DPST01: De privacyverklaring van de entiteit: a. beschrijft de verkregen persoonsgegevens, de bronnen daarvan, de doeleinden waarvoor zij worden verzameld en de toepasselijke rechtmatigheidscriteria b. beschrijft de eventuele gevolgen voor de betrokkene als de gevraagde gegevens niet worden verstrekt c. beschrijft (indien van toepassing) de verdere verwerking).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PST02: De privacyverklaring is: a. gemakkelijk beschikbaar en toegankelijk voor betrokkenen op het moment dat persoonsgegevens voor het eerst worden verzameld bij de betrokkene b. tijdig aangeboden (dat wil zeggen, op of voor het tijdstip) dat de persoonsgegevens worden verzameld, of zo snel als praktisch daarna mogelijk, om betrokkenen te kunnen laten beslissen al dan niet persoonlijke gegevens beschikbaar te stellen aan de entiteit c. duidelijk gedateerd, zodat betrokkenen kunnen bepalen of de privacy verklaring is veranderd sinds de laatste keer dat zij deze hebben gelezen of sinds de vorige keer dat zij persoonsgegevens aan de entiteit beschikbaar hebben gesteld.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Privacyverklaring
Keuze en toestemming
Toestemmingskader
De entiteit verkrijgt de toestemming van de betrokkene voor het verwerken van persoonsgegevens wanneer dit nodig of noodzakelijk is.
CFR01: De privacyverklaring van de entiteit beschrijft duidelijk en kernachtig het volgende: a. de keuzes voor de persoon met betrekking tot de verzameling, het gebruik en het openbaren van persoonsgegevens b. het proces dat een persoon moet volgen om deze keuzes uit te oefenen (door bijvoorbeeld een opt-outvakje aan te vinken om de ontvangst te weigeren van marketingmateriaal) c. de mogelijkheid en het proces voor de persoon om de contactvoorkeuren te veranderen d. de gevolgen van het niet verstrekken van de vereiste persoonsgegevens voor een transactie of dienst e. de gevolgen van weigering om persoonsgegevens te verstrekken (bijvoorbeeld transacties kunnen niet worden verwerkt) f. de gevolgen van het weigeren of intrekken van toestemming (bijvoorbeeld uitschrijven voor het ontvangen van informatie over producten en diensten kunnen leiden tot het niet geïnformeerd zijn over verkooppromoties).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
CFR02: Als de verwerking is gebaseerd op toestemming van de persoon, moet de entiteit: a. tijdig de instemming van een persoon verkrijgen en documenteren (dat wil zeggen, op of vóór het tijdstip waarop persoonsgegevens worden verzameld of snel daarna) b. de voorkeuren van de persoon bevestigen (schriftelijk of elektronisch) c. de veranderingen in de voorkeuren van een persoon managen en documenteren d. ervoor zorgen dat de voorkeuren van een persoon tijdig worden doorgevoerd e. informatie bijhouden om de verkregen toestemming te kunnen aantonen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
CFR03: De entiteit verzamelt of verwerkt geen speciale categorieën van persoonsgegevens, tenzij deze een wettelijke basis heeft om dat te doen. Als de uitdrukkelijke toestemming van de betrokkene de wettige basis vormt voor verwerking van speciale categorieën van persoonsgegevens heeft de betrokkene daarmee uitdrukkelijk toegestemd door middel van enige actie voor het gebruik of openbaren van de speciale categorieën van persoonsgegevens. De entiteit verkrijgt de uitdrukkelijke toestemming rechtstreeks van de betrokkene en bewaart / bewaart bewijs van de gegeven toestemming, bijvoorbeeld door van de persoon te eisen dat hij een vakje aanvinkt of een formulier ondertekend.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
CFR04: In geval de persoonsgegevens worden verwerkt op basis van toestemming van betrokkene zal de entiteit de betrokkene op elk gewenst moment faciliteren bij het uitoefenen van zijn recht om de toestemming in te trekken.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Toestemmingskader
Verzamelen
Data Minimalisatie
Persoonsgegevens zijn adequaat, relevant en beperkt tot wat nodig is in relatie met de legitieme doeleinden waarvoor de gegevens worden verwerkt.
DMI01: Er zijn een processen en procedures ingesteld om: a. vast te stellen in hoeverre persoonsgegevens essentieel zijn voor de doeleinden van de verwerking door de entiteit en deze te onderscheiden van optionele persoonsgegevens b. de verwerking van persoonsgegevens tot het minimum te beperken dat vereist is voor de verwerkingsdoeleinden c. periodiek de blijvende noodzaak van persoonsgegevens in de producten en/of diensten van de entiteit te beoordelen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DMI02: In het privacybeleid is dateminimalisatie aangemerkt als een privacyprincipe voor de entiteit (zie Privacybeleid).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Data Minimalisatie
Gebruik, bewaren en verwijderen
Onderwerpen in het hoofdstuk Gebruik, bewaren en verwijderen
Gebruiksbeperking
Privacyarchitectuur
Dataretentie
Verwijdering, vernietiging en anonimisering
Gebruik en beperking
Het hoofdstuk Gebruik, bewaren en verwijderen omvat een aantal verschillende onderwerpen. Hierboven kunt u aangeven over welke onderwerpen u vragen wenst te beantwoorden.
Gebruiksbeperking
Persoonsgegevens worden niet vrijgegeven, beschikbaar gesteld of anderszins gebruikt voor andere doeleinden dan opgenomen in de privacyverklaring van de entiteit, behalve: a) met instemming van de betrokkene; of
b) door de autoriteit van de wet.
ULI01: Een proces en procedures zijn ingesteld om: a. het openbaren en gebruik van persoonsgegevens te beperken tot de legitieme doeleinden zoals vastgelegd in het privacy beleid van de entiteit en de privacy verklaring b. continu te verzekeren dat het openbaren en het gebruik van persoonsgegevens in overeenkomst is met de toestemming van de betrokkene en toepasselijke wetgeving en voorschriften.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
ULI02: In het privacy beleid is het beperken van gegevensgebruik aangemerkt als een privacy principe voor de entiteit (zie Privacybeleid).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Gebruiksbeperking
Privacyarchitectuur (Privacy by Design en Privacy by Default)
Bij het ontwerpen of wijzigen van producten, services, bedrijfssystemen of processen houdt de entiteit rekening met een solide privacybeleid, principes en / of toepasselijke wet- en regelgeving.
PBD01: Bij het ontwikkelen, ontwerpen, selecteren en gebruiken van toepassingen, services en producten welke persoonsgegevens verwerken, houdt de entiteit zo vroeg mogelijk in de ontwerp fase rekening met de privacy beginselen en privacy risico's. Het risico van conflicten tussen het privacy ontwerp en de rechten en vrijheden van betrokkenen (en het privacy beleid van de entiteit) worden geïdentificeerd en geadresseerd. Als derden bij deze activiteiten zijn betrokken, vereist de entiteit van deze derden om dezelfde activiteiten voor risicobeheersing uit te voeren.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PBD02: Beoordeling van privacy risico's is een inherent en gedocumenteerd onderdeel van de projectmethodologie en/of ontwerp en ontwikkeling werkwijze van de entiteit.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
PBD03: Als systemen, services en producten persoonsgegevens verwerken en privacy-gerelateerde keuzes en opties bieden, dan zijn de standaardinstellingen zo restrictief mogelijk ingesteld, dit met het oogpunt op privacy.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Privacyarchitectuur
Dataretentie
Persoonsgegevens worden niet langer bewaard dan de minimale tijd:
zoals vereist door toepasselijke wet- en regelgeving
die nodig is voor de doeleinden waarvoor de gegevens zijn verzameld.
DRE01: a. documenteert haar bewaarbeleid en verwijderingsprocedures voor persoonsgegevens b. waarborgt dat persoonsgegevens niet worden bewaard buiten de gevestigde retentietijd tenzij daarvoor een gerechtvaardigde zakelijke of wettelijke reden voor bestaat c. voor elke verwerking van persoonsgegevens liggen de retentietijden vast d. openbaart het bewaartermijnbeleid aan betrokkenen in haar privacy verklaring e. bewaart, slaat op, verwijdert gearchiveerde back-upkopieën van gegevens records, conform haar bewaarbeleid.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DRE02: Als het verwijderen, vernietigen of het beperken van gegevens leidt tot uitzonderingen op het normale beleid, worden contractuele vereisten (her) overwogen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Dataretentie
Verwijdering, vernietiging en anonimisering
Persoonsgegevens worden waar nodig geanonimiseerd en / of verwijderd binnen de entiteit.
Identiteiten mogen niet identificeerbaar zijn en persoonsgegevens mogen niet meer beschikbaar zijn na de bewaartermijn.
DDA01: De entiteit heeft een gedocumenteerd proces dat ervoor zorgt dat: a. het wissen of vernietigen van persoonsgegevensrecords in overeenstemming is met het bewaarbeleid, ongeacht de aard van de opslag media (bijvoorbeeld elektronische, optische media of papier) b. de verwijdering van origineel, gearchiveerd, back-up en ad hoc of persoonlijke kopieën van bestanden in overeenstemming is met het vernietigingsbeleid c. adequate documentatie over de verwijdering van persoonsgegevens beschikbaar is - openbaart het bewaartermijnbeleid aan betrokkenen in haar privacy verklaring - bewaart, slaat op, verwijdert gearchiveerde back-upkopieën van gegevens records, conform haar bewaarbeleid. - De entiteit zorgt er verder voor dat: - binnen de grenzen van de technologie, gegevens over een persoon lokaliseert, verwijdert of vermindert , bijvoorbeeld verwijderen creditcardnummers nadat de transactie is voltooid - regelmatig en systematisch persoonsgegevens vernietigt, wist of anonimiseert als deze niet langer nodig zijn om de geïdentificeerde doelen of zoals te vervullen vereist door weten regelgeving.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DDA02: Als de verwijdering vernietiging en reductiepraktijken kunnen leiden tot een uitzondering op het normale beleid van de entiteit worden contractuele vereisten in (her)overweging genomen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Verwijdering, vernietiging en anonimisering
Gebruik en beperking
Persoonsgegevens worden niet gebruikt in geval van beperking door de betrokkene of in geval van specifieke wettelijke beperkingen door de lokale overheid. Bezwaren tegen de verwerking door de betrokkene zullen adequaat worden behandeld.
URE01: De entiteit communiceert met de betrokkene de stappen om gebruik te kunnen maken van het recht op beperking van de verwerking, het recht om bezwaar aan te tekenen tegen de verwerking en de criteria om dit te doen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
URE02: De entiteit heeft een proces om adequaat te reageren op betrokkenen om hun rechten uit te oefenen op de beperking van verwerking of bezwaar aan tekenen tegen het verwerken.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
URE03: De entiteit heeft vastgesteld of de lokale wetgeving van de lidstaat beperkingen oplegt op de verwerking van persoonsgegevens (bijvoorbeeld ter bescherming van nationale of openbare veiligheid) en voldoet aantoonbaar aan deze beperkingen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Gebruik en beperking
Datatoegang en datakwaliteit
Onderwerpen in het hoofdstuk Gegevenstoegang en gegevenskwaliteit
Data toegangsverzoeken
Data correctieverzoeken
Data verwijderingsverzoeken
Data overdrachtverzoeken
Nauwkeurigheid en volledigheid van gegevens
Het hoofdstuk Datatoegang en datakwaliteit omvat een aantal verschillende onderwerpen. Hierboven kunt u aangeven over welke onderwerpen u vragen wenst te beantwoorden.
Data toegangsverzoeken
Een verzoek om toegang van betrokkene wordt adequaat beantwoord en betrokkene wordt in staat gesteld vast te stellen welke persoonsgegevens over hem/haar worden verwerkt en op welke manier.
DAR01: Er zijn procedures om adequaat te reageren op verzoeken om toegang van betrokkene. Indien de betrokkene zijn / haar recht uitoefent, zal de entiteit de betrokkene informeren over de aard van de verwerkte persoonsgegevens en de kenmerken van de verwerking (bijvoorbeeld doel, ontvangers, retentietijden, het bestaan van geautomatiseerde besluitvorming).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DAR02: De entiteit informeert de betrokkene over het bestaan van dit recht en de procedure om van dit recht gebruik te maken in de privacyverklaring.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DAR03: De entiteit heeft een procedure geïmplementeerd om de betrokkene in een gangbare elektronische vorm tijdig een kopie te geven van de verwerkte persoonsgegevens.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DAR04: De entiteit verifieert de identiteit van de betrokken voordat wordt gereageerd op het verzoek.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Data-toegangsverzoeken
Data correctieverzoeken
Verzoeken om correcties van gegevens worden adequaat beantwoord en betrokkenen worden in staat gesteld na te gaan of hun persoonsgegevens juist/up-to-date zijn hun persoonsgegevens te laten corrigeren.
DCR01: Er is voorzien in procedures om adequaat te reageren op verzoeken tot correctie. Als de betrokkene van dit recht gebruik maakt, zal de entiteit de persoonsgegevens van de betrokkene zonder onnodige vertraging corrigeren.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DCR02: De entiteit informeert de betrokkene over het bestaan van dit recht en de procedure om dit uit te oefenen in de privacyverklaring.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DCR03: De entiteit verifieert de identiteit van de betrokkene voordat het verzoek wordt uitgevoerd.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DCR04: De entiteit stelt derden, aan wie persoonsgegevens zijn bekend gemaakt, op de hoogte over noodzakelijke correcties in persoonsgegevens.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Data correctieverzoeken
Data verwijderingsverzoeken
Verzoeken om verwijdering van gegevens worden adequaat beantwoord en betrokkenen kunnen hun persoonsgegevens laten verwijderen als aan relevante criteria wordt voldaan.
DDR01: Er is voorzien in procedures om adequaat te reageren op verzoeken tot verwijderen van gegevens (recht om te worden vergeten). Als de betrokkene zijn/haar recht uitoefent, zal de entiteit de gronden van het verzoek toetsen aan de toepasselijke criteria (bijvoorbeeld verwerking is gebaseerd op toestemming, onwettige verwerking, doel niet langer geldig, wettelijke vereisten voor retentie). Als een geldige reden bestaat, zal de entiteit de persoonsgegevens zonder onnodige vertraging wissen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DDR02: Indien van toepassing, informeert de entiteit andere verantwoordelijken, aan wie de persoonsgegevens zijn doorgegeven, over het verzoek van de betrokkene om persoonsgegevens verwijderden.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DDR03: De entiteit informeert de betrokkene over het bestaan van dit recht en de procedure om dit recht uit te oefenen in de privacyverklaring.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DDR04: De entiteit verifieert eerst de identiteit van de betrokkenen voordat het verzoek wordt uitgevoerd.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Data verwijderingsverzoeken
Data overdrachtverzoeken
Verzoeken om gegevens over te dragen worden adequaat beantwoord en betrokkenen kunnen hun persoonsgegevens aan een andere entiteit laten overdragen indien aan de toepasselijke criteria is voldaan.
DPR01: Er is voorzien in procedures om adequaat te reageren op de verzoeken voor het overdragen van gegevens. Als de betrokkene zijn/haar recht uitoefent, zal de entiteit de redenen van het verzoek toetsen aan de hand van toepasselijke criteria (bijvoorbeeld verwerking is gebaseerd op toestemming, de verwerking gebeurt geautomatiseerd). Als een geldige reden bestaat, draagt de entiteit de persoonlijke gegevens over, zonder onnodige vertraging.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DPR02: Indien technisch mogelijk, zal de entiteit de persoonsgegevens rechtstreeks aan een andere (controlerende) entiteit overdragen, zoals aan gegeven door de betrokkene.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DPR03: De entiteit informeert de betrokkene over het bestaan van dit recht en de procedure om dit recht uit te oefenen in de privacyverklaring.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DPR04: De entiteit verifieert de identiteit van de betrokkene voordat het verzoek wordt uitgevoerd.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Data overdrachtverzoeken
Nauwkeurigheid en volledigheid van gegevens
Gedocumenteerde procedures voor het valideren, het bewerken en het actualiseren van persoonsgegevens waarborgen een accurate en volledige verwerking van en de toegang tot persoonsgegevens wanneer dat nodig is.
ACD01: De entiteit heeft voorzien in procedures om: a. persoonsgegevens te bewerken en valideren bij het verzamelen, aanmaken, onderhouden en bijwerken b. de datums te registreren waarop de persoonsgegevens zijn verkregen of bijgewerkt c. te specificeren wanneer de persoonsgegevens niet meer geldig zijn d. te specificeren wanneer en hoe de persoonsgegevens moeten worden bijgewerkt en de bron van de update (bijvoorbeeld jaarlijkse herbevestiging van informatie en methoden voor individuen om proactief de persoonsgegevens bij te werken) e. aan te geven hoe de juistheid en volledigheid van persoonsgegevens wordt gecontroleerd van gegevens welke rechtstreeks worden ontvangen van een derde partij, of bekend gemaakt aan een derde partij f. ervoor zorgen dat de verwerkte persoonsgegevens voldoende nauwkeurig en compleet zijn om beslissingen te nemen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
ACD02: De entiteit voert periodieke beoordelingen uit op de nauwkeurigheid van persoonsgegevens en waar nodig te corrigeren om te kunnen voldoen aan het gestelde doel.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Nauwkeurigheid en volledigheid van gegevens
Openbaar maken
Onderwerpen in het hoofdstuk Openbaren
Openbaarmaking en registratie door derden
Derdenovereenkomsten
Gegevensoverdracht
Het hoofdstuk Openbaar maken omvat een aantal verschillende onderwerpen. Hierboven kunt u aangeven over welke onderwerpen u vragen wenst te beantwoorden.
Openbaarmaking en registratie door derden
Persoonsgegevens worden niet bekendgemaakt aan derden of verder verwerkt voor doeleinden waarvoor het individu niet heeft toegestemd.
TPD01: De entiteit heeft voorzien in procedures om: a. te voorkomen dat persoonsgegevens aan derden worden bekendgemaakt, tenzij de betrokkene hiervoor toestemming heeft gegeven b. de aard en omvang van de persoonsgegevens welke worden ontsloten aan derden te documenteren c. te controleren of de ontsluiting aan derden steeds compliant is met het privacy beleid en de procedures van de entiteit, of specifiek is toegestaan of vereist door wet- of regelgeving d. het openbaar maken aan/van derde partijen om juridische redenen te documenteren e. individuen te infomeren en hun toestemming te krijgen voorafgaand aan het openbaren van persoonsgegevens aan een derde partij, voor doeleinden welke niet zijn opgenomen in de privacy verklaring f. te bewaken dat persoonsgegevens alleen aan derden worden verstrekt als de doeleinden zijn opgenomen in de privacyverklaring.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Openbaarmaking en registratie door derden
Derdenovereenkomsten
Privacyoverwegingen en -vereisten worden adequaat behandeld bij de aanschaf van (op persoonsgegevens betrekking hebbende) oplossingen of diensten van derden, resulterend in een gepaste verwerking of bescherming van persoonsgegevens.
TPA01: Als de entiteit oplossingen verwerft van derden/leveranciers of processen uit besteedt aan serviceproviders en de verwerking van persoonsgegevens wordt (gedeeltelijk) gecontracteerd, sluit de entiteit formele overeenkomsten waarin met de derde partij wordt overeengekomen dat deze de zorgvuldigheid een niveau van bescherming van persoonsgegevens hanteert dat gelijkwaardig is aan het niveau van de entiteit. Door dit te doen beperkt de entiteit het gebruik door derden van persoonsgegevens tot de doeleinden van de entiteit.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
TPA02: De entiteit zorgt ervoor dat overeenkomsten met derden ook verplichtingen van de derde partij omvatten met betrekking tot: a. vertrouwelijkheid en niet-openbaarmaking b. beveiligingsvereisten c. samenwerking bij het reageren op verzoeken van betrokkenen en de uitvoering daarvan d. informatievoorziening (bijvoorbeeld in het geval van geplande onder aanneming) e. informatieverschaffing en samenwerking in het geval van datalekken f. bewaartermijnen en verwijdering van gegevens g. geen verdere uitbesteding zonder toestemming van de entiteit h. aansprakelijkheden en vrijwaringen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
TPA03: De entiteit evalueert de prestaties en compliance van derden met behulp van een of meer van de volgende benaderingen (in oplopende volgorde van zekerheid en afhankelijk van het risicoprofiel van de derde): a. de derde partij reageert op een vragenlijst over haar praktijken b. de derde partij verklaart zelf dat zijn praktijken voldoen aan de vereisten van de entiteit op basis van interne auditrapporten of andere procedures c. de entiteit voert een periodieke evaluatie ter plaatse van de derde uit d. de entiteit verkrijgt een audit- of assurance beoordeling door een onafhankelijke auditor.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Derdenovereenkomsten
Gegevensoverdracht
Persoonsgegevens worden niet overgedragen naar landen met een ontoereikend wettelijk privacyregime (dat wil zeggen verplaatsing, weergave of afdrukken van gegevens op een andere locatie).
DTR01: De entiteit heeft maatregelen welke voorkomen dat gegevens worden overgedragen aan en verwerkt in derde landen met mogelijk onvoldoende waarborgen voor de privacy rechten van betrokkenen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
DTR02: De entiteit geeft alleen persoonsgegevens door aan derde landen, waarvoor: a. een Toereikendheidsbeslissing van de Europese Commissie is afgegeven, of b. reeks passende voorzorgsmaatregelen (bijvoorbeeld bindende bedrijfsregels of aangenomen standaardbepalingen inzake gegevensbescherming) is geïmplementeerd
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Gegevensoverdracht
Data beveiliging
Onderwerpen in het hoofdstuk Data beveiliging
Informatiebeveiligingsprogramma
Identiteits- en toegangsbeheer
Veilige verzending
Encryptie en end-point security
Logging van toegang
Het hoofdstuk Data beveiliging omvat een aantal verschillende onderwerpen. Hierboven kunt u aangeven over welke onderwerpen u vragen wenst te beantwoorden.
Informatiebeveiligingsprogramma
Persoonsgegevens zijn adequaat beveiligd tegen onopzettelijke fouten, verlies, tegen kwaadwillende handelingen zoals hacking, opzettelijke diefstal, openbaarmaking of verlies.
ISP01: De entiteit heeft passende technische en organisatorische maatregelen getroffen om de beveiliging van persoonsgegevens te waarborgen. Beveiliging omvat vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens. (Zie ook identiteits- en toegangsbeheer, veilige verzending, encryptie en eindpuntbeveiliging en logging van toegang.)
Helemaal
Grotendeels
Deels
Niet
N.v.t.
ISP02: Beveiliging van persoonsgegevens wordt expliciet behandeld in het informatiebeveiligingsbeleid en het beheer van informatiebeveiligingssysteem van de entiteit.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
ISP03: De geschiktheid van beveiligingsmaatregelen met betrekking tot persoonsgegevens is vastgesteld in periodieke risicobeoordelingen waarin alle relevante stakeholders deelnemen en waarin de actuele en de geplande verwerking van persoonsgegevens wordt beoordeeld.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
ISP04: De entiteit heeft een gedocumenteerd beleid inzake versleuteling en pseudonimisering van persoonsgegevens en controleert systematisch de naleving van het beleid (zie ook bij encryptie STR en ENC).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
ISP05: De entiteit test, evalueert en evalueert regelmatig de effectiviteit van technische en organisatorische beveiligingsmaatregelen om te zorgen voor een adequate niveau van beveiliging van persoonsgegevens en om verbeteringen te identificeren en te initiëren.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
ISP06: De entiteit heeft een actieve houding ten opzichte van het inzetten van een gedragscode (van verenigingen of brancheorganisaties) en/of certificeringen) om een passend niveau van beveiliging van persoonsgegevens aan te tonen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
ISP07: Het beveiligingsplan van de entiteit voorkomt toegang tot persoonsgegevens in computers, media en op papier gebaseerde informatie welke niet langer in de computer zit en niet langer actief wordt gebruikt. Bijvoorbeeld computers, media en papieren informatie in opslag, welke zijn verkocht of anderszins verwijderd).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Informatiebeveiligingsprogramma
Identiteits- en toegangsbeheer
Toewijzing van passende toegangsrechten, passende wijzigingen in toegangsrechten en tijdige verwijdering van toegangsrechten verminderen de kans op ongeoorloofde toegang tot of ongepaste behandeling van persoonlijke gegevens, of datalekken door interne medewerkers, derde partijen of hackers.
IAM01: Er is voorzien in systemen en procedures om: a. het niveau en de aard van de toegang voor de gebruikersrechten vast te stellen, rekenend houdende met de gevoeligheid van de persoonsgegevens en de legitieme zakelijke behoefte van de gebruiker voor toegang tot de persoonsgegevens b. gebruikers te authentiseren, bijvoorbeeld op gebruikersnaam en wachtwoord, certificaat, externe token of biometrische gegevens voordat toegang wordt verleend tot systemen welke persoonsgegevens verwerken c. sterkere beveiligingsmaatregelen te vereisen voor externe toegang, zoals extra of dynamische wachtwoorden, terugbelprocedures, digitale certificaten, beveiligde IDkaarten, virtueel particulier netwerk (VPN), of deugdelijk geconfigureerde firewalls d. intrusion detection en monitoring systemen te implementeren.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Identiteits- en toegangsbeheer
Veilige verzending
Beperkte toegang tot persoonsgegevens tijdens de verzending verhindert op gepaste wijze onbevoegde openbaarmaking, schending, wijziging of vernietiging van persoonsgegevens.
STR01: Er is voorzien in systemen en procedures om: a. minimale niveaus van encryptie en controles te definiëren b. industriestandaard coderingstechnologie voor overdracht en ontvangst van persoonsgegevens te gebruiken c. externe netwerkverbindingen te beoordelen en goed te keuren d. persoonsgegevens te beschermen zowel bij papieren als elektronische formulieren per post, koerier of andere fysieke middelen e. persoonsgegevens te versleutelen welke draadloos worden verzameld en verzonden en het beveiligen van draadloze netwerken tegen ongeoorloofde toegang.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Veilige verzending
Encryptie en end-point security
Versleuteling verzekerd de preventie van een inbreuk op persoonsgegevens (onopzettelijk verlies van persoonsgegevens of kwaadwillende handelingen zoals opzettelijke diefstal, openbaarmaking of verlies).
ENC01: Beleid en procedures verbieden de opslag van persoonsgegevens gegevens op draagbare apparaten media of apparaten tenzij een zakelijke behoefte bestaat en dergelijke opslag is goedgekeurd door het management.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
ENC02: Er is voorzien in beleid, systemen en procedures om de toegang tot persoonsgegevens te beschermen welke zijn opgeslagen op apparaten zoals: a. laptops, PDA's, smartphones en soortgelijke apparaten b. computers en andere apparaten welke door werknemers worden gebruikt bijvoorbeeld voor werken onderweg/thuis c. USB-drives, CD's en DVD's, magnetische tape of andere draagbare media. Dergelijke informatie is versleuteld, beveiligd met een wachtwoord, fysiek beschermd en onderwerp van het beleid van de entiteit inzake toegang, retentie en vernietiging van persoonsgegevens.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
ENC03: Er is voorzien in procedures voor het maken, overdragen, opslaan en verwijderen van media welke worden gebruikt voor back-up en herstel van persoonsgegevens.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
ENC04: Er is voorzien in procedures om verlies of potentieel misbruik van media welke persoonsgegevens bevatten te rapporteren (zie ook PIA). Bij beëindiging van een dienstverband - of contracten van derden zijn er procedures om te voorzien in het inleveren of vernietiging van draagbare media en apparaten welke worden gebruikt voor toegang en opslag van persoonsgegevens en van gedrukte en andere kopieën van dergelijke informatie.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Encryptie en eindpuntbeveiliging
Logging van toegang
De entiteit detecteert en onderzoekt toegangs- of toegangspogingen tot persoonsgegevens door personeel, derden of hackers die kunnen leiden tot een inbreuk, sabotage van systemen, invoeging van kwaadwillige code, diefstal van persoonsgegevens, etc.
LOG01: Er is voorzien in systemen en procedures voor: a. het beheer van logische en fysieke toegang tot persoons gegevens, inclusief papieren exemplaren, archief- en reservekopieën b. het loggen en controleren van de toegang (pogingen) tot systemen met persoonsgegevens in een logbestand met een detailniveau en retentietijd welke voldoende is voor de doeleinden van analyse en onderzoek c. te voorkomen dat ongeoorloofd of per ongeluk persoonsgegevens worden vernietigt of verloren gaan d. het onderzoeken van schendingen en pogingen om ongeautoriseerde toegang te krijgen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Logging van toegang
Monitoring en handhaving
Onderwerpen in het hoofdstuk Monitoring en handhaving
Herziening van privacy-compliance
Periodieke monitoring van privacy-controles
Het hoofdstuk Monitoring en handhaving omvat een aantal verschillende onderwerpen. Hierboven kunt u aangeven over welke onderwerpen u vragen wenst te beantwoorden.
Herziening van privacy-compliance
Adequaat toezicht op de interne organisatie en derden zorgen voor naleving van toepasselijke privacywetten en wettelijke vereisten en vermindert het risico van datalekken of verlies van persoonsgegevens.
REV01: Er is voorzien in systemen en procedures om: a. jaarlijks de naleving te toetsen van privacy beleid en -procedures, verplichtingen en toepasselijke wetten, voorschriften, serviceniveau overeenkomsten, door de entiteit aangenomen standaarden/normen en andere contracten b. periodieke beoordelingen vast te leggen, bijvoorbeeld interne auditplannen, auditrapporten, compliance controlelijsten en vaststelling door het management c. resultaten te rapporteren van de compliance review en aanbevelingen voor verbetering van het beheer en een herstelplan uit te voeren d. toezicht te houden op de oplossing van problemen en kwetsbaarheden uit de compliance review om ervoor te zorgen dat tijdig passende corrigerende maatregelen worden genomen (inclusief herziening van het privacy beleid en procedures, indien nodig).
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Herziening van privacy-compliance
Periodieke monitoring van privacy-controles
De entiteit beoordeelt systematisch en periodiek privacyprocessen en -controles om vast te stellen dat deze werken zoals ontworpen, resulterend in voortdurende naleving van toepasselijke wetten, regels en vereisten.
MON01: Om de effectiviteit van de privacy beheersmaatregelen van de entiteit te waarborgen beoordeelt het management: a. beheersingsoutput, controlerapporten en afwijkingen b. trendanalyse c. training aanwezigheid en evaluaties van trainingen d. klachten en oplossingen e. interne beoordelingen f. interne en externe auditrapporten g. onafhankelijke audit / assurance-rapporten over privacy controle’s bij serviceorganisaties h. ander bewijs van de effectiviteit van beheersmaatregelen.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
MON02: De selectie van te bewaken, te controleren en/of te controleren beheersmaatregelen en de frequentie waarmee de monitoring wordt uitgevoerd, is gebaseerd op de gevoeligheid van de betrokken persoonsgegevens en de risico's van mogelijke blootstelling of verlies.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
MON03: De entiteit voorziet in een proces dat zorgt voor monitoring, herstel van tekortkomingen en voortdurende verbetering.
Helemaal
Grotendeels
Deels
Niet
N.v.t.
Toelichting Periodieke monitoring van privacy-controles
Unique ID
Close Menu
Startpagina
Diensten
ICT vraagstukken
Uitbesteding en/of naar de cloud
Selectie en Implementatie
ICT opbrengsten
Beveiliging ICT
Continuïteit ICT
Klantgroepen
Ondernemers en bedrijven
Accountants
Risico Management
Cyber Risico management
Informatie Management
Proces management
Project Management
Assessments & Audits
AVG Privacy Impact Analyse
AVG Privacy Control Assessment
DigiD Beveiliging Assessment
ITGC Audit Essentials
ITGC Server security assessment
Over ons
IT Risk Control
Kennis en Samenwerking
Klanten
Brochures
Contact
