Documenten en sjablonen - Privacy Expertise Centrum

Toetsingskader Privacy

Het SURFaudit Toetsingskader Privacy heeft zeven onderdelen (domeinen). Elk domein heeft een bepaalde doelstelling om de bescherming van persoonsgegevens binnen je instellingen te vergroten. Die doelstelling kun je bereiken met de maatregelen die voor dat domein zijn beschreven in het toetsingskader. Kies hieronder het domein waarover je meer wilt weten en download templates, tools en overige relevante (referentie)documenten. Je kunt makkelijk navigeren door de beschikbare materialen.

Beleid

In het domein Beleid (BL) gaat de aandacht uit naar de onderwerpen Beleid, Rollen, taken en verantwoordelijkheden en Risicobeheersing in relatie tot de verwerking van persoonsgegevens en privacy.

Ga terug naar het Overzicht met alle domeinen

Processen

In het domein Processen (PR) staan de processen centraal waarin binnen de organisatie persoonsgegevens worden verwerkt. Deze verwerkingen moeten inzichtelijk zijn gemaakt en verwerking moeten in overeenstemming zijn met de AVG.

Door duidelijk overzicht en inzicht in de operationele processen te hebben, kan de organisatie aantonen dat de verwerkingen van persoonsgegevens in overeenstemming met de AVG worden uitgevoerd (artikel 24, lid 1).

Ga terug naar het Overzicht met alle domeinen

Organisatorische inbedding

Het domein Organisatorische inbedding (OI) gaat over een goede inbedding van privacy en gegevensbescherming in de organisatie. Daarvoor is een goed ingericht privacyorganisatie nodig met voldoende (juridische) kennis. Er is een FG nodig die voldoende middelen heeft en zodanig is gepositioneerd binnen de organisatie dat deze onafhankelijk toezicht kan houden.

Een goed privacyteam en een onafhankelijke FG dragen in belangrijke mate bij aan de bescherming van persoonsgegevens die de instelling verwerkt. Ook opleiding en awareness van medewerkers en onderwijsdeelnemers zijn hier onlosmakelijk mee verbonden.

Ga terug naar het Overzicht met alle domeinen

Rechten van betrokkenen

Het domein Rechten van betrokkenen (RB) draait om het faciliteren van de rechten van betrokkenen. Organisaties hebben een informatieplicht richting betrokkenen. Betrokkenen hebben een aantal rechten waarmee zij inzicht kunnen krijgen in hoe een instelling omgaat met de persoonsgegevens en ze kunnen onder voorwaarden hun rechten uitoefenen om hun gegevens in te zien, te wijzigen, te laten verwijderen of over te dragen. Transparantie over geautomatiseerde individuele besluitvorming waaronder profilering is ook onderdeel van dit domein.

Ga terug naar het Overzicht met alle domeinen

Samenwerking

In het domein Samenwerking (SW) besteed je aandacht aan de aspecten van de verwerking van persoonsgegevens die een rol spelen bij samenwerking tussen organisaties. Dat gaat over de verschillende AVG-rollen die een organisatie kan hebben (verwerkingsverantwoordelijke, verwerker, etc.), de toetsing voor gegevensverstrekking aan derden en doorgifte buiten de EER.

Ga terug naar het Overzicht met alle domeinen

Beveiliging

Het domein Beveiliging (GB) gaat over de bescherming van persoonsgegevens door informatiebeveiliging. Dit is een belangrijke basismaatregel. De AVG spreekt van passende beveiligingsmaatregelen rekening houdend met de stand der techniek en de kosten.

Ondanks alle maatregelen treden er wel eens incidenten op waarbij persoonsgegevens zijn betrokken (datalekken). De AVG stelt eisen aan de afhandeling van datalekken. Meestal is er ook sprake van een beveiligingsincident bij een datalek.

Ga terug naar het Overzicht met alle domeinen

Verantwoording

Het domein Verantwoording (VW) gaat over transparantie en verantwoording over de verwerkingen van persoonsgegevens. Dit zijn belangrijke beginselen van de AVG. De in dit domein bedoelde rapportage draagt in belangrijke mate bij aan compliance met de beginselen van transparantie en verantwoording.

Ga terug naar het Overzicht met alle domeinen