https://pmpartners.nl/voor-wie/zorg/
Privacy Impact Assessment
Inleiding ..................................................................................................................................... 2
Deel 1 - Vragenlijst .................................................................................................................. 2
1.1 Wie heeft toegang tot gegevens/informatie? ............................................................ 2
1.2 Gebruiker of beheerder?.............................................................................................. 3
,Linn Chong, 694029 ROREVT2F Sophie van der Laan, 693125
1.3 ICT-feiten........................................................................................................................ 3
1.4 Veiligheidsrisico's bij ICT-feiten .................................................................................. 3
1.5 Technisch en/of organisatorisch .................................................................................11
1.6 Grafisch overzicht ........................................................................................................ 13
Deel 2 - Het juridische kader ................................................................................................ 17
2.1 Vindplaatsen recht op de privacy .............................................................................. 17
2.2 Invoering AVG .............................................................................................................. 18
2.3 Verwerking persoonsgegevens ................................................................................. 18
Deel 3 - De beoordeling........................................................................................................ 20
3.1 Doel verzameling gegevens ...................................................................................... 20
3.2 Omschrijving doeleinden ........................................................................................... 20
3.3 Grondslag AVGIs de verwerking te baseren op ten minste één grondslag die
de AVG noemt? Leg uit. .................................................................................................... 21
3.4 verdere verwerking persoonsgegevens ................................................................... 21
3.5 Toereikend, ter zake dienend en niet bovenmatig ................................................. 21
3.6 Verwerking van bijzondere persoonsgegevens ..................................................... 23
3.7 Bewaren gegevens ..................................................................................................... 23
3.8 Passende beveiliging gegevens ............................................................................... 24
Deel 4 – Conclusie ................................................................................................................ 24
4.1 Legitiem ........................................................................................................................ 24
Deel 5 – Bewustwording....................................................................................................... 25
5.1 Verwerken online data ............................................................................................... 25
Deel 6 – reflectie .................................................................................................................... 26
6.1 OnderdeneWelke onderdelen van de PIA heb je voor je rekening genomen? . 26
6.2 Wat heb je inhoudelijk van de PIA geleerd, zowel van het ICT-deel als het
juridische deel? En wat kan beter? ................................................................................. 26
6.3 Wat heb je uit de gehele PIA geleerd en hoe verhoudt dit zich tot de
vastgestelde doelen van week 1? ................................................................................... 27
6.4 Hoe is de samenwerking verlopen? Zijn er verbeterpunten? .............................. 28
Literatuurlijst: .......................................................................................................................... 25
PAGINA 1
, Linn Chong, 694029 ROREVT2F Sophie van der Laan, 693125
Inleiding
Dit verslag hebben wij gezamenlijk gemaakt. In dit verslag gaan we aan de slag met
een casus betreft een Atletiekvereniging. Hier gaan wij in op de veiligheid van de
gegevensverwerking. Dit doen we uit het oogpunt van de ICT en uit het oogpunt van
het recht. In deel 1 gaan we vooral aan de slag met het ICT-gedeelte. In deel 2 en
deel 3 zijn we meer bezig met het juridische gedeelte. In deel 4 concluderen we kort
onze bevindingen uit deel 2 en 3. Ten slotte zullen we in deel 5 en deel 6
terugblikken op wat we hebben geleerd, hoe de samenwerking verliep en wat plus-
en minpunten waren.
Deel 1 - Vragenlijst
In dit deel gaan we aan de slag met ICT. We bekijken de casus vanuit de ICT. Dit
doen we door de ICT-feiten uit de casus te halen en kort te benoemen wat deze
feiten inhouden. Vervolgens hebben we schematisch uitgewerkt welke risico's er
verbonden zitten aan de ICT-feiten en welk advies we geven aan de vereniging om
het gebruik van de ICT-feiten zo veilig mogelijk te houden/maken. Daarna stellen we
schematisch op of een ICT-feit technische of organisatorische context hoort.
1.1 WIE HEEFT TOEGANG TOT GEGEVENS/INFORMATIE?
Welke (rechts-)personen hebben toegang tot de gegevens/informatie?
De (rechts-)personen in deze casus die toegang hebben tot de
gegevens/informatie zijn de Atletiekvereniging BVG, Bits&Byts, DAKA en de
leden. De atletiekvereniging BVG, Bits&Byts en DAKA zijn rechtspersonen,
omdat het organisaties zijn die als juridische eenheid werken en eigen rechten en
plichten hebben.
- De atletiekvereniging is een commerciële partij. De vereniging heeft toegang
tot informatie/gegevens van de leden. Zij gebruiken deze gegevens
uitsluitend voor het verwezenlijken van de doelstelling van de vereniging en
andere normale verenigingsactiviteiten zoals automatische incasso van
lidmaatschapsgeld, contact over verenigingsactiviteiten en inschaling op
niveau van voor sportactiviteiten.
- DAKA is een commerciële partij.1 DAKA heeft toegang tot
gegevens/informatie doordat zij beschikt over het geactualiseerde
ledenbestand, waarin het soort lidmaatschap en andere gegevens van de
leden staan. DAKA gebruikt deze gegevens om gepersonaliseerde
advertenties versturen, zodat de leden uitsluitend advertenties voor producten
ontvangen die zij echt nodig hebben.
- Bits&Byts is de beheerder van de data-servers waar de ledenbestanden zijn
opgeslagen en hebben zo toegang tot gegevens en informatie.
- Leden van de vereniging hebben toegang tot hun eigen gegevens.
1 Zorgvuldig ICT-gebruik, blz. 153 7e druk
PAGINA 2
Privacy Impact Assessment
Inleiding ..................................................................................................................................... 2
Deel 1 - Vragenlijst .................................................................................................................. 2
1.1 Wie heeft toegang tot gegevens/informatie? ............................................................ 2
1.2 Gebruiker of beheerder?.............................................................................................. 3
,Linn Chong, 694029 ROREVT2F Sophie van der Laan, 693125
1.3 ICT-feiten........................................................................................................................ 3
1.4 Veiligheidsrisico's bij ICT-feiten .................................................................................. 3
1.5 Technisch en/of organisatorisch .................................................................................11
1.6 Grafisch overzicht ........................................................................................................ 13
Deel 2 - Het juridische kader ................................................................................................ 17
2.1 Vindplaatsen recht op de privacy .............................................................................. 17
2.2 Invoering AVG .............................................................................................................. 18
2.3 Verwerking persoonsgegevens ................................................................................. 18
Deel 3 - De beoordeling........................................................................................................ 20
3.1 Doel verzameling gegevens ...................................................................................... 20
3.2 Omschrijving doeleinden ........................................................................................... 20
3.3 Grondslag AVGIs de verwerking te baseren op ten minste één grondslag die
de AVG noemt? Leg uit. .................................................................................................... 21
3.4 verdere verwerking persoonsgegevens ................................................................... 21
3.5 Toereikend, ter zake dienend en niet bovenmatig ................................................. 21
3.6 Verwerking van bijzondere persoonsgegevens ..................................................... 23
3.7 Bewaren gegevens ..................................................................................................... 23
3.8 Passende beveiliging gegevens ............................................................................... 24
Deel 4 – Conclusie ................................................................................................................ 24
4.1 Legitiem ........................................................................................................................ 24
Deel 5 – Bewustwording....................................................................................................... 25
5.1 Verwerken online data ............................................................................................... 25
Deel 6 – reflectie .................................................................................................................... 26
6.1 OnderdeneWelke onderdelen van de PIA heb je voor je rekening genomen? . 26
6.2 Wat heb je inhoudelijk van de PIA geleerd, zowel van het ICT-deel als het
juridische deel? En wat kan beter? ................................................................................. 26
6.3 Wat heb je uit de gehele PIA geleerd en hoe verhoudt dit zich tot de
vastgestelde doelen van week 1? ................................................................................... 27
6.4 Hoe is de samenwerking verlopen? Zijn er verbeterpunten? .............................. 28
Literatuurlijst: .......................................................................................................................... 25
PAGINA 1
, Linn Chong, 694029 ROREVT2F Sophie van der Laan, 693125
Inleiding
Dit verslag hebben wij gezamenlijk gemaakt. In dit verslag gaan we aan de slag met
een casus betreft een Atletiekvereniging. Hier gaan wij in op de veiligheid van de
gegevensverwerking. Dit doen we uit het oogpunt van de ICT en uit het oogpunt van
het recht. In deel 1 gaan we vooral aan de slag met het ICT-gedeelte. In deel 2 en
deel 3 zijn we meer bezig met het juridische gedeelte. In deel 4 concluderen we kort
onze bevindingen uit deel 2 en 3. Ten slotte zullen we in deel 5 en deel 6
terugblikken op wat we hebben geleerd, hoe de samenwerking verliep en wat plus-
en minpunten waren.
Deel 1 - Vragenlijst
In dit deel gaan we aan de slag met ICT. We bekijken de casus vanuit de ICT. Dit
doen we door de ICT-feiten uit de casus te halen en kort te benoemen wat deze
feiten inhouden. Vervolgens hebben we schematisch uitgewerkt welke risico's er
verbonden zitten aan de ICT-feiten en welk advies we geven aan de vereniging om
het gebruik van de ICT-feiten zo veilig mogelijk te houden/maken. Daarna stellen we
schematisch op of een ICT-feit technische of organisatorische context hoort.
1.1 WIE HEEFT TOEGANG TOT GEGEVENS/INFORMATIE?
Welke (rechts-)personen hebben toegang tot de gegevens/informatie?
De (rechts-)personen in deze casus die toegang hebben tot de
gegevens/informatie zijn de Atletiekvereniging BVG, Bits&Byts, DAKA en de
leden. De atletiekvereniging BVG, Bits&Byts en DAKA zijn rechtspersonen,
omdat het organisaties zijn die als juridische eenheid werken en eigen rechten en
plichten hebben.
- De atletiekvereniging is een commerciële partij. De vereniging heeft toegang
tot informatie/gegevens van de leden. Zij gebruiken deze gegevens
uitsluitend voor het verwezenlijken van de doelstelling van de vereniging en
andere normale verenigingsactiviteiten zoals automatische incasso van
lidmaatschapsgeld, contact over verenigingsactiviteiten en inschaling op
niveau van voor sportactiviteiten.
- DAKA is een commerciële partij.1 DAKA heeft toegang tot
gegevens/informatie doordat zij beschikt over het geactualiseerde
ledenbestand, waarin het soort lidmaatschap en andere gegevens van de
leden staan. DAKA gebruikt deze gegevens om gepersonaliseerde
advertenties versturen, zodat de leden uitsluitend advertenties voor producten
ontvangen die zij echt nodig hebben.
- Bits&Byts is de beheerder van de data-servers waar de ledenbestanden zijn
opgeslagen en hebben zo toegang tot gegevens en informatie.
- Leden van de vereniging hebben toegang tot hun eigen gegevens.
1 Zorgvuldig ICT-gebruik, blz. 153 7e druk
PAGINA 2
