Privacy Impact Assessment
,Inhoud
Inleiding ................................................................................................................................................... 3
Deel 1 - De feitelijke bevindingen ............................................................................................................ 4
1.1 Welke (rechts)personen hebben toegang tot de gegevens/informatie: ................. 4
1.2 Is de persoon een gebruiker of beheerder? ............................................................. 4
1.3 Welke ICT-feiten van de casus zijn van toepassing voor het verwerken van de
gegevens? ........................................................................................................................ 5
1.4 Welke veiligheidsrisicoʼs kunnen ontstaan bij de ICT-feiten van de casus? ......... 5
1.5 Geef aan of de veiligheidsrisicoʼs thuishoren in een technische of
organisatorische context. ............................................................................................... 8
1.6 Maak per gebruiker en/of beheerder een grafisch overzicht van het geheel ........12
Deel 2 - Het juridische kader ............................................................................................................. 14
2.1 In welke wetten en verdragen/verdragsbepalingen is het recht op privacy
geregeld? ........................................................................................................................14
2.2 Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (hierna te
noemen: AVG) ingevoerd. Noem twee redenen voor invoering van deze Verordening.
.........................................................................................................................................15
2.3 De AVG geeft regels voor het verwerken van persoonsgegevens. Beoordeel aan
de hand van onderstaande subvragen of de AVG op jouw casus van toepassing is.16
a. Is er sprake van een geautomatiseerde verwerking van persoonsgegevens (artikel
2 lid 1 AVG)?....................................................................................................................16
b. Valt deze verwerking onder één van de op grond van artikel 2 lid 2 AVG
aangewezen, uitgezonderde verwerkingen?.................................................................16
c. Valt deze verwerking onder de verantwoordelijkheid van het bedrijf waarvoor je in
de casus werkzaam bent (artikel 4 onder 7 AVG)? .......................................................17
3.1 Op basis van welk doel/welke doeleinden worden persoonsgegevens verzameld?
.........................................................................................................................................17
3.2 Zijn dat doel of die doeleinden duidelijk, concreet omschreven? .........................17
3.3 Is de verwerking te baseren op ten minste één grondslag die de AVG noemt? Leg
uit. ....................................................................................................................................17
3.4 Worden de persoonsgegevens niet verder verwerkt op een wijze die
onverenigbaar is met de doeleinden waarvoor ze zijn verkregen? .............................18
3.5 Zijn de persoonsgegevens toereikend, ter zake dienend en niet bovenmatig in de
zin van artikel 5 lid 1 onder c AVG? Leg uit. .................................................................18
3.6 Is er sprake van verwerking van bijzondere persoonsgegevens als bedoeld in
artikel 9 lid 1 AVG? Leg uit. Zo ja, valt die verwerking dan onder één van de
algemene of bijzondere uitzonderingen op het verbod op de verwerking van
dergelijke gegevens als bedoeld in artikel 9 lid 2 AVG? ..............................................20
Het vragen van een elektronisch patiëntendossier valt onder het verbod van artikel 9
lid 2 AVG nu blijkt dat de atletiekvereniging niet onder de uitzonderingen van dit
1
, artikel valt. 3.7 Worden de gegevens bewaard in overeenstemming met de eisen van
artikel 5 lid 1 onder e AVG? ............................................................................................20
3.8 Is er sprake van een passende beveiliging van de gegevens in de zin van artikel
5 lid 1 onder f jo. artikel 32 AVG?...................................................................................21
Deel 4 ‒ Conclusie ................................................................................................................................. 22
4.1 Is de verwerking van de persoonsgegevens door het kantoor legitiem? .............22
7. Bibliografie......................................................................................................................................... 24
Literatuurlijst ...................................................................................................................24
Wet- en regelgeving ........................................................................................................24
2
,Inhoud
Inleiding ................................................................................................................................................... 3
Deel 1 - De feitelijke bevindingen ............................................................................................................ 4
1.1 Welke (rechts)personen hebben toegang tot de gegevens/informatie: ................. 4
1.2 Is de persoon een gebruiker of beheerder? ............................................................. 4
1.3 Welke ICT-feiten van de casus zijn van toepassing voor het verwerken van de
gegevens? ........................................................................................................................ 5
1.4 Welke veiligheidsrisicoʼs kunnen ontstaan bij de ICT-feiten van de casus? ......... 5
1.5 Geef aan of de veiligheidsrisicoʼs thuishoren in een technische of
organisatorische context. ............................................................................................... 8
1.6 Maak per gebruiker en/of beheerder een grafisch overzicht van het geheel ........12
Deel 2 - Het juridische kader ............................................................................................................. 14
2.1 In welke wetten en verdragen/verdragsbepalingen is het recht op privacy
geregeld? ........................................................................................................................14
2.2 Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (hierna te
noemen: AVG) ingevoerd. Noem twee redenen voor invoering van deze Verordening.
.........................................................................................................................................15
2.3 De AVG geeft regels voor het verwerken van persoonsgegevens. Beoordeel aan
de hand van onderstaande subvragen of de AVG op jouw casus van toepassing is.16
a. Is er sprake van een geautomatiseerde verwerking van persoonsgegevens (artikel
2 lid 1 AVG)?....................................................................................................................16
b. Valt deze verwerking onder één van de op grond van artikel 2 lid 2 AVG
aangewezen, uitgezonderde verwerkingen?.................................................................16
c. Valt deze verwerking onder de verantwoordelijkheid van het bedrijf waarvoor je in
de casus werkzaam bent (artikel 4 onder 7 AVG)? .......................................................17
3.1 Op basis van welk doel/welke doeleinden worden persoonsgegevens verzameld?
.........................................................................................................................................17
3.2 Zijn dat doel of die doeleinden duidelijk, concreet omschreven? .........................17
3.3 Is de verwerking te baseren op ten minste één grondslag die de AVG noemt? Leg
uit. ....................................................................................................................................17
3.4 Worden de persoonsgegevens niet verder verwerkt op een wijze die
onverenigbaar is met de doeleinden waarvoor ze zijn verkregen? .............................18
3.5 Zijn de persoonsgegevens toereikend, ter zake dienend en niet bovenmatig in de
zin van artikel 5 lid 1 onder c AVG? Leg uit. .................................................................18
3.6 Is er sprake van verwerking van bijzondere persoonsgegevens als bedoeld in
artikel 9 lid 1 AVG? Leg uit. Zo ja, valt die verwerking dan onder één van de
algemene of bijzondere uitzonderingen op het verbod op de verwerking van
dergelijke gegevens als bedoeld in artikel 9 lid 2 AVG? ..............................................20
Het vragen van een elektronisch patiëntendossier valt onder het verbod van artikel 9
lid 2 AVG nu blijkt dat de atletiekvereniging niet onder de uitzonderingen van dit
1
, artikel valt. 3.7 Worden de gegevens bewaard in overeenstemming met de eisen van
artikel 5 lid 1 onder e AVG? ............................................................................................20
3.8 Is er sprake van een passende beveiliging van de gegevens in de zin van artikel
5 lid 1 onder f jo. artikel 32 AVG?...................................................................................21
Deel 4 ‒ Conclusie ................................................................................................................................. 22
4.1 Is de verwerking van de persoonsgegevens door het kantoor legitiem? .............22
7. Bibliografie......................................................................................................................................... 24
Literatuurlijst ...................................................................................................................24
Wet- en regelgeving ........................................................................................................24
2
