Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

B.07.2 De FG en toetsing van het Beleid

Toetsing van het beleid van de organisatie

De FG zal het beleid van de organisatie moeten toetsen op het voldoen aan de AVG. Het beleid wordt opgesteld door het bestuur van de organisatie. De AVG gaat niet over de manier waarop dat gebeurt, zoals al of niet verplicht inschakelen van de OR daarbij.

De toetsing van de FG bestaat uit twee delen:

  1. Allereerst zullen alle elementen van de AVG (als voorschrift) in het beleid moeten zijn opgenomen.
  2. Daarnaast moet het beleid voldoen aan de normen van de AVG.

Voor de toetsing van het beleid is de volgorde aangehouden van het AVG framework van Cjeck-Privacy. Er is tevens een mapping gemaakt naar gangbare andere modellen:

CP

Verwijst naar het hoofdstuk c.q. paragraaf van het AVG framework van Check-Privacy zelf
AVG Verwijst naar het artikel van de AVG
ISO 27001  Verwijst naar het artikel van de ISO 27001 of NEN 7510 (hebben dezelfde nummering!)
IBPDOC3 Verwijst naar de Sambo paragrafen m.n. in gebruik bij MBO scholen: Klik hier: IBPDOC3 MBO Toetsingskader InformatieBeveiliging
IBPDOC7 Verwijst naar de Sambo paragrafen m.n. in gebruik bij MBO scholen: Klik hier: IBPDOC7 Toetsingskader privacy pluscluster
PO / VO Verwijst naar IBP Beleid van de PO / VO scholen, Klik hier : Informatiebeveiligings- en privacy beleid (versie 2.0)

 

CP

Te toetsen aspecten:

AVG

ISO 

27001

IBP

D0C3

IBP

D0C7

PO

VO

1

Is het beleid (zowel m.b.t. Privacy als wel m.b.t. Informatiebeveiliging:)

  1. vastgesteld?

  2. beschreven?

  3. Duidelijk en transparant voor eigen medewerkers en betrokkenen?

  4. bekend gesteld?

 

24.1

24.2

 

A.05.1.1

A.05.1.2

18.1.4

 

P1, P3.d,

P11,P12

1,

2,

3

1.1

Beleid m.b.t. de doelbinding en grondslagen verwerking

  1. Is het doel van de Organisatie vastgesteld?

  2. Zijn de verwerkingsactiviteiten geidentificeerd?

  3. Zijn de grondslagen van de verwerkings-activiteiten vastgesteld? En kloppen deze?

  4. Zijn Registers van Verwerkingsactiviteiten opgesteld (bijlagen)?

5.1.b,

6.3.b,

6.1.

30

 

 

P3.a,

P3.b

4.3, 5.2.1, 

5.2.2

5.3

5.5

 

 1.2

Beleid m.b.t. vovk:

  1. Zijn V's en VV's geidentificeerd? 

  2. Zijn er Vovk's met met hen aangegaan?  

  3. Zijn de Vovk's consistent met het Hoofdcontract met V of VV?

  4. Zijn eigen Verkoop- of  Inkoop-contracten / Leverings- dan wel Inkoop-voorwaarden en Service Level Agreements (SLA)?

 28.3

 

 

 P.10

 Bijl.1

 1.3

Beleid m.b.t. minimale gegevensverwerking: 

  1. Wordt "genoeg is genoeg"-principe toegepast?  

  2. Zijn databehoeften van verwerkingsactiviteiten vastgesteld?

  3. Is er een data-architectuur-schema?

5.1.c

 

 

 P3.c

 5.2.3

 1.4

Beleid m.b.t. het verzamelen van gegevens

  1. Worden er uitsluitend gegevens verzameld van Betrokkenen die nodig zijn voor de persoonsgegevensverwerking?

  2. Heeft de de Betrokkene expliciet toestemming verleend?  Kan deze toestemming kunnen worden aangetoond?  OF

  3. Zij de Persoonsgegevens afkomstig zijn van publieke bronnen (o.a. van sociale media), OF

  4. Zijn de Persoonsgegevens afkomstig zijn van een aangekocht en “legitiem” databestand. Er dient wel onderzocht te zijn of een leverancier zich gehouden heeft aan de eisen van de AVG.?

 6

 

 

 P3.e

 5.2.5

 1.5

Beleid m.b.t. direct marketing:

  1. Worden Betrokkenen benaderd via "direct marketing" o.a.nieuwsbrieven? 

  2. Zo ja, is dat het beleid?

  3. Staat dat vast? Bedenk hierbij dat meestal toestemming noodzakelijk is

5.1.a

6.4.a,b,d,f

7

21.2-3

 

 

 Niet

 

 1.6

Beleid m.b.t. verwerken van bijzondere categorieën:

  1. Worden bijzondere categorie gegevens verwerkt?

  2. Is er beleid rondom bijzondere categorieën en voldoet deze aan de AVG? 

  3. Zijn in de relevante registers deze bijzondere categorieën vastgelegd?

9

 

 

 P7

4.5

5.3

 1.7

Beleid m.b.t. personen jonger dan 16 jaar:

Is er beleid vastgelegd hoe om te gaan met gegevens van kinderen jonger dan 16? Is dan door ouders, voogd toestemming gegeven? Is ie toestemming vastgelegd?

8

 

 

 Niet

 

 1.8

Beleid m.b.t. de verwerking voor andere doeleinden: 

Als men van plan is om iets anders te gaan doen m.b.t. de persoonsgegevens dan daar waar zijn oorspronkelijk voor bedoeld zijn (het "doel"), dan is het van belang dat de directie, verwerkingsverantwoordelijke en de FG vooraf toestemming aan zo'n actie verlenen. Er moet worden of deze nieuwe werkprocessen wel conform AVG zijn. 

 6.4

 

 

 P.4

 

 1.9

Beleid m.b.t. doorgifte van gegevens:

Is er sprake van doorgifte van persoonsgegevens aan derde landen (buiten de EU) en aan internationale instellingen?  Zo ja controleer of dit beleidsonderwerp is vastgelegd,

 

 

 

 Niet

 

 1.10

Beleid m.b.t. geautomatiseerde verwerking:

  1.  Is er sprake van geautomatiseerde verwerking en zo ja: is dat duidelijk (transparant) gecommuniceerd met Betrokkene? 

  2. Heeft de Betrokkene toestemming verleend? Zo niet, is de verwerking toegestaan door een wettelijke bepaling?

 

 

 

 P8

 

 1.11

Beleid m.b.t. archivering:

  1. Is er een beleid m.b.t. archivering?

  2. Zijn termijnen vastgesteld?

  3. Is in de registers vastgelegd hoe de back-up is ingeregeld?

 

 

 

 P5

 

 1.12

Beleid m.b.t. de koppelingen met andere systemen:

Is er een beleid rondom koppelingen van ICT-systemen? Is in de registers vastgelegd welke gegevenselementen dan "gekoppeld" zijn?

 

 

 

 Niet

 

 1.13

Beleid m.b.t. pseudonimisering bij analyses:

  1. Wordt er management informatie samengesteld op basis van gepseudonimiseerde datasets?

  2. Zo ja, is dan voldoende duidelijk wie er uiteindelijk toegang heeft tot de persoonsgevens?

  3. Is de "Toestemming" Betrokken goed geregeld?

 

 

 

 P6

 

 1.15

Beleid m.b.t. een FG: Is een FG bij de eigen instelling verplicht? Wordt de rol ingevuld?

37,38

 

 

 P2

 5.8

 1.16

Beleid m.b.t. Technische ICT-maatregelen

  1. Is er een Privacy en Security beleid in de rol van vv? 

  2. Idem in de rol van v?

  3. Zijn de v's ISO gecertificeerd? Is het certificaat gecontroleerd?

  4. Zo niet is in de vovk aanvullende bijlagen opgenomen die min of meer overeenkomen met 

5,

32

 

 

 P9

 5.9

 1.17

Beleid m.b.t. Personeel:

  1. Begrijpen alle medewerkers die te maken hebben met persoonsgegevens de impact van de "Privacy"?

  2. Worden er periodieke bewustzijnstrainingen gegeven?

  3. Zijn de arbeidsvoorwaarden o.i.d. aangevuld met specifieke geheimhoudingsverklaringen die ook na het dienstverband van toepassing zijn??

 

 

 

P3.d, P12,

P14, P15

5.4

5.8

 1.18

Beleid m.b.t. Gegevensbeschermingseffectbeoordeling

Is er sprake van:

  1. geautomatiseerde individuele verwerking,

  2. stelselmatige en grootschalige observatie van openbare ruimten (camera toezicht e.d.),

  3. grootschalig verwerking van bijzondere categorieën.

Zo ja: zijn er DPIA's gemaakt? Controleer deze.

Zo nee: dan kunnen ook DPIA's gemaakt zijn, controleer deze.

 

 

 

 P.21

 5.5

 1.19

Beleid m.b.t. risico’ s op inbreuk

 

 

 

 Niet

 5.6

 1.20

Beleid m.b.t. bezwaar, beperken en wissen:

  1. Mogen betrokkenen de eigen gegevens (digitaal-) opvragen, wijzigen, (deels-) laten verwijderen of beperken?

  2. Worden deze mutaties doorgegeven aan alle relevante verwerkers / subverwerkers?

  3. Wordt de betrokken op de hoogte gesteld van de doorgevoerde mutatie?

 

 

 

 P13

 4.4

5.2.4

 1.21

Beleid m.b.t. rapportages, controles en audits

 

 

 

 P.22, P23

 5.7

 1.22

Beleid t.a.v. interne werkprocessen

 

 

 

 Niet

 6.1

 1.23

Beleid m.b.t. mitigerende maatregelen

 

 

 

 Niet

 

 Vorige pagina         Volgende Pagina

Afdrukken