Houd bij de beantwoording rekening met 1. Voor en door wie het project wordt uitgevoerd. 2. Of er iemand formeel verantwoordelijk is voor de verwerking van de gegevens. 3. Of er een intern contactpersoon is.

Deze vragenlijst is bedoeld voor organisaties die persoonsgegevens verwerken in de rol van verantwoordelijke. Deze vragenlijst is niet bedoeld voor organisaties die persoonsgegevens verwerken in de rol van bewerker.

Uiteraard moeten ook in de toekomst de getroffen maatregelen in stand gehouden worden en moet worden gezorgd dat de risico s worden beheerst (bijvoorbeeld door deze PIA periodiek uit te voeren)

SMART staat voor Specifiek; de doelstelling moet eenduidig zijn Meetbaar; onder welke (meetbare/observeerbare) voorwaarden of vorm is het doel bereikt. Acceptabel; of deze acceptabel genoeg is voor de doelgroep en/of management; Is er iemand verantwoordelijk voor het realiseren van het doel? Realistisch; of de doelstelling haalbaar is. Tijdgebonden; wanneer (in de tijd) het doel bereikt moet zijn.

Bijvoorbeeld intelligente transportsystemen, locatie of volgsystemen op basis van GPS, mobiele technologie, gezichtsherkenning in samenhang met cameratoezicht.

Bijvoorbeeld biometrie, RFID, behavioural targeting (profilering).

Zoals cameratoezicht of drugscontrole op de werkvloer.

Bijvoorbeeld het samenvoegen of koppelen van verschillende overheidsregistraties, invoering van nieuwe vormen van identificatie of vervanging van een systeem waarin persoonsgegevens worden opgeslagen.

Het gebruik van gegevens voor andere bedrijfsprocessen dan waarvoor ze zijn verzameld, of bredere verspreiding van de gegevens binnen of buiten de organisatie.

Bijvoorbeeld gegevensverrijking door enqu tes en klantonderzoeken of benadering van klanten of burgers op basis van beschikbare gegevens voor nieuwe producten of diensten.

Bijvoorbeeld het samenvoegen van interne databases om klantprofielen op te stellen.

Houd bij de beantwoording rekening met 1. Sectorale wetgeving. 2. Gedragscodes. 3. Algemene maatregelen van bestuur. 4. Jurisprudentie. 5. Internationale aspecten.

Houd bij de beantwoording rekening met 1. Medewerkers, afnemers, leveranciers, belangengroeperingen, burgers, klanten toezichthouders. 2. Welke beroepsgroepen betrokken zijn bij de verwerking.

Houd bij de beantwoording rekening met 1. Aannemers en dienstverleners. 2. Hardware en software leveranciers. 3. IT Service providers.

Houd bij de beantwoording rekening met 1. Is per data-element vastgesteld wat de toegevoegde waarde is en waarom dit noodzakelijk is? 2. Kan volstaan worden met het gebruik van alleen een ja/nee in plaats van het volledige gegeven? 3. Kan volstaan worden met het verschil tussen 2 waarden in plaats van beide waarden afzonderlijk? 4. Kan gebruikgemaakt worden van andere wiskundige methodieken (bijvoorbeeld voor het bepalen van afwijkingen)?

Door pseudonimisering, worden de direct identificerende gegevens van de betrokkene op een eenduidige wijze vervangen waardoor in de toekomst bepaalde partijen nog steeds gegevens kunnen toevoegen, maar de uniek identificerende gegevens niet meer teruggehaald kunnen worden. Door anonimisering worden alle direct en uniek identificerende gegevens verwijderd.

Denk hierbij bijvoorbeeld ook aan geolocatie, personeelsvolgsystemen, beslisondersteuning bij het als dan niet aanbieden van producten of diensten.

De Wbp (artikel 16) noemt zogenaamde bijzondere persoonsgegevens persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

Denk hierbij bijvoorbeeld ook aan geolocatie, personeelsvolgsystemen, beslisondersteuning bij het als dan niet aanbieden van producten of diensten.

Denk hierbij bijvoorbeeld ook aan geolocatie, personeelsvolgsystemen, beslisondersteuning bij het als dan niet aanbieden van producten of diensten.

Bijvoorbeeld creditcardinformatie, financiële informatie, erfrechtelijke aspecten, arbeidsprestaties of gegevens waarvoor een geheimhoudingsplicht geldt?

Bijvoorbeeld minderjarige personen, verstandelijk gehandicapten, gedetineerden, onder toezicht gestelden, mensen van wie de fysieke veiligheid in gevaar is.

Voor gegevens die worden verwerkt buiten de Europese Economische Ruimte (EER) moet een adequaat niveau van bescherming geboden worden. Alle landen binnen de EER dienen te voldoen aan de Europese gegevensbeschermingsrichtlijn. De Europese Commissie neemt een beslissing over het passend zijn van het geboden beschermingsniveau voor landen buiten de EER. Een lijst van deze landen kan gevonden worden op internet https//cbpweb.nl/nl/onderwerpen/interna tionaal-gegevensverkeer/doorgifte-naarhttps//cbpweb.nl/nl/onderwerpen/internationaal-gegevensverkeer/doorgifte-naar-derde-landenderde-landen Houd bij het beantwoorden van deze vraag rekening met 1. Of de gegevens van het grondgebied komen waar ze worden opgeslagen. 2. Of de gegevens aan partijen worden verstrekt die niet op het grondgebied zijn gevestigd waar de gegevens worden verzameld.

Houd bij de beantwoording rekening met 1. Wat het/de doel(en) is/zijn voor het gebruik van de gegevens. 2. Welke gegevens aan welke partijen worden verstrekt voor welk doel. 3. Of de verstrekking aan de andere partijen een wettelijke verplichting is. 4. Of de gegevens verkocht worden aan andere partijen. 5. Of andere partijen ingeschakeld worden voor het bereiken van het doel (outsourcing). 6. Hoe vaak (frequentie) worden de gegevens aan andere partijen verstrekt (eenmalig, periodieke update, continue). 7. Op welke wijze gegevens worden verstrekt aan andere partijen. 8. Of wordt vastgelegd aan welke partijen gegevens worden verstrekt. 9. Of de andere partij soortgelijke gegevens ontvangt op basis waarvan te herleiden valt op wie de gegevens betrekking hebben (indien deze geanonimiseerd of gepseudonimiseerd zijn).

De Wbp stelt voorwaarden aan het gebruik van gegevens voor commerciële of charitatieve doelen, zoals het recht van verzet.

Bijvoorbeeld omdat intieme of gevoelige informatie wordt gevraagd in een publiek gebied waar anderen dit kunnen horen, of omdat gebruik gemaakt wordt van (camera)observatie of tracking door cookies of GPS?

Houd bij de beantwoording rekening met of de betrokkene redelijkerwijs op de hoogte kan zijn van de verwerking van de gegevens.

De Wbp kent een beperkt aantal grondslagen op basis waarvan gegevens mogen worden verwerkt 1. U vraagt toestemming. 4.2 Is het doel van het verzamelen van de gegevens publiekelijk bekend of kan het publiekelijk bekend gemaakt worden? Houd bij de beantwoording rekening met of de betrokkene redelijkerwijs op de hoogte kan zijn van de verwerking van de gegevens. Ga verder. De verwerking van gegevens zonder dat dit publiekelijk bekend is of gemaakt kan worden brengt een hoog risico voor de betrokken met zich mee. U wordt geadviseerd een belangenafweging te maken of het doel van de verwerking opweegt tegen de risico s voor de betrokkenen. 4.3 Verzamelt u de gegevens op basis van een van de wettelijke grondslagen? De Wbp kent een beperkt aantal grondslagen op basis waarvan gegevens mogen worden verwerkt 1. U vraagt toestemming. 2. De gegevens zijn noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene een partij is. 3. De gegevens zijn nodig voor het volgen van een wettelijke verplichting. 4. De betrokkene heeft er een vitaal belang bij dat u de gegevens verzamelt. 5. De gegevens zijn nodig voor de goede vervulling van een publiekrechtelijke taak. 6. U heeft een gerechtvaardigd belang bij de verwerking. Ga verder Voor het verwerken van persoonsgegevens is een grondslag noodzakelijk. Indien deze ontbreekt, loopt u compliance risico (art. 8 Wbp).

Bij het verwerken van de gegevens moet duidelijk zijn of de betrokkene toestemming moet geven (opt-in) of dat niet hoeft, maar later bezwaar kan maken (opt-out)

Deze toestemming moet een vrije, specifieke en op informatie berustende wilsuiting zijn.

Deze toestemming moet een vrije, specifieke en op informatie berustende wilsuiting zijn.

Houd bij de beantwoording rekening met 1. Waar de gegevens vandaan komen (van de betrokkene, een interne afdeling, een andere partij, uit eigen waarneming, et cetera). 2. Op welke wijze de gegevens worden verzameld. 3. De mogelijkheid dat de betrokkene redelijkerwijs op de hoogte kan zijn van de verwerking van de gegevens. 4. De mate waarin de betrokkene wordt ge nformeerd. 5. De gebruikte technologie. 6. Wat het doel is/doelen zijn voor het gebruik. 7. Of de gegevens of uitkomsten van gegevensbewerking intern binnen het bedrijf verspreid worden. 8. Op welke wijze (mondeling, schriftelijk, automatisch, elektronisch, waarneming, papier) de gegevens aan andere partijen worden verstrekt. 9. Hoe lang de gegevens worden bewaard.

Houd bij de beantwoording rekening met 1. Waar de gegevens vandaan komen (van de betrokkene, een interne afdeling, een andere partij, uit eigen waarneming, et cetera). 2. Op welke wijze de gegevens worden verzameld. 3. De mogelijkheid dat de betrokkene redelijkerwijs op de hoogte kan zijn van de verwerking van de gegevens. 4. De mate waarin de betrokkene wordt ge nformeerd. 5. De gebruikte technologie. 6. Wat het doel is/doelen zijn voor het gebruik. 7. Of de gegevens of uitkomsten van gegevensbewerking intern binnen het bedrijf verspreid worden. 8. Op welke wijze (mondeling, schriftelijk, automatisch, elektronisch, waarneming, papier) de gegevens aan andere partijen worden verstrekt. 9. Hoe lang de gegevens worden bewaard.

Houd bij de beantwoording rekening met 1. Waar de gegevens vandaan komen (van de betrokkene, een interne afdeling, een andere partij, uit eigen waarneming, et cetera). 2. Op welke wijze de gegevens worden verzameld. 3. De mogelijkheid dat de betrokkene redelijkerwijs op de hoogte kan zijn van de verwerking van de gegevens. 4. De mate waarin de betrokkene wordt ge nformeerd. 5. De gebruikte technologie. 6. Wat het doel is/doelen zijn voor het gebruik. 7. Of de gegevens of uitkomsten van gegevensbewerking intern binnen het bedrijf verspreid worden. 8. Op welke wijze (mondeling, schriftelijk, automatisch, elektronisch, waarneming, papier) de gegevens aan andere partijen worden verstrekt. 9. Hoe lang de gegevens worden bewaard.

Houd bij de beantwoording rekening met 1. Wat het verzameldoel is. 2. Waarvoor de gegevens worden gebruikt. 3. Welke gegevens worden verzameld. 4. Of deze gegevens bijzondere gegevens betreffen. 5. Waar de gegevens vandaan komen, van de betrokkene, een interne afdeling, een andere partij, uit eigen waarneming, et cetera. 6. Hoe vaak (frequentie) de gegevens worden verzameld (eenmalig, regelmatig of voortdurend). 7. Op welke wijze (mondeling, schriftelijk, automatisch, elektronisch, waarneming, papier) de gegevens worden verzameld en verspreid. 8. Welke afdelingen/personen en andere partijen toegang hebben tot de gegevens.

Houd bij de beantwoording rekening met 1. Wat het verzameldoel is. 2. Waarvoor de gegevens worden gebruikt. 3. Welke gegevens worden verzameld. 4. Of deze gegevens bijzondere gegevens betreffen. 5. Waar de gegevens vandaan komen, van de betrokkene, een interne afdeling, een andere partij, uit eigen waarneming, et cetera. 6. Hoe vaak (frequentie) de gegevens worden verzameld (eenmalig, regelmatig of voortdurend). 7. Op welke wijze (mondeling, schriftelijk, automatisch, elektronisch, waarneming, papier) de gegevens worden verzameld en verspreid. 8. Welke afdelingen/personen en andere partijen toegang hebben tot de gegevens.

Houd bij de beantwoording rekening met 1. Wat het verzameldoel is. 2. Waarvoor de gegevens worden gebruikt. 3. Welke gegevens worden verzameld. 4. Of deze gegevens bijzondere gegevens betreffen. 5. Waar de gegevens vandaan komen, van de betrokkene, een interne afdeling, een andere partij, uit eigen waarneming, et cetera. 6. Hoe vaak (frequentie) de gegevens worden verzameld (eenmalig, regelmatig of voortdurend). 7. Op welke wijze (mondeling, schriftelijk, automatisch, elektronisch, waarneming, papier) de gegevens worden verzameld en verspreid. 8. Welke afdelingen/personen en andere partijen toegang hebben tot de gegevens.

Houd bij de beantwoording rekening met 1. Wat het verzameldoel is. 2. Waarvoor de gegevens worden gebruikt. 3. Welke gegevens worden verzameld. 4. Of deze gegevens bijzondere gegevens betreffen. 5. Waar de gegevens vandaan komen, van de betrokkene, een interne afdeling, een andere partij, uit eigen waarneming, et cetera. 6. Hoe vaak (frequentie) de gegevens worden verzameld (eenmalig, regelmatig of voortdurend). 7. Op welke wijze (mondeling, schriftelijk, automatisch, elektronisch, waarneming, papier) de gegevens worden verzameld en verspreid. 8. Welke afdelingen/personen en andere partijen toegang hebben tot de gegevens.

Houd bij de beantwoording rekening met 1. Wat het doel is van het verzamelen van de gegevens. 2. Welke gegevens (data elementen) worden verzameld. 3. Of de gegevens worden gecontroleerd (frequentie en aspecten). 4. Of de gegevens gecorrigeerd kunnen worden. 5. Hoe vaak de gegevens worden ge pdatet. 6. De wijze waarop de gegevens op betrouwbaarheid (actualiteit, volledigheid, juistheid) en relevantie (voor het doel) worden gecheckt. 7. Wat de gevolgen zijn van het gebruiken van onjuiste gegevens. 8. Of de gegevens gebruikt worden om profielen op te stellen. 9. Of de profielen op individueel niveau opgeslagen worden. 10. Welke profielen worden gebruikt.

Houd bij de beantwoording rekening met 1. Welke afdelingen toegang hebben tot de gegevens. 2. Welke personen toegang hebben tot de gegevens. 3. De doelen en het gebruik van de gegevens.

Houd bij de beantwoording rekening met 1. Welke organisaties en personen toegang tot de gegevens hebben. 2. Hoe vaak (frequentie) de gegevens worden verstrekt. 3. Het medium dat gebruikt wordt voor verspreiding (bv. papier, CD-ROM, geheugenstick, email, internet). 4. De maatregelen om ander gebruik te voorkomen.

Houd bij de beantwoording rekening met 1. Voor en door wie het project wordt uitgevoerd. 2. Wat voor technologie wordt gebruikt. 3. Of de betrokkene redelijkerwijs op de hoogte kan zijn van de verwerking van de gegevens. 4. Of de betrokkenen toestemming geven om de gegevens te verzamelen. 5. Wat het doel is / de doelen zijn voor het gebruik. 6. Of alle gegevens noodzakelijk zijn voor het doel. 7. Welke personen toegang hebben tot de gegevens. 8. Andere partijen die ook gebruikmaken van de gegevens. 9. Welke gegevens (data elementen) aan andere partijen worden verstrekt. 10. Hoelang de gegevens bewaard worden nadat ze voor het (primaire) doel zijn gebruikt.

Denk hierbij aan profielen op basis van het gebruik van diensten, de afname van producten of bepaalde combinaties van eigenschappen.

Denk hierbij aan profielen op basis van het gebruik van diensten, de afname van producten of bepaalde combinaties van eigenschappen.

Hierbij kan gedacht worden aan reactie op verzoeken of het geven van inzage in de eigen gegevens door middel van een informatiesysteem (waarbij wel moet vast staan dat gegevens alleen ingezien kunnen worden door personen die dat mogen).

Houd bij de beantwoording rekening met 1. Wat het verzameldoel is. 2. Waarvoor de gegevens worden gebruikt. 3. Welke gegevens worden verzameld. 4. Of deze gegevens bijzondere gegevens betreffen. 5. Waar de gegevens vandaan komen, van de betrokkene, een interne afdeling, een andere partij, uit eigen waarneming, et cetera. 6. Hoe vaak (frequentie) de gegevens worden verzameld (eenmalig, regelmatig of voortdurend). 7. Op welke wijze (mondeling, schriftelijk, automatisch, elektronisch, waarneming, papier) de gegevens worden verzameld en verspreid. 8. Welke afdelingen/personen en andere partijen toegang hebben tot de gegevens.

Hierbij kan gedacht worden aan een reactie op verzoeken of het geven van verwijderingsmogelijkheden in de eigen gegevens door middel van een informatiesysteem (waarbij wel moet vast staan dat gegevens alleen verwijderd kunnen worden door personen die dat mogen).

Houdt hierbij rekening met het doel waarvoor de gegevens zijn verzameld en vervolgens worden verwerkt en bedrijfsrichtlijnen en wettelijk vastgestelde bewaartermijnen zoals bijvoorbeeld in de Archiefwet en belastingwetgeving.

Het is niet voldoende om gegevens aan te merken als verlopen ; na het aflopen van de bewaartermijn dienen deze daadwerkelijk verwijderd te worden. Houd bij de beantwoording van de vraag rekening met 1. Of het mogelijk is (delen van) de gegevens te vernietigen of te verwijderen. 2. Indien de gegevens worden vernietigd of verwijderd, of dit ongedaan kan worden gemaakt. 3. Of de gegevens anoniem kunnen worden gemaakt om ze te bewaren.

Houd bij de beantwoording rekening met 1. Of regelgeving of beleid bestaat voor de vernietiging van gegevens (bijvoorbeeld de Archiefwet). 2. Waar (welke locatie) de gegevens worden bewaard. 3. Op welk medium (papier, CD, harde schijf) de gegevens worden bewaard. 4. Of deze locatie / dit medium zijn afgeschermd voor gebruik (bijvoorbeeld het archief). 5. Welke andere redenen bestaan om de gegevens te bewaren zoals bedrijfshistorische, wettelijke, juridische redenen.

Houd bij de beantwoording rekening met 1. Of iemand verantwoordelijk is voor dit beleid. 2. Of wordt aangesloten bij algemene beveiligingsstandaarden. 3. Of rekening wordt gehouden met het bijzondere of gevoelige karakter van gegevens. 4. Of het beveiligingsbeleid wordt getoetst.

Denk hierbij aan welke maatregelen getroffen worden om te voldoen aan het beschreven beleid (een informatiebeveiligingsplan).

De Richtsnoeren Beveiliging van persoonsgegevens leggen uit hoe de Autoriteit persoonsgegevens bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. In de Richtsnoeren wordt verwezen naar en aangesloten bij algemeen geaccepteerde beveiligingsstandaarden, zoals bijvoorbeeld ISO/IEC 27001/27002 en NEN 7510.

In de Wbp is een meldplicht opgenomen voor datalekken. Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken onder bepaalde voorwaarden moeten melden aan de Autoriteit persoonsgegevens en in bepaalde gevallen ook aan de betrokkene. De betrokkene is degene van wie persoonsgegevens zijn gelekt.

Organisaties tot wie de meldplicht datalekken zich richt moeten zelf een beredeneerde afweging maken of een concreet datalek (inclusief datalekken bij bewerkers) dat hen ter kennis komt onder het bereik van de wettelijke meldplicht valt. Doel van de richtsnoeren is om hen daarbij te ondersteunen. Deze richtsnoeren dienen tevens als uitgangspunt voor de Autoriteit persoonsgegevens bij het toepassen van handhavende maatregelen.