Add to collection(s) Add to saved
  1. Sociale wetenschap
  2. Politicologie

Toelichting bij schema inventarisatie verwerking

advertisement 
Schema inventarisatie verwerking persoonsgegevens
Versie 1.0 december 2014
Schema inventarisatie verwerking persoonsgegevens
Dit schema moet worden ingevuld voor elk systeem waar persoonsgegevens in worden verwerkt. In elk systeem worden immers verschillende persoonsgegevens
verwerkt, voor verschillende doeleinden.
Toelichting Antwoord (in te vullen door intern verantwoordelijke afdeling, evt. in overleg met de IT(zie bijlage) afdeling)
Naam systeem
Doel systeem
A
Onderdeel
B
Is er een PIA uitgevoerd voor dit systeem en de
verwerkingen?
Ja/nee
Intern verantwoordelijke
C
Beheerder
D
Gebruiker(s)
E
Categorieen personen /
F
Betrokkenen
1. Soort gegevens + grondslag verwerking
G1
G2
2. Aard gegevens/
G3
risicoklasse
G4
1. Soort
gegevens
2. Risicoklasse
3. Standaard
4. Rechtstreekse
verstrekkingen
G5
3. Standaard verstrekkingen + doel/grondslag
1/6
toegang
5. VB
6. Herkomst
gegevens
4. Rechtstreekse toegang + doel
5. Verwerking vrijgesteld van melding?
6. Herkomst gegevens
Beveiliging van het system
H
Bewerker
I
Ja/nee
Zo ja: welke partij? Is er met deze partij een bewerkersovereenkomst gesloten? Ja/nee
Voorgenomen buitenlandse verstrekkingen +
omschrijving doel
J
Looptijd/
K
bewaartermijn
Verdere relevante informatie m.b.t. verwerking
2/6
Bijlage: Toelichting bij schema inventarisatie verwerking persoonsgegevens
A
Omschrijf zo gedetailleerd mogelijk voor welke doeleinden dit systeem is of wordt gemaakt. Zie voorbeeld personeelsinformatiesysteem en
salarisadministratie (niet volledig):
Het geven van leiding aan de werkzaamheden van betrokkene;
De behandeling van personeelszaken;
Het vaststellen en doen uitbetalen van salarisaanspraken;
Het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband;
De opleiding van betrokkene;
De bedrijfsmedische zorg voor betrokkene;
De verkiezing van de leden van een bij wet geregeld medezeggenschapsorgaan;
Etc.
Een precieze en duidelijke omschrijving van het doel (of de samenhangende doeleinden) van de verwerking is van belang, omdat aan de hand van het
doel van de verwerking de rechtmatigheid van de gegevensverwerking wordt getoetst.
B
Onderdeel van hoger systeem; bijv. de salarisadministratie is een onderdeel van het personeelsinformatiesysteem
C
Directeur dienst/faculteit of decaan
D
Wie (functieprofielen, geen namen van medewerkers) of welke afdeling beheert het systeem onder verantwoordelijkheid van de intern
verantwoordelijke?
E
Wie (functieprofielen, geen namen van medewerkers) of welke afdeling gebruikt de persoonsgegevens uit het systeem?
F
Van welke personen worden persoonsgegevens verwerkt in dit systeem? Bijvoorbeeld:

Studenten

Medewerkers

Alumni
3/6
G

Mogelijk toekomstige studenten/scholieren

Deelnemers aan onderzoek

Patiënten (slechts van toepassing bij bepaalde opleidingen)

Derden (overig)
G1 Geef weer welke gegevens worden verwerkt. Geef tevens aan op welke grondslag de gegevens worden verwerkt. De WBP kent een aantal
grondslagen op basis waarvan persoonsgegevens verwerkt mogen worden:
Toestemming (Let op: toestemming moet uitdrukkelijk en welbepaald zijn. Verantwoordelijke moet kunnen aantonen dat er toestemming is (schriftelijk)
en betrokkene moet weten waarvoor hij toestemming heeft gegeven (verwerking van welke gegevens voor welke doeleinden). Toestemming kan altijd
worden ingetrokken, dus het systeem moet de mogelijkheid bieden om de verwerking dan te staken.)
Overeenkomst (bijvoorbeeld arbeidsovereenkomst)
Wettelijke verplichting (bijvoorbeeld belastingwetgeving)
Vitaal belang
Publiekrechtelijke taak
Gerechtvaardigd belang
Bijzondere persoonsgegevens dienen dikgedrukt te worden opgenomen. Bijzondere persoonsgegevens zijn gegevens over godsdienst of
levensovertuiging, ras, gezondheid, politieke gezindheid, seksuele leven en lidmaatschap van een vakvereniging (voorbeeld: gegevens over
functiebeperking i.v.m. het aanvragen van extra tentamentijd). Voor bijzondere persoonsgegevens geldt een zwaardere toets; deze mogen niet altijd
worden verwerkt. Let op: deze gegevens behoeven hogere mate van bescherming en beveiliging.
G2 Aan welke derden worden de gegevens standaard verstrekt? Wat is het doel of de grondslag van deze verstrekking?
G3 Welke functies (UFO-profielen, geen namen van personen) binnen de organisatie hebben rechtstreekse toegang tot deze gegevens? Wat is daarvan
het doel? Geef aan waarom deze functies toegang tot deze gegevens nodig hebben. Getoetst moet worden of niet meer personen dan noodzakelijk
voor de uitvoering van hun functie toegang hebben tot deze gegevens.
G4 Geef een verwijzing aan naar het Vrijstellingsbesluit (VB) (indien van toepassing). Indien deze verwerking niet in het vrijstellingsbesluit is
opgenomen, of de verwerking gaat het vrijstellingsbesluit te buiten (bijv. voor wat betreft de bewaartermijn of er worden meer gegevens verwerkt dan die
in het Vrijstellingsbesluit zijn opgenomen), moet de verwerking worden gemeld.
G5 Waar komen de persoonsgegevens vandaan (bijv. via Studielink, van de medewerker zelf, etc.)? De herkomst kan ook een ander intern systeem
zijn.
4/6
Voorbeeld van een personeelsadministratie (niet volledig):
Soort gegevens
Aard gegevens/ Standaard verstrekkingen
Rechtstreekse toegang
VB
Risicoklasse
Naam
L
ABP, Belastingdienst
Directeuren betreffende organisatieonderdeel 7.3.a VB Betrokkene zelf
(geven van leiding, behandeling van
personeelszaken);
Adres/woonplaats
(Op grond van wettelijke
Titulatuur
Verplichting)
Personeelsfunctionaris en assistent
(behandeling van personeelszaken)
Geen
Medewerkers HR (vaststellen identiteit)
Geslacht
Herkomst
gegevens
Geboortedatum
Telefoonnummer
(op grond van overeenkomst)
Nationaliteit en
geboorteplaats
(overeenkomst)
Gegevens i.v.m. verlof, ADV,
ziekte (op grond van
overeenkomst, wettelijke
verplichting)
M
7.3.c. VB Betrokkene
zelf
Afdelingshoofden, leidinggevenden
Verlof/ADV: M Bijv. Arbodienst (melding
ziekteverzuim: op grond van
Ziekte: H
wettelijke verplichting Wet (leiden geven, behandeling van
personeelszaken);
Poortwachter)
Personeelsfunctionarissen en assistent
(behandeling van personeelszaken);
7.3.g. VB
Accountant (accountantscontrole)
Etc.
H
Geef aan welke beveiligingsmaatregelen zijn getroffen t.a.v. het systeem waarin deze persoonsgegevens worden verwerkt. Persoonsgegevens dienen
adequaat beveiligd te worden rekening houdend met de aard van de persoonsgegevens (zie Classificatie persoonsgegevens) en de stand van de
techniek. Dit is dus een doorlopend proces.
Zie AV 23 en de opvolger ‘Richtsnoeren beveiliging persoonsgegevens van het CBP’ (http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoerenbeveiliging-persoonsgegevens.pdf)
I
Een bewerker is een persoon of organisatie aan wie de verantwoordelijke de verwerking van persoonsgegevens heeft uitbesteed. Ook als er alleen
sprake is van opslag van persoonsgegevens in de cloud is er al sprake van een bewerker (i.c. de hosting partij).
5/6
J
Worden deze persoonsgegevens verstrekt aan een buitenlandse partij? (bijv. studentgegevens in geval van een joint degree)
K
Geef aan hoe lang de persoonsgegevens worden bewaard. Controleer of dit in lijn is met het Vrijstellingsbesluit. Soms is er een langere bewaarplicht
voor specifieke gegevens op grond van een wettelijke bepaling (bijv. personeelsgegevens moeten gedurende een zekere termijn bewaard worden in het
kader van belastingwetgeving). Verwijs dan naar die wetgeving.
6/6
Related documents
Verzoek tot inzage gegevens
Verzoek tot inzage gegevens
Information Ethics
Information Ethics
1.1. Vastleggen en verwerking van gegevens 1.2
1.1. Vastleggen en verwerking van gegevens 1.2
Privacy- en cookiebeleid Witte
Privacy- en cookiebeleid Witte
Modelbrief uitoefening recht van verzet
Modelbrief uitoefening recht van verzet
Privacy beleid - De beste Fleurop bloemist
Privacy beleid - De beste Fleurop bloemist
Document
Document
Betalingsvoorwaarden PSYTRAIN - Psychologiepraktijk Den Helder
Betalingsvoorwaarden PSYTRAIN - Psychologiepraktijk Den Helder
PRIVACYREGLEMENT DIGITAAL RITTENREGISTRATIESYSTEEM
PRIVACYREGLEMENT DIGITAAL RITTENREGISTRATIESYSTEEM
Notitie over de Wet bescherming Persoonsgegevens
Notitie over de Wet bescherming Persoonsgegevens
Privacy statement
Privacy statement
communication de données à caractère personnel
communication de données à caractère personnel
De mededeling van gecodeerde persoonsgegevens door de
De mededeling van gecodeerde persoonsgegevens door de
Privacy clientenbrochure - Regionaal Autisme Centrum!
Privacy clientenbrochure - Regionaal Autisme Centrum!
Bijlage Privacyreglement
Bijlage Privacyreglement
Privacyreglement OGGZ Zuid Holland
Privacyreglement OGGZ Zuid Holland
het register van verwerkingen van persoonsgegevens
het register van verwerkingen van persoonsgegevens
data protection - VBO-FEB
data protection - VBO-FEB
Privacyreglement verwerking leerlinggegevens voor PO en VO
Privacyreglement verwerking leerlinggegevens voor PO en VO
Gij zult openbaren: privacy en de open overheid
Gij zult openbaren: privacy en de open overheid
Privacy-reglement - Kraamzorg met Passie
Privacy-reglement - Kraamzorg met Passie
bijlage-3-model-dpia
bijlage-3-model-dpia
Download
advertisement