schema_version: 1.0.0 name: Begrippenkader Model DPIA Rijksdienst en Pre-scan DPIA description: 'Het begrippenkader is een lijst met definities van begrippen die worden gebruikt in de DPIA en pre-scan DPIA. Het begrippenkader is ontwikkeld door J&V. ' urn: urn:nl:begrippenkaderdpia_pre-scandpia:3.0:begrippenkader:1.0.0 language: nl version_date: '2025-06-01' owners: - organization: Ministerie van Binnenlandse Zaken name: CIO Rijk email: privacy-ciorijk@minbzk.nl role: Privacy Adviseurs Rijk definitions: - id: onderbouwing_acceptatie_resterende_risico's term: Onderbouwing acceptatie resterende risico's category: DPIA - 17. Maatregelen definition: Onderbouwing acceptatie resterende risico's is een heldere en duidelijke beschrijving waarom de [resterende risico's voor betrokkenen] binnen een [DPIA] na het nemen van de [maatregelen] acceptabel zijn. metadata: kennisbronnen: - paragraaf 3.17, pagina 58, Model DPIA Rijksdienst redactionele_opmerking: Deze term en definitie zijn afgeleid uit informatie in het Model DPIA Rijksdienst. - id: cloudoplossing term: Cloudoplossing category: DPIA - 04. Technieken en methoden definition: Een cloudoplossing is een toepassing of dienst die gebruikmaakt van een groot netwerk van aan elkaar gekoppelde servers om alomtegenwoordige, gemakkelijke, on-demand netwerktoegang te bieden tot een gedeelde pool van configureerbare computerbronnen. metadata: toelichting: 'De computerbronnen zoals netwerken, servers, opslag, toepassingen en diensten, kunnen snel worden geleverd en vrijgegeven met minimale beheerinspanning of interactie met de serviceprovider. Functies die een cloudoplossing kan uitvoeren zijn bijvoorbeeld het opslaan en beheren van gegevens, het uitvoeren van toepassingen of het streamen van audiovisuele content. Door verwerking van inlog-gegevens verwerkt (vrijwel) iedere cloudoplossing persoonsgegevens.' kennisbronnen: - paragraaf 3.4, pagina 30, Model DPIA Rijksdienst;paragraaf 2, pagina 2, NIST redactionele_opmerking: Deze definitie is opgesteld aan de hand van informatie uit het Model DPIA Rijksdienst en de NIST. - id: recht_van_inzage term: Recht van inzage category: DPIA - 15. Rechten van de betrokkene definition: Het recht van inzage is een [recht van de betrokkene] waarbij de [betrokkene] het recht heeft om van de [verwerkingsverantwoordelijke] uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende [persoonsgegevens] en, wanneer dat het geval is, om inzage te verkrijgen van die [persoonsgegevens] en overige informatie. metadata: toelichting: Overige informatie waartoe inzicht kan worden verkregen zoals gesteld in artikel 15, AVG. kennisbronnen: - artikel 15, lid 1, AVG - id: lijst_edpb_geautomatiseerde_besluitvorming term: 'Lijst EDPB: Geautomatiseerde besluitvorming' category: Pre-scan DPIA - E. Lijst EDPB definition: Geautomatiseerde besluitvorming is een criteria uit de [Lijst EDPB] m.b.t. een [gegevensverwerking persoonsgegevens] die gericht is op het nemen van beslissingen met betrekking tot [betrokkenen] waaraan voor de [natuurlijk persoon] rechtsgevolgen zijn verbonden of die de [natuurlijk persoon] op vergelijkbare wijze wezenlijk treffen. metadata: toelichting: 'De verwerking kan bijvoorbeeld leiden tot uitsluiting of discriminatie van natuurlijke personen. Verwerking met weinig of geen gevolg voor natuurlijke personen voldoet niet aan dit specifieke criterium.' kennisbronnen: - paragraaf 3Ba, pagina 11, Richtsnoeren EDPB;Vragenlijst, paragraaf E, Pre-scan DPIA redactionele_opmerking: Deze term volgt uit de Pre-scan DPIA, de definitie uit de Richtsnoeren EDPB. - id: verwerker term: Verwerker category: DPIA - 06. Betrokken partijen definition: Een verwerker is een [partij] die/dat ten behoeve van de [verwerkingsverantwoordelijke] [persoonsgegevens] verwerkt. metadata: toelichting: 'Dat betekent dat de verwerker persoonsgegevens verwerkt direct onder instructies van de verwerkingsverantwoordelijke. De verwerker is een persoon of organisatie buiten de organisatie van de verwerkingsverantwoordelijke. Een partij is alleen verwerker voor zover het verwerken van persoonsgegevens de primaire opdracht vanuit een andere organisatie is. En deze partij niet rechtstreeks onder het gezag van die organisatie valt. Als een onderdeel van de Rijksdienst of een organisatie buiten de Rijksdienst optreedt als verwerker in de zin van de AVG is dat onderdeel of die organisatie niet verantwoordelijk voor de DPIA. Wel is de verwerker verplicht de verwerkingsverantwoordelijke desgevraagd bijstand te verlenen. Veelal zal de betrokkenheid van de verwerker nodig zijn om de DPIA te kunnen uitvoeren. Een verwerker kan geen derde, sub-verwerker of verwerkingsverantwoordelijke zijn in dezelfde gegevensverwerking.' kennisbronnen: - artikel 4, lid 8, AVG redactionele_opmerking: De definitie is overgenomen uit de AVG, maar 'partij' is toegevoegd om naar het bovenliggend begrip te kunnen verwijzen. - id: persoon term: Persoon category: DPIA - 00. Algemeen definition: Een persoon is een [natuurlijk persoon] metadata: toelichting: Een persoon heeft een uniek identificerend nummer, en een naam. kennisbronnen: - Analyse team - id: rechtsgrond_gerechtvaardigd_belang term: Rechtsgrond gerechtvaardigd belang category: DPIA - 11. Rechtsgronden definition: Rechtsgrond gerechtvaardigd belang is een [rechtsgrond] waarbij de [gegevensverwerking persoonsgegevens] noodzakelijk is voor de behartiging van de gerechtvaardigde [belangen] van een [verwerkingsverantwoordelijke] of van een [derde], behalve wanneer de [belangen] of de grondrechten en de fundamentele vrijheden van de [betrokkene] die tot bescherming van [persoonsgegevens] nopen, zwaarder wegen dan die [belangen], met name wanneer de [betrokkene] een kind is. metadata: toelichting: Deze rechtsgrond is niet van toepassing op overheidsorganen en de gegevensverwerkingen die worden uitgevoerd in het kader van hun publieke taak. Overheidsorganen kunnen deze rechtsgrond alleen gebruiken voor gegevensverwerkingen in het kader van taken waarbij zij zich niet wezenlijk onderscheiden van private organisaties, zoals de beveiliging en bewaking van gebouwen. kennisbronnen: - artikel 6, lid 1, onder f, AVG redactionele_opmerking: Verwerking' is vervangen door 'gegevensverwerking' om naar het juiste begrip te kunnen verwijzen. alternatieve_spellingen: - Gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde - Noodzakelijk voor de behartiging van een gerechtvaardigd belang - id: lijst_ap_flexibel_cameratoezicht term: 'Lijst AP: Flexibel cameratoezicht' category: Pre-scan DPIA - D. Lijst AP definition: Flexibel cameratoezicht is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. het grootschalig en/of stelselmatig gebruik van flexibel cameratoezicht. metadata: toelichting: Voorbeelden van flexibel cameratoezicht zijn camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten. kennisbronnen: - pagina 3, Lijst AP - id: anti-discriminatietoets term: Anti-discriminatietoets category: DPIA - 16. Risico's voor betrokkenen definition: Een anti-discriminatietoets is een toets die wordt uitgevoerd om te beoordelen of [gegevensverwerkingen] leiden tot [discriminatie]. metadata: toelichting: 'In een anti-discriminatietoets wordt uiteengezet 1) of er sprake is van onderscheid en op basis waarvan; 2) waarom (voor welk doel) er onderscheid gemaakt wordt of gaat worden; 3) of er sprake is van direct of indirect onderscheid; 4) of deze vorm van onderscheid bij wet is toegestaan; 5) welke maatregelen er genomen worden om discriminatie te voorkomen of de gevolgen daarvan te mitigeren.' kennisbronnen: - paragraaf 3.16, pagina 54, Model DPIA Rijksdienst - id: internationale_doorgifte_geen_persoonsgegevens term: 'Internationale doorgifte: geen persoonsgegevens' category: Pre-scan DPIA - C. Internationale doorgiften definition: Internationale doorgifte van geen persoonsgegevens is een aanduiding van een [classificatie] van [internationale doorgifte] die aangeeft dat er geen doorgifte is van [persoonsgegevens] naar een [derde land] of internationale organisatie buiten de [EER]. metadata: kennisbronnen: - Vragenlijst, vraag 13, Pre-scan DPIA redactionele_opmerking: Deze term en definitie zijn afgeleid van het gebruik in de Pre-scan DPIA. - id: rechtsgrond_taak_van_algemeen_belang term: Rechtsgrond taak van algemeen belang category: DPIA - 11. Rechtsgronden definition: Rechtsgrond taak van algemeen belang is een [rechtsgrond] waarbij de verwerking noodzakelijk is voor de vervulling van een [taak van algemeen belang] of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de [verwerkingsverantwoordelijke] is opgedragen. metadata: toelichting: Hier geldt dat deze taak zal moeten blijken uit regelgeving die op de verwerkingsverantwoordelijke van toepassing is. Niet noodzakelijk is dat in de regelgeving expliciet is opgenomen dat ten behoeve van de vervulling van de wettelijke taak persoonsgegevens verwerkt mogen worden. Indien het noodzakelijk is om voor de uitvoering van de publieke taak persoonsgegevens te verwerken, kan de wettelijke grondslag voor de publieke taak ook worden beschouwd als grondslag voor de verwerking van persoonsgegevens. kennisbronnen: - artikel 6, lid 1, onder e, AVG alternatieve_spellingen: - Noodzakelijk voor de vervulling van een taak van algemeen belang - id: risicobeschrijving term: Risicobeschrijving category: DPIA - 16. Risico's voor betrokkenen definition: Een risicobeschrijving beschrijft het specifieke karakter van het risico in de context van de DPIA. metadata: toelichting: 'In overweging 84 van de AVG wordt gesteld dat de oorsprong, de aard, het specifieke karakter en de ernst van het risico moeten worden beschreven. Het specifieke karakter is een beschrijving van hoe het risico zich in een bepaalde situatie manifesteert. ' kennisbronnen: - Overweging 84, AVG alternatieve_spellingen: - Beschrijving van het risico - id: doorgiftemechanisme_goedgekeurde_gedragscode term: 'Doorgiftemechanisme: goedgekeurde gedragscode' category: Pre-scan DPIA - C. Internationale doorgiften definition: Een goedgekeurde gedragscode is een [doorgiftemechanisme] die overeenkomstig artikel 40 van de AVG is goedgekeurd. De gedragscode moet zijn gecombineerd met bindende en afdwingbare toezeggingen van de [verwerkingsverantwoordelijke] of de [verwerker] in het [derde land] om de passende waarborgen, onder meer voor de [rechten van de betrokkenen], toe te passen. metadata: kennisbronnen: - artikel 46, lid 2, sub e, AVG; artikel 40, AVG - id: opslag_van_gegevens_on_premise term: 'Opslag van gegevens: on premise' category: Pre-scan DPIA - C. Internationale doorgiften definition: On premise is een aanduiding van de [opslag van gegevens] die aangeeft dat die opslag contractueel lokaal plaats vindt, niet in de cloud of in een remote server. metadata: kennisbronnen: - Vragenlijst, vraag 15, Pre-scan DPIA redactionele_opmerking: De definitie is afgeleid van het gebruik van de term in de Pre-scan DPIA. - id: hoog_risico term: Hoog risico category: DPIA - 16. Risico's voor betrokkenen definition: Een hoog risico is een [risico voor betrokkenen] met een hoog [risiconiveau]. metadata: kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van het gebruik van de term in het Model DPIA Rijksdienst. alternatieve_spellingen: - Hoog risiconiveau - id: verwerkingsdoeleinde term: Verwerkingsdoeleinde category: DPIA - 05. Verwerkingsdoeleinden definition: Het verwerkingsdoeleinde is het resultaat dat wordt beoogd met een [gegevensverwerking persoonsgegevens]. Een verwerkingsdoeleinde is altijd welbepaald, uitdrukkelijk omschreven en gerechtvaardigd. metadata: toelichting: Per gegevensverwerking is er één verwerkingsdoeleinde van toepassing, waaronder de gehele gegevensverwerking plaatsvindt. Dit is het primaire verwerkingsdoeleinde. Als er een ander verwerkingsdoeleinde ontstaat waarvoor de gegevens ook moeten worden verwerkt, is dat een andere gegevensverwerking. voorbeelden: - Beveiligen van gebouwen en objecten, behandelen van personeelszaken, opsporen van strafbare feiten, direct marketing, het innen van vorderingen, het doen van leveringen en bestellingen, identificatie en authenticatie, het voorbereiden en nemen van Awb-besluiten en het behandelen van geschillen, voldoen aan verzoek van de betrokkene om informatie te geven, voldoen aan verzoek van de betrokkene om tot betaling over te gaan en te waarborgen dat de betaling bij betrokkene aan komt, het aanvragen van een verblijfsvergunning voor een minderjarig kind. kennisbronnen: - artikel 5, lid 1, onder b, AVG;paragraaf 3.5, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de beschrijving in de AVG en het gebruik van de term in het Model DPIA Rijksdienst. Als een gegevensverzameling voor meerdere doeleinden wordt verwerkt en er dus ook meerdere rechtsgronden zijn, dan beschouwen we dit als verschillende gegevensverwerkingen. meervoudsvormen: - Verwerkingsdoeleinden alternatieve_spellingen: - Doeleinde - doel - doel van de verwerking - id: organisatorische_activiteit_met_dpia-verplichting_o.b.v._lijst_ap_of_edpb term: Organisatorische activiteit met DPIA-verplichting o.b.v. lijst AP of EDPB category: Pre-scan DPIA - D. Lijst AP definition: Een organisatorische activiteit met DPIA-verplichting op basis van de [lijst AP] of de [lijst EDPB] is van toepassing wanneer een [partij] verplicht is een [DPIA] op te stellen voor een specifieke [organisatorische activiteit] omdat er tenminste één gegevensverwerking uit de Lijst AP plaats vindt; of tenminste twee criteria uit de Lijst EDPB gelden. metadata: kennisbronnen: - info, Pre-scan DPIA redactionele_opmerking: Deze definitie is afgeleid van het gebruik in de Pre-scan DPIA. - id: geïdentificeerde_natuurlijk_persoon term: Geïdentificeerde natuurlijk persoon category: DPIA - 02. Persoonsgegevens definition: Een geïdentificeerde natuurlijk persoon is een [identificeerbare natuurlijk persoon] wiens identiteit al is vastgesteld. metadata: kennisbronnen: - artikel 4, lid 1, AVG redactionele_opmerking: Deze definitie staat niet letterlijk in de AVG, maar wordt afgeleid uit de gegeven informatie. - id: hoge_kans term: Hoge kans category: DPIA - 16. Risico's voor betrokkenen definition: Een hoge kans is een aanduiding dat de [kans op optreden risico voor betrokkenen] hoog is. metadata: kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van het gebruik van de term in het Model DPIA Rijksdienst. - id: categorie_bijzondere_persoonsgegevens term: Categorie bijzondere persoonsgegevens category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Een categorie bijzondere persoonsgegevens is een [classificatie] van de categorie waartoe een [bijzonder persoonsgegeven] behoort. metadata: toelichting: 'In de AVG is een limitatieve opsomming opgenomen van bijzondere persoonsgegevens in artikel 9 lid 1: Ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, gegevens met betrekking tot seksueel gedrag of seksuele gerichtheid.' kennisbronnen: - paragraaf 3.2, pagina 23, Model DPIA Rijksdienst;artikel 9, lid 1, AVG redactionele_opmerking: Deze definitie is afgeleid uit de informatie in de AVG, die is overgenomen in het model DPIA Rijksdienst. alternatieve_spellingen: - Type bijzonder persoonsgegeven; Bijzondere categorie van persoonsgegevens; categorie bijzonder persoonsgegeven; categorie bijzondere persoonsgegevens - id: categorie_gewone_persoonsgegevens_demografische_gegevens term: 'Categorie gewone persoonsgegevens: Demografische gegevens' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Demografische gegevens is een [categorie gewone persoonsgegevens] met [persoonsgegevens] over demografie. metadata: toelichting: Dit zijn gegevens die worden gebruikt om statistieken te maken over (delen van) de bevolking. Hierbij gebruikt men vaak kenmerken van personen zoals leeftijd, geslacht, gewicht, postcode, burgerlijke staat, hoogst genoten opleiding et cetera. Dit noemen we demografische kenmerken. Deze kenmerken zijn zelf geen bijzondere persoonsgegevens, tenzij ze indirect iets zeggen over gevoelige of bijzondere kenmerken zoals etniciteit. voorbeelden: - Geslacht, leeftijd, woonplaats, burgerlijke staat, opleidingsniveau, moedertaal. kennisbronnen: - Vragenlijst, vraag 7, Pre-scan DPIA - id: verstrekker term: Verstrekker category: DPIA - 06. Betrokken partijen definition: Een verstrekker is een [partij] die/dat [persoonsgegevens] verstrekt aan een andere [partij]. metadata: toelichting: 'Het gaat hier dus om de verstrekking van gegevens van de ene verwerkingsverantwoordelijke aan een andere verwerkingsverantwoordelijke. Alleen een verwerkingsverantwoordelijke kan de rol van verstrekker krijgen.' kennisbronnen: - paragraaf 3.6, pagina 35, Model DPIA Rijksdienst redactionele_opmerking: De definitie is overgenomen uit het Model DPIA Rijksdienst, maar 'partij' is toegevoegd om naar het bovenliggend begrip te kunnen verwijzen. - id: doorgiftemechanisme_standaard_contractsbepaling term: 'Doorgiftemechanisme: standaard contractsbepaling' category: Pre-scan DPIA - C. Internationale doorgiften definition: Een standaard contractsbepaling is een [doorgiftemechanisme] in de vorm van een contractuele clausule die passende waarborgen voor gegevensbescherming garandeert, vooraf goedgekeurd door de Europese Commissie. metadata: toelichting: Het gaat hier om standaardbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld, of door een toezichthoudende autoriteit zijn vastgesteld en volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd door de Commissie. kennisbronnen: - Standard Contractual Clauses (SCC), Europese Commissie; artikel 46, lid 2, sub c, AVG; artikel 46, lid 2, sub d, AVG; Uitvoeringsbesluit SCC redactionele_opmerking: Deze definitie is afgeleid van de beschrijving op de website van de Europese Commissie en het uitvoeringsbesluit betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen. alternatieve_spellingen: - Modelcontractbepaling; Standaard contractsbepaling; - id: gegevensverwerking_lijst_ap term: Gegevensverwerking Lijst AP category: Pre-scan DPIA - D. Lijst AP definition: Een gegevensverwerking Lijst AP is een aanduiding van het soort [gegevensverwerking persoonsgegevens] dat plaatsvindt in de [organisatorische activiteit persoonsgegevens] indien dit overeenkomt met een gegevensverwerking uit de [lijst AP] - id: profilering term: Profilering category: DPIA - 04. Technieken en methoden definition: Profilering is elke vorm van geautomatiseerde verwerking van [persoonsgegevens] waarbij aan de hand van [persoonsgegevens] bepaalde persoonlijke aspecten van een [natuurlijk persoon] worden geëvalueerd, met name met de bedoeling de beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. metadata: toelichting: Profilering is een procedure die een reeks statistische gevolgtrekkingen kan omvatten. Profilering wordt vaak toegepast om voorspellingen over mensen te doen door gebruik te maken van gegevens uit verschillende bronnen om een persoon eigenschappen toe te kennen op basis van de kenmerken van anderen die in statistisch opzicht vergelijkbaar zijn. voorbeelden: - 'Er kan sprake zijn van profilering wanneer: * Op basis van een combinatie van persoonsgegevens, zoals het automerk in combinatie met de leeftijd van de betrokkene wordt besloten iemand extra te controleren * Gebruik wordt gemaakt van de gegevens die websitebezoekers achterlaten om de doelgroep van de website mee vast te stellen. Denk bijvoorbeeld aan een overheidsorganisatie die persoonsgegevens gebruikt om risicoprofielen op te stellen van burgers om daar conclusies aan te verbinden.' kennisbronnen: - artikel 4, lid 4, AVG - id: dpia_onderwerp_betrokken_partijen term: 'DPIA onderwerp: betrokken partijen' category: DPIA - 06. Betrokken partijen definition: Betrokken partijen is een [DPIA onderwerp] dat elke [betrokken partij bij gegevensverwerking] beschrijft, bij de [gegevensverwerkingen] waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.6, Model DPIA Rijksdienst - id: lijst_ap_observatie_en_beïnvloeding_van_gedrag term: 'Lijst AP: Observatie en beïnvloeding van gedrag' category: Pre-scan DPIA - D. Lijst AP definition: Observatie en beïnvloeding van gedrag is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. grootschalige [gegevensverwerking persoonsgegevens] van [persoonsgegevens] waarbij op stelselmatige wijze via geautomatiseerde verwerking gedrag van [natuurlijke personen] geobserveerd of beïnvloed, dan wel gegevens daarover worden verzameld en/of vastgelegd, inclusief gegevens die voor het [verwerkingsdoeleinde] online behavioural advertising worden verzameld. metadata: kennisbronnen: - pagina 3, Lijst AP redactionele_opmerking: De definitie is overgenomen uit de Lijst AP, waarbij 'verwerking' en 'doel' zijn vervangen door resp. 'gegevensverwerking' en 'verwerkingsdoeleinde, om zo naar de voorkeurstermen van deze begrippen te verwijzen. - id: versie term: Versie category: DPIA - 00. Algemeen definition: Een versie is een afzonderlijk [informatieobject] uit een reeks die door opeenvolgende wijzigingen is ontstaan. metadata: toelichting: Een versie van bijvoorbeeld een DPIA is een afzonderlijk informatieobject. Dit omdat versies kunnen verschillen en wel zo dat er - door eerdere wijziging - belangrijke informatie verloren kan zijn gegaan. kennisbronnen: - Versie, NA - id: rechtsgrond term: Rechtsgrond category: DPIA - 11. Rechtsgronden definition: Een rechtsgrond is een voorwaarde waaraan moet zijn voldaan voordat een [gegevensverwerking persoonsgegevens] als rechtmatig kan worden beschouwd. metadata: toelichting: Per gegevensverwerking is er één rechtsgrond van toepassing, waaronder de gehele gegevensverwerking plaatsvindt. Dit is de sterkste rechtsgrond die van toepassing is. kennisbronnen: - artikel 6, lid 1, AVG redactionele_opmerking: 'Deze definitie is afgeleid uit de beschrijving in de AVG. Het model DPIA heeft het over rechtsgronden per categorie persoonsgegevens in de verwerking, maar dat is niet correct. De rechter heeft dit inmiddels ook bekrachtigd: er is slechts één rechtsgrond van toepassing per doel van de gegevensverwerking. Als een gegevensverzameling voor meerdere doeleinden wordt verwerkt en er ook meerdere rechtsgronden zijn, dan beschouwen we dit als verschillende gegevensverwerkingen.' meervoudsvormen: - Rechtsgronden alternatieve_spellingen: - Rechtsgrondslag - juridische rechtsgrond - juridische grondslag - grondslag - id: categorie_bijzondere_persoonsgegevens_persoonsgegevens_waaruit_religieuze_of_levensbeschouwelijke_overtuigingen_blijken term: 'Categorie bijzondere persoonsgegevens: Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken' category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken zijn [bijzondere persoonsgegevens] waaruit religieuze of levensbeschouwelijke overtuigingen blijken. metadata: toelichting: Dit omvat alle gegevens waaruit direct of indirect een religieuze of levensbeschouwelijke overtuiging is af te leiden. Een religieuze of levensbeschouwelijke overtuiging is een samenhangend stelsel van opvattingen over het leven, de mens en de wereld dat voor een persoon van wezenlijk belang is en richting geeft aan diens handelen. voorbeelden: - Lidmaatschap van een kerk, lidmaatschap van het humanistisch verbond, lidmaatschap van een organisatie die verbonden is aan een religieuze of levensbeschouwelijke beweging. kennisbronnen: - artikel 9, lid 1, AVG - id: digitale_dienst_voor_personen_jonger_dan_18_jaar term: Digitale dienst voor personen jonger dan 18 jaar category: Pre-scan DPIA - J. Kinderrechten definition: Een digitale dienst voor personen jonger dan 18 jaar is een [classificatie] die aangeeft of een [digitale dienst] wordt aangeboden die primair bedoeld is voor gebruik door personen jonger dan 18 jaar. metadata: kennisbronnen: - Vragenlijst, paragraaf J, Pre-scan DPIA redactionele_opmerking: Dit begrip volgt uit de Pre-scan DPIA en is aangescherpt in overleg met het PAR team. - id: voorafgaande_raadpleging_ap term: Voorafgaande raadpleging AP category: DPIA - 17. Maatregelen definition: Voorafgaande raadpleging is wanneer de [verwerkingsverantwoordelijke] voorafgaand aan de [gegevensverwerking persoonsgegevens] de [Autoriteit Persoonsgegevens] raadpleegt. Dit is verplicht wanneer uit de DPIA blijkt dat de [gegevensverwerking persoonsgegevens] een [hoog risico] zou opleveren, ondanks de genomen [maatregelen], dus bij een [DPIA met resterend hoog risico]. metadata: toelichting: Wanneer uit de DPIA voor overheidsverwerkingen blijkt dat de gegevensverwerking een hoog risico oplevert en de verwerkingsverantwoordelijke er niet in slaagt om maatregelen te nemen om de resterende risico’s te beperken tot een acceptabel niveau, moet de AP voorafgaande aan de gegevensverwerking worden geraadpleegd. kennisbronnen: - artikel 36, lid 1, AVG;Model DPIA Rijksdienst redactionele_opmerking: De definitie komt grotendeels uit de AVG. Echter, in artikel 36, lid 1, AVG staat "Wanneer uit een gegevensbeschermingseffectbeoordeling krachtens artikel 35 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit." Dit is onjuist, daar genomen maatregelen in acht dienen te worden genomen bij de bepaling of een hoog risico overblijft. De definitie is hierop aangepast op basis van de informatie in het Model DPIA Rijksdienst. - id: dpia_versie term: DPIA versie category: DPIA - 00. Algemeen definition: Een DPIA versie is de [versie] van de DPIA, waarop de beschreven informatie betrekking heeft. metadata: kennisbronnen: - pagina 2, Rapportagemodel DPIA Rijksdienst - id: nationaal_identificatienummer term: Nationaal identificatienummer category: DPIA - 02. Persoonsgegevens definition: Een nationaal identificatienummer is een nummer dat ter identificatie van een persoon bij wet is voorgeschreven. metadata: toelichting: 'Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, mag uitsluitend worden gebruikt ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald. Het kan hier gaan om nationale identificatienummers of enige andere identificator van algemene aard.' voorbeelden: - Burgerservicenummer (BSN), BIG-nummer (beroepen in de individuele gezondheidszorg), Vreemdelingennummer, Onderwijsnummer, Strafrechtketennummer. kennisbronnen: - artikel 46, lid 1, UAVG;artikel 87, AVG redactionele_opmerking: De definitie volgt uit de UAVG. Vanuit de AVG volgt dat wanneer wordt gesproken over 'nationale identificatienummers', niet alléén 'nationale identificatienummers' worden bedoeld. meervoudsvormen: - Nationale identificatienummers alternatieve_spellingen: - Wettelijk identificatienummer - id: fundamental_rights_impact_assessment term: Fundamental Rights Impact Assessment category: Pre-scan DPIA - G. Algoritmes/AI definition: 'Een Fundamental Rights Impact Assessment (FRIA) is een in de toekomst verplicht instrument, afkomstig uit de AI Act, om bij AI-systemen met een hoog risico voorafgaand aan de ingebruikname de risico''s voor fundamentele rechten van personen in kaart te brengen. ' metadata: toelichting: 'De fundamentele rechten kunnen worden ondergebracht in een aantal categorieën, zoals Privacy, Vrijheid, Gelijkheid, Solidariteit, Burgerschap en Rechtspleging. Binnen elke categorie zijn er meerdere fundamentele rechten die kunnen worden geschonden door implementatie van een algoritme met hoog risico. Denk hierbij aan het recht op onderwijs, het recht op non-discriminatie, het kiesrecht, recht op geheime communicatie, toegang tot sociale zekerheid of het vermoeden van onschuld. Op dit moment vind de toetsing plaats via de verplichte IAMA.' kennisbronnen: - AI Act redactionele_opmerking: 'Omdat een FRIA nog niet naar voren komt in de huidige pre-scan DPIA is deze nog niet meegenomen in het gegevensmodel. Dit instrument wordt verplicht met ingang van 2 augustus 2026. ' - id: rechtsgrond_toestemming term: Rechtsgrond toestemming category: DPIA - 11. Rechtsgronden definition: Rechtsgrond toestemming is een [rechtsgrond] waarbij de [betrokkene] toestemming heeft gegeven voor de verwerking van zijn [persoonsgegevens] voor een of meer specifieke doeleinden. metadata: toelichting: 'In veel situaties zal de rechtsgrond toestemming niet kunnen dienen als rechtsgrond voor gegevensverwerkingen door overheidsorganen. Een belangrijke reden hiervoor is dat toestemming vrijelijk gegeven moet kunnen worden door de betrokkene. Wanneer de gegevensverwerking plaatsvindt tussen overheidsorganisatie en burger of tussen werkgever en werknemer, dan wordt over het algemeen aangenomen dat de burger/werknemer niet volledig vrij toestemming kan geven vanwege die hiërarchische verhouding. Wanneer een kind jonger is dan 16 jaar is een verwerking slechts rechtmatig als de toestemming of machtiging tot toestemming wordt verleend door de wettelijke vertegenwoordiger van het kind.' kennisbronnen: - artikel 6, lid 1, onder a, AVG - id: etniciteit term: Etniciteit category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: 'Een etniciteit is een sociaal-culturele identiteit met gezamenlijke kenmerken als nationaliteit, verwantschap, religie, taal, fysieke kenmerken, cultuur of geschiedenis en de daaraan ontleende normen en waarden die een groep mensen of een aantal bevolkingsgroepen verbindt.' metadata: kennisbronnen: - RapportMotie21 - id: gegevensverwerking term: Gegevensverwerking category: DPIA - 03. Gegevensverwerkingen definition: Een gegevensverwerking is een bewerking of een geheel van bewerkingen met betrekking tot gegevens of een geheel van gegevens. metadata: toelichting: 'De bewerking of het geheel van bewerkingen wordt al dan niet uitgevoerd via geautomatiseerde procedés. Voorbeelden zijn het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Een gegevensverwerking heeft in de context van de DPIA altijd betrekking op een gegevensverwerking persoonsgegevens.' kennisbronnen: - Analyse team - id: publiek_belang term: Publiek belang category: DPIA - 11. Rechtsgronden definition: 'Een publiek belang is een [belang]. Er is sprake van een publiek belang indien de overheid zich de behartiging van een [maatschappelijk belang] aantrekt op grond van de overtuiging dat dit [belang] anders niet goed tot zijn recht komt.' metadata: toelichting: Het zich aantrekken van maatschappelijke belangen als publiek belang betekent derhalve dat de overheid het tot doelstelling van haar beleid maakt om dit belang te behartigen. kennisbronnen: - paragraaf 1.2, pagina 20, WRR 56 alternatieve_spellingen: - Algemeen belang - id: internationale_doorgifte_bijzondere_persoonsgegevens_bijzondere_persoonsgegevens term: 'Internationale doorgifte bijzondere persoonsgegevens: bijzondere persoonsgegevens' category: Pre-scan DPIA - C. Internationale doorgiften definition: 'Internationale doorgifte bijzondere persoonsgegevens: bijzondere persoonsgegevens is een aanduiding van een [classificatie] van [internationale doorgifte] die aangeeft dat er geen doorgifte is van [bijzondere persoonsgegevens] naar een [derde land] of internationale organisatie buiten de [EER].' metadata: kennisbronnen: - Vragenlijst, vraag 19, Pre-scan DPIA redactionele_opmerking: Deze term en definitie zijn afgeleid van het gebruik in de Pre-scan DPIA. - id: categorie_betrokkenen term: Categorie betrokkenen category: DPIA - 02. Persoonsgegevens definition: Een categorie betrokkenen is een groepering van [betrokkenen]. metadata: voorbeelden: - Medewerker, onderwerp van de gegevens, iedereen die geraakt wordt door bekendmaking van de gegevens. kennisbronnen: - paragraaf 3.2, pagina 26, Model DPIA Rijksdienst redactionele_opmerking: De definitie van deze term is afgeleid van het gebruik in het Model DPIA Rijksdienst. alternatieve_spellingen: - Groep betrokkenen - id: consultatie_van_betrokkenen term: Consultatie van betrokkenen category: DPIA - 07. Belangen definition: Consultatie van betrokkenen is het vragen van [betrokkenen] of hun vertegenwoordigers naar hun mening over de [gegevensverwerking persoonsgegevens]. metadata: toelichting: Consulteer waar passend de personen van wie persoonsgegevens worden verwerkt, de organisaties die hen vertegenwoordigen of andere belanghebbenden. Denk hierbij aan branche- en belangenorganisaties. Het betrekken van belanghebbenden stelt de uitvoerders van de DPIA in staat om de zorgen die spelen in kaart te brengen en tegelijkertijd transparant te zijn over de persoonsgegevens die verwerkt zullen gaan worden en de redenen daarvoor. Voor zover persoonsgegevens van eigen medewerkers worden verwerkt dient de departementale of groepsondernemingsraad te worden betrokken. kennisbronnen: - paragraaf 3.7, pagina 38, Model DPIA Rijksdienst;paragraaf 1.6, pagina 10, Model DPIA Rijksdienst redactionele_opmerking: Het begrip en de toelichting volgen uit paragraaf 1.6, Model DPIA Rijksdienst. De definitie is opgesteld op basis van de informatie in paragraaf 3.7, Model DPIA Rijksdienst. meervoudsvormen: - Consultaties van betrokkenen - id: lage_impact term: Lage impact category: DPIA - 16. Risico's voor betrokkenen definition: Een lage impact is een aanduiding dat een [risico voor betrokkenen] een lage [impact] heeft wanneer deze intreedt. metadata: kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van het gebruik van de term in het Model DPIA Rijksdienst. - id: dpia_onderwerp term: DPIA onderwerp category: DPIA - 00. Algemeen definition: Een DPIA onderwerp is een aspect dat expliciet wordt beschouwd binnen een [DPIA]. metadata: toelichting: In het Model DPIA Rijksdienst en het Rapportagemodel DPIA Rijksdienst wordt voor ieder DPIA onderwerp een aparte paragraaf gebruikt. kennisbronnen: - hoofdstuk 2, Model DPIA Rijksdienst redactionele_opmerking: Dit begrip en de definitie zijn afgeleid uit de informatie in het Model DPIA Rijksdienst. - id: categorie_gevoelige_persoonsgegevens term: Categorie gevoelige persoonsgegevens category: Pre-scan DPIA - B. Gegevensverwerkingen definition: 'Een categorie gevoelige persoonsgegevens is een [categorie persoonsgegevens] waarbij het [Classificatie type persoonsgegevens] aangeeft dat gevoelige persoonsgegevens worden verwerkt. ' metadata: kennisbronnen: - Vragenlijst, vraag 9, Pre-scan DPIA - id: categorie_gewone_persoonsgegevens_apparaat-_en_internetgegevens term: 'Categorie gewone persoonsgegevens: Apparaat- en internetgegevens' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Apparaat- en internetgegevens is een [categorie gewone persoonsgegevens] met [persoonsgegevens] over de gebruikte apparatuur en het gedrag van de betrokkene op internet. metadata: toelichting: Dit zijn gegevens waarmee kan worden bepaald wat een betrokkene op internet heeft gedaan, gecommuniceerd of gelezen, op welk moment dat is gebeurd, vanaf welke locatie, en met welk apparaat. voorbeelden: - IP-adres, MAC-adres, metadata, locatiegegevens. kennisbronnen: - Vragenlijst, vraag 7, Pre-scan DPIA - id: rechtsgrond_vitaal_belang term: Rechtsgrond vitaal belang category: DPIA - 11. Rechtsgronden definition: Rechtsgrond vitaal belang is een [rechtsgrond] waarbij de verwerking noodzakelijk is om de [vitale belangen] van de [betrokkene] of van een andere [natuurlijk persoon] te beschermen. metadata: toelichting: Hiervan kan sprake zijn wanneer iemands leven of gezondheid in gevaar is en die persoon niet in staat is om toestemming te geven. kennisbronnen: - artikel 6, lid 1, onder d, AVG alternatieve_spellingen: - Noodzakelijk om de vitale belangen van de betrokkene of een ander te beschermen - id: proportionaliteit term: Proportionaliteit category: DPIA - 14. Noodzaak en evenredigheid definition: Proportionaliteit is een beginsel dat stelt dat een [gegevensverwerking persoonsgegevens] alleen is toegestaan als de indringendheid van de [gegevensverwerking persoonsgegevens] in een redelijke verhouding staat tot het [verwerkingsdoeleinde]. metadata: toelichting: 'Ter beoordeling van de proportionaliteit kunnen de volgende vragen worden gesteld: * Staat de inbreuk op de persoonlijke levenssfeer en de bescherming van de persoonsgegevens van de betrokkenen in evenredige verhouding tot de verwerkingsdoeleinden? * Is de gegevensverwerking van persoonsgegevens te verwachten en voorzienbaar voor de betrokkenen? * Hoe groot is het belang om de verwerkingsdoeleinden te bewerkstelligen? * Is de gegevensverwerking het meest effectieve middel om het doeleinde te bereiken?' kennisbronnen: - artikel 5, lid 4, VEU;paragraaf 3.14, pagina 48, Model DPIA Rijksdienst redactionele_opmerking: Het beginsel van proportionaliteit komt voort uit de VEU, maar wordt verder gespecificeerd in het Model DPIA Rijksdienst, specifiek voor gegevensverwerkingen van persoonsgegevens. alternatieve_spellingen: - Evenredigheid - id: organisatorische_activiteit_met_dtia-verplichting_en_overig_doorgiftemechanisme term: Organisatorische activiteit met DTIA-verplichting en overig doorgiftemechanisme category: Pre-scan DPIA - C. Internationale doorgiften definition: 'Een organisatorische activiteit met DTIA-verplichting en overig doorgiftemechanisme is een [organisatorische activiteit met DTIA-verplichting] en een [doorgiftemechanisme: overig mechanisme]' metadata: kennisbronnen: - Vragenlijst, vraag 18, Pre-scan DPIA redactionele_opmerking: 'Voor een organisatorische activiteit met DTIA-verplichting en een doorgiftemechanisme: overig mechanisme, moet worden vastgelegd om welk doorgiftemechanisme het dan precies gaat.' - id: categorie_gevoelige_persoonsgegevens_gegevens_die_betrekking_hebben_op_kwetsbare_groepen term: 'Categorie gevoelige persoonsgegevens: Gegevens die betrekking hebben op kwetsbare groepen' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Gegevens die betrekking hebben op kwetsbare groepen is een [categorie gevoelige persoonsgegevens] met [persoonsgegevens] over [kwetsbare groepen]. metadata: kennisbronnen: - Vragenlijst, vraag 9, Pre-scan DPIA - id: gezamenlijke_verwerkingsverantwoordelijke term: Gezamenlijke verwerkingsverantwoordelijke category: DPIA - 06. Betrokken partijen definition: Een gezamenlijke verwerkingsverantwoordelijke is een [verwerkingsverantwoordelijke] die met één of meer andere [verwerkingsverantwoordelijken] gezamenlijk de [verwerkingsdoeleinden] en middelen van de [gegevensverwerking persoonsgegevens] bepaalt. metadata: toelichting: 'Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, dan zijn zij gezamenlijke verwerkingsverantwoordelijken en moeten zij onderling vastleggen wie waarvoor verantwoordelijk en aansprakelijk is. Een belangrijk criterium voor de beoordeling of sprake is van gezamenlijke verwerkingsverantwoordelijkheid is het volgende: is het mogelijk voor het verwerkingsproces of processen die in deze DPIA worden beoordeeld om door te gaan zonder de samenwerking tussen de twee (of meer) organisaties? Wanneer sprake is van onlosmakelijke processen, dan is waarschijnlijk sprake van gezamenlijke verwerkingsverantwoordelijkheid. Het is dus niet automatisch zo dat twee verwerkingsverantwoordelijken op dezelfde gegevensverwerking ook gezamenlijk verwerkingsverantwoordelijk zijn. Het is wel zo dat een gezamenlijk verwerkingsverantwoordelijke ook een verwerkingsverantwoordelijke is.' kennisbronnen: - artikel 26, lid 1, AVG redactionele_opmerking: Deze definitie komt rechtstreeks uit de AVG, maar is herschreven om te kunnen verwijzen naar andere begrippen. De toelichting is op basis van informatie uit het Model DPIA Rijksdienst. - id: dpia_onderwerp_persoonsgegevens term: 'DPIA onderwerp: persoonsgegevens' category: DPIA - 02. Persoonsgegevens definition: Persoonsgegevens is een [DPIA onderwerp] dat de [persoonsgegevens] beschrijft waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.2, Model DPIA Rijksdienst - id: mogelijk_sprake_van_discriminatie_zou_geen_sprake_kunnen_zijn_van_discriminatie term: 'Mogelijk sprake van discriminatie: zou geen sprake kunnen zijn van discriminatie' category: DPIA - 16. Risico's voor betrokkenen definition: Zou geen sprake kunnen zijn van discriminatie is een aanduiding van [mogelijk sprake van discriminatie] die aangeeft dat er geen sprake kan zijn van [discriminatie] als gevolg van de [gegevensverwerkingen] waar een [DPIA] op toeziet. metadata: kennisbronnen: - paragraaf 3.16, pagina 54, Model DPIA Rijksdienst redactionele_opmerking: De term en definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst. - id: bron_tool/platform term: Bron tool/platform category: DPIA - 02. Persoonsgegevens definition: Bron tool/platform is een tool of platform vanuit waar [persoonsgegevens] worden gedeeld. metadata: kennisbronnen: - paragraaf 3.2, pagina 26, Model DPIA Rijksdienst redactionele_opmerking: De term en definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst. - id: dpia term: DPIA category: DPIA - 00. Algemeen definition: Een DPIA is een instrument om van een [organisatorische activiteit], waarbij [persoonsgegevens] worden verwerkt, de risico’s voor betrokkenen in kaart te brengen en te beoordelen in hoeverre de huidige [maatregelen] voldoen en welke aanvullende [maatregelen] genomen moeten worden om elk [risico voor betrokkenen] zoveel mogelijk te mitigeren. metadata: toelichting: "Hoewel een DPIA een verplichting is op basis van de AVG en voornamelijk\ \ ziet op het beoordelen van privacyrisico’s, dient een DPIA breder opgevat\ \ te worden.\n\nHet kan gaan om zowel voorgenomen als reeds actieve projecten,\ \ regelgeving en beleid. Normaliter wordt een DPIA uitgevoerd, voordat desbetreffende\ \ projecten, regelgeving of beleid actief zijn. Echter, hier wordt in de praktijk\ \ om uiteenlopende redenen van afgeweken. Daarom wordt in het Model en het Rapportagemodel\ \ niet gesproken over voorgenomen gegevensverwerkingen, projecten, regelgeving\ \ of beleid, maar is dit op neutrale wijze opgenomen als gegevensverwerking,\ \ project, regelgeving of beleid. Dit betekent echter niet dat het juridisch\ \ verantwoord is om een DPIA pas te starten of af te ronden als de verwerking\ \ van persoonsgegevens al is gestart. Artikel 35 lid 1 van de AVG noemt dat\ \ een DPIA uitgevoerd moet worden voordat gestart wordt met de verwerking van\ \ persoonsgegevens.\n\nHet doel van een DPIA is om bij de verwerking van persoonsgegevens\ \ een zo goed en duidelijk mogelijk beeld te hebben wat de risico’s zijn bij\ \ het verwerken van desbetreffende persoonsgegevens en welke risico mitigerende\ \ maatregelen genomen worden om die risico’s zoveel mogelijk te mitigeren. Daarnaast\ \ is de DPIA zo opgezet dat het beoordelen van deze onderwerpen stapsgewijs\ \ en gestructureerd plaatsvindt.\n\nBij het bepalen van passende maatregelen\ \ die genomen dienen te worden om de naleving van de privacyregelgeving aan\ \ te tonen, dienen ook de uitkomsten van de DPIA in acht te worden genomen.\n\ \nEen voltooide DPIA bestaat uit:\n\nA. Beschrijving algemene kenmerken gegevensverwerkingen:\ \ een beschrijving van de verwerkingen en de verwerkingsdoeleinden;\nB. Beoordeling\ \ rechtmatigheid gegevensverwerkingen: een beoordeling en onderbouwing van de\ \ rechtsgrond, de noodzaak, evenredigheid en verenigbaarheid van de verwerkingen\ \ in relatie tot de verwerkingsdoeleinden;\nC. Beschrijving en beoordeling risico’s\ \ voor betrokkenen: een beoordeling van de gevolgen en risico’s van de verwerkingen\ \ voor de rechten en vrijheden van de betrokkenen; en\nD. Beschrijving voorgenomen\ \ maatregelen: de voorgenomen maatregelen om deze gevolgen en risico’s van de\ \ verwerkingen aan te pakken.\n\nEen DPIA moet worden uitgevoerd:\n\n1. Bij\ \ de ontwikkeling van beleid en regelgeving waaruit verwerkingen van persoonsgegevens\ \ voortvloeien; of\n2. Wanneer sprake is van een verplichting op basis van departementaal\ \ beleid; of\n3. Wanneer er gebruik gemaakt wordt van een publieke cloudvoorziening\ \ in specifieke omstandigheden, zie voor meer informatie het cloudbeleid ; of\n\ 4. Bij gegevensverwerkingen van persoonsgegevens die waarschijnlijk een hoog\ \ risico inhouden voor de rechten en vrijheden van betrokkenen.\n\nHet laatste\ \ punt dient te worden beoordeeld aan de hand van de AVG en de DPIA-criteria\ \ die zijn opgesteld door de EDPB en de AP zoals hieronder nader toegelicht.\n\ \n**Algemene verordening gegevensbescherming (AVG)**\n\nEen DPIA zoals toegelicht\ \ onder paragraaf 1.1 is in ieder geval vereist in de volgende gevallen:\na.\ \ Een systematische en uitgebreide beoordeling van persoonlijke aspecten, die\ \ is gebaseerd op geautomatiseerde verwerking, en waarop besluiten worden gebaseerd\ \ waaraan rechtsgevolgen zijn verbonden of die de betrokkenen op vergelijkbare\ \ wijze wezenlijk treffen;\nb. Grootschalige verwerking van bijzondere categorieën\ \ van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen\ \ en strafbare feiten;\nc. Stelselmatige en grootschalige monitoring van openbaar\ \ toegankelijke ruimten;\nd. Wanneer de toezichthoudende autoriteit heeft geoordeeld\ \ dat een DPIA verplicht is.\n \n**Europees Comité voor gegevensbescherming\ \ (European Data Protection Board – EDPB)**\n\nDe EDPB heeft in aanvulling op\ \ bovenstaande punten criteria opgesteld aan de hand waarvan kan worden beoordeeld\ \ of sprake is van een hoog risico. Wanneer aan twee van de criteria wordt voldaan,\ \ dan is het waarschijnlijk verplicht om een DPIA uit te voeren. Wanneer aan\ \ één van de criteria wordt voldaan, dan moet beoordeeld worden of sprake is\ \ van een hoog risico, in welk geval het ook verplicht is om een DPIA uit te\ \ voeren. Wanneer wordt besloten geen DPIA uit te voeren, dan dient een beoordeling\ \ met onderbouwing schriftelijk plaats te vinden en moet deze worden vastgelegd.\n\ Wanneer een gegevensverwerking raakt aan grote politiek-bestuurlijke en maatschappelijke\ \ vraagstukken is een DPIA te allen tijde gewenst.\n\n**Autoriteit Persoonsgegevens\ \ (AP)**\n\nNaast de criteria van de EDPB, heeft de AP een lijst van gegevensverwerkingen\ \ opgesteld waarvoor het uitvoeren van een DPIA verplicht is.\n\nEen DPIA is\ \ niet verplicht in de volgende gevallen:\n\na. De verwerking vindt zijn rechtsgrond\ \ in een wettelijke verplichting of een taak van algemeen belang, en in het\ \ kader van het vaststellen van deze rechtsgrond al een DPIA is verricht;\n\ b. Wanneer de AP heeft geoordeeld dat een DPIA niet verplicht is.\n - Volgens\ \ de AP hoeft geen DPIA te worden uitgevoerd wanneer de gegevensverwerking waarschijnlijk\ \ geen hoog risico oplevert of sterk lijkt op een andere gegevensverwerking\ \ waarvoor al een DPIA is uitgevoerd.\n\nHoewel in het geval onder (a) een DPIA\ \ niet verplicht is, kan het toch wenselijk zijn om deze uit te voeren, als\ \ in de uitvoering nader invulling wordt gegeven aan zaken die op het niveau\ \ van de regelgeving niet aan de orde zijn geweest, bijvoorbeeld de keuze voor\ \ een bepaald ICT-systeem en bepaalde beveiligingsmaatregelen.\n\nEen DPIA kan\ \ betrekking hebben op een enkele soort gegevensverwerking. Een DPIA kan ook\ \ zien op een reeks vergelijkbare verwerkingen die vergelijkbare risico’s inhouden.\ \ Een DPIA hoeft zich dus niet te beperken tot een enkel proces, product of\ \ verwerkingsverantwoordelijke, bijvoorbeeld wanneer overheidsorganen een gemeenschappelijke\ \ applicatie of verwerkingsomgeving willen opzetten.\n\nOm te bepalen of een\ \ DPIA verplicht is kan gebruik gemaakt wordt van de Pre-scan DPIA of de tool\ \ in het register van verwerkingsactiviteiten." kennisbronnen: - paragraaf 1.1, pagina 4, Model DPIA Rijksdienst redactionele_opmerking: De definitie is afkomstig uit het Model DPIA Rijksdienst. Hierbij is 'projecten, regelgeving en beleid' vervangen door 'organisatorische activiteit' om de definitie vollediger te maken. 'Risico voor betrokkenen' is tweemaal volledig uitgeschreven om naar de juiste term in het begrippenkader te verwijzen. alternatieve_spellingen: - Privacy Impact Assessment (PIA) - gegevensbeschermingseffectbeoordeling (GEB) - id: verenigbaarheidstoets term: Verenigbaarheidstoets category: DPIA - 13. Doelbinding definition: Een verenigbaarheidstoets is een beoordeling of een [gegevensverwerking persoonsgegevens] [verenigbaar] is met het [oorspronkelijk verwerkingsdoeleinde] van de [persoonsgegevens]. metadata: toelichting: 'Ter beoordeling van de verenigbaarheid moet worden gekeken naar een aantal elementen: * het verband tussen het nieuwe doel en het oorspronkelijke doel. Hoe dichter die bij elkaar liggen, hoe eerder de verwerking verenigbaar is. * de context waarin de persoonsgegevens zijn verzameld. Hier moet worden gekeken naar de relatie tussen de verwerkingsverantwoordelijke en de betrokkene en wat de betrokkene redelijk kan verwachten. * de aard van de persoonsgegevens. Bij gevoelige persoonsgegevens geldt een hoger beschermingsniveau en dat deze minder snel voor andere doelen mogen worden gebruikt. * de mogelijke gevolgen van de verdere verwerking voor betrokkenen. * het bestaan van passende waarborgen. Wanneer de persoonsgegevens bijvoorbeeld zijn versleuteld of gepseudonimiseerd, zullen deze eerder voor andere doelen mogen worden gebruikt. Als de nieuwe gegevensverwerking verenigbaar is met het oorspronkelijk verwerkingsdoeleinde van de persoonsgegevens, dan is er geen afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. ' kennisbronnen: - paragraaf 13, pagina 16, Rapportagemodel DPIA Rijksdienst; overweging 50, preambule, AVG redactionele_opmerking: De definitie is afgeleid van de informatie uit het Rapportagemodel DPIA Rijksdienst. De toelichting is direct overgenomen uit het Rapportagemodel DPIA Rijksdienst. De uitleg over de gevolgen is te vinden in de preambule van de AVG. - id: partij term: Partij category: DPIA - 00. Algemeen definition: Een partij is een [natuurlijk persoon], een rechtspersoon of een overheidsorgaan. metadata: kennisbronnen: - paragraaf 3.6, pagina 34, Model DPIA Rijksdienst redactionele_opmerking: Afgeleid uit het Model DPIA Rijksdienst, uit de beschrijving omtrent 'Verwerker'. meervoudsvormen: - Partijen - id: categorie_bijzondere_persoonsgegevens_biometrische_gegevens_met_het_oog_op_de_unieke_identificatie_van_een_persoon term: 'Categorie bijzondere persoonsgegevens: Biometrische gegevens met het oog op de unieke identificatie van een persoon' category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Biometrische gegevens met het oog op de unieke identificatie van een persoon zijn [bijzondere persoonsgegevens] die het resultaat zijn van een specifieke technische verwerking met fysieke, fysiologische of gedragsgerelateerde kenmerken van een persoon op grond waarvan eenduidige identificatie van die persoon mogelijk is of wordt bevestigd. metadata: toelichting: Gegevens zoals foto's, vingerafdrukken, irispatroon, gezichtsprofiel, looppatroon en stemgeluid vallen alleen onder de definitie van biometrische gegevens wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie mogelijk maken. voorbeelden: - Vingerafdrukken, irispatroon, gezichtsprofiel, looppatroon en stemgeluid. kennisbronnen: - artikel 9, lid 1, AVG;artikel 4, lid 14, AVG; paragraaf 3.2, pagina 24, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is letterlijk overgenomen uit de AVG, maar 'persoonsgegevens' is vervangen door 'bijzondere persoonsgegevens', om naar het juiste begrip te kunnen verwijzen. De toelichting komt uit het Model DPIA Rijksdienst. - id: conclusie_verenigbaarheidstoets_verenigbaar term: 'Conclusie verenigbaarheidstoets: verenigbaar' category: DPIA - 13. Doelbinding definition: Een [conclusie verenigbaarheidstoets] die uitkomt op verenigbaar geeft aan dat er een concreet, logisch en nauw verband is tussen het [oorspronkelijk verwerkingsdoeleinde] en de verdere [gegevensverwerking persoonsgegevens]. metadata: kennisbronnen: - Verstrekken van persoonsgegevens, AP redactionele_opmerking: De definitie is afgeleid van de informatie van de AP. - id: betrokken_partij_bij_dpia term: Betrokken partij bij DPIA category: DPIA - 06. Betrokken partijen definition: Een betrokken partij bij DPIA is een [betrokken partij bij gegevensverwerking] voor de DPIA die hoort bij de [gegevensverwerking persoonsgegevens] waar die [partij] bij is betrokken. metadata: toelichting: Het gaat hier dus niet om de betrokkenen die onderwerp zijn van de gegevensverwerking, maar om de partijen die betrokken zijn bij het verwerken en de procesgang daaromheen. kennisbronnen: - Analyse team redactionele_opmerking: De betrokken partijen worden beschreven per gegevensverwerking waarbij ze zijn betrokken. Maar voor het beschrijven van hun belangen is het belangrijk om een compleet overzicht te hebben. Dit gegeven omvat alle partijen met een potentieel belang die in de DPIA voorkomen. - id: classificatie_type_persoonsgegevens_nationaal_identificatienummer term: 'Classificatie type persoonsgegevens: Nationaal Identificatienummer' category: DPIA - 02. Persoonsgegevens definition: Identificatienummer is een [classificatie type persoonsgegevens] dat aangeeft dat een [persoonsgegeven] een [nationaal identificatienummer] is. metadata: kennisbronnen: - paragraaf 3.2, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de informatie in het Model DPIA Rijksdienst. In overleg met het PAR-team is 'wettelijk identificatienummer' vervangen door 'nationaal identificatienummer'. - id: beheerder_van_maatregelen term: Beheerder van maatregelen category: DPIA - 17. Maatregelen definition: De beheerder van maatregelen is de [functie] in een [organisatorische eenheid] bij een [partij] die verantwoordelijk is voor het feit dat de [maatregelen] worden uitgevoerd. metadata: toelichting: Met verantwoordelijk wordt hier niet hetzelfde bedoeld als verwerkingsverantwoordelijk. kennisbronnen: - paragraaf 3.17, pagina 59, Model DPIA Rijksdienst redactionele_opmerking: De definitie is afgeleid uit het Model DPIA Rijksdienst, maar 'persoon of organisatieonderdeel' is vervangen door 'functie in een organisatorische eenheid bij een partij', in overleg met het PAR-team. - id: effect_maatregelen term: Effect maatregelen category: DPIA - 17. Maatregelen definition: Effect maatregelen is het effect van de bestaande en voorgenomen [maatregelen] op het [risico voor betrokkenen]. metadata: kennisbronnen: - Analyse team redactionele_opmerking: Deze term is geïntroduceerd op verzoek van het PAR-team. - id: risiconiveau_van_optreden_risico_voor_betrokkenen term: Risiconiveau van optreden risico voor betrokkenen category: DPIA - 17. Maatregelen definition: Het risiconiveau van optreden risico voor betrokkenen is de inschatting van de ernst van de gevolgen van een [risico voor betrokkenen] als dit zich voordoet, vermenigvuldigd met de kans dat dit risico zich ook zal voordoen. metadata: kennisbronnen: - paragraaf 3.16, pagina 52, Model DPIA Rijksdienst - id: frequentie_van_verwerking_vaker_dan_maandelijks term: 'Frequentie van verwerking: Vaker dan maandelijks' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Vaker dan maandelijks is een aanduiding van de [frequentie van verwerking] die aangeeft dat [persoonsgegevens] vaker dan maandelijks worden verwerkt. metadata: kennisbronnen: - Vragenlijst, vraag 11c, Pre-scan DPIA - id: algoritme_geen_sprake_van_een_algoritme term: 'Algoritme: geen sprake van een algoritme' category: DPIA - 04. Technieken en methoden definition: Sprake van een algoritme is een aanduiding van een [classificatie] van [algoritme] die aangeeft dat er geen sprake is van een [algoritme]. metadata: kennisbronnen: - Vragenlijst, paragraaf G, Pre-scan DPIA;paragraaf 3.4, pagina 29, Model DPIA Rijksdienst redactionele_opmerking: Dit begrip volgt uit het gebruik in de Pre-scan DPIA en het Model DPIA Rijksdienst. In overleg met het PAR is deze vraag expliciet toegevoegd aan de DPIA. - id: categorie_betrokkenen_specificatie_categorie_betrokkenen term: 'Categorie betrokkenen: Specificatie categorie betrokkenen' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Specificatie categorie betrokkenen is een [categorie betrokkenen] die aangeeft dat [persoonsgegevens] worden verwerkt van [betrokkenen], niet zijnde medewerkers, bewindspersonen, burgers, kinderen jonger dan 16 jaar en andere kwetsbare groepen. metadata: toelichting: Als deze categorie wordt geselecteerd in de Pre-scan DPIA, dient een verdere specificatie van de categorie te worden gegeven. kennisbronnen: - Vragenlijst, vraag 10e, Pre-scan DPIA - id: lijst_ap_profilering term: 'Lijst AP: Profilering' category: Pre-scan DPIA - D. Lijst AP definition: Profilering is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. systematische en uitgebreide beoordeling van persoonlijke aspecten van [natuurlijke personen] gebaseerd op geautomatiseerde verwerking. metadata: voorbeelden: - beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag kennisbronnen: - pagina 3, Lijst AP - id: dpia_status_akkoord term: 'DPIA status: Akkoord' category: DPIA - 00. Algemeen definition: Akkoord is een [DPIA status] die aangeeft dat alle [verwerkingsverantwoordelijken] die de [DPIA] opstellen de [DPIA] akkoord hebben bevonden middels ondertekening. metadata: kennisbronnen: - Ondertekening, pagina 23, Model DPIA Rijksdienst redactionele_opmerking: Deze term en definitie zijn afgeleid uit de informatie in het Rapportagemodel DPIA Rijksdienst. - id: derde term: Derde category: DPIA - 06. Betrokken partijen definition: Een derde is een [partij] die geen [betrokkene], [verwerkingsverantwoordelijke], [verwerker], [sub-verwerker] of een persoon is die rechtstreeks onder gezag van de [verwerkingsverantwoordelijke] of de [verwerker] gemachtigd is om de [persoonsgegevens] te verwerken. De derde is wel een [partij] die betrokken is bij de [gegevensverwerking persoonsgegevens], maar daar niet op een directe manier mee te maken heeft. metadata: toelichting: 'De derde komt bijvoorbeeld naar voren bij de juridische grondslag ‘gerechtvaardigd belang van een derde’. Op basis van deze juridische grondslag kan een verwerkingsverantwoordelijke gegevens verwerken op basis van de belangen van een derde. Een derde kan ook een ontvanger zijn.' kennisbronnen: - artikel 4, lid 10, AVG redactionele_opmerking: De definitie is overgenomen uit de AVG, maar 'partij' is toegevoegd om naar het bovenliggend begrip te kunnen verwijzen. 'Sub-verwerker' is als aanvulling opgenomen in de definitie. meervoudsvormen: - Derden - id: bewaartermijn_minder_dan_1_week term: 'Bewaartermijn: Minder dan 1 week' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Minder dan 1 week is een aanduiding van een [bewaartermijn] die aangeeft dat de [persoonsgegevens] voor minder dan een week moeten worden bewaard. metadata: kennisbronnen: - Vragenlijst, vraag 11d, Pre-scan DPIA - id: functie term: Functie category: DPIA - 00. Algemeen definition: Een functie is een set van taken, bevoegdheden en verantwoordelijkheden, die gedefinieerd is in termen van het werk van de [organisatorische eenheid] van de betreffende persoon. metadata: kennisbronnen: - Begrippen Basisconcept Dienstverlening, Nora meervoudsvormen: - Functies - id: organisatorische_eenheid term: Organisatorische eenheid category: DPIA - 00. Algemeen definition: Een organisatorische eenheid is een groep binnen een [partij] die is gevormd ter behartiging van een specifieke [partij]-doelstelling. [Partijen] die [natuurlijke personen] zijn hebben geen organisatorische eenheden. metadata: toelichting: Organisatorische eenheid is een verzamelnaam voor directie, divisie, afdeling, team, etc. kennisbronnen: - Encyclo;Analyse team redactionele_opmerking: De definitie van deze term is gebaseerd op de definitie gebruikt in Encyclo, waarbij 'organisatie' is vervangen door 'partij'. De daarbij nodige uitzondering voor natuurlijke personen is door het analyse team toegevoegd. - id: betrokken_partij_bij_gegevensverwerking_is_verstrekker term: Betrokken partij bij gegevensverwerking is verstrekker category: DPIA - 06. Betrokken partijen definition: Een betrokken partij bij een gegevensverwerking is verstrekker als de [partij] betrokken is bij een [gegevensverwerking persoonsgegevens] en daar al de rol van [verwerkingsverantwoordelijke] heeft en vervolgens de rol van [verstrekker] krijgt. metadata: toelichting: Alleen een verwerkingsverantwoordelijke mag een verstrekking doen van persoonsgegevens aan een andere partij. kennisbronnen: - Analyse team - id: kia-verplichting term: KIA-verplichting category: Pre-scan DPIA - J. Kinderrechten definition: Een KIA-verplichting geldt wanneer een [partij] verplicht is een [Kinderrechten Impact Assessment] op te stellen voor een [digitale dienst]. metadata: toelichting: Een partij is in ieder geval verplicht een KIA op te stellen als een digitale dienst wordt aangeboden die primair bedoeld is voor gebruik door personen jonger dan 18 jaar. kennisbronnen: - Vragenlijst, paragraaf J, Pre-scan DPIA redactionele_opmerking: Dit begrip volgt uit de Pre-scan DPIA en is aangescherpt in overleg met het PAR team. - id: sub-verwerker term: Sub-verwerker category: DPIA - 06. Betrokken partijen definition: De sub-verwerker is de [partij] die primair de opdracht krijgt van de [verwerker] of een andere sub-verwerker om [persoonsgegevens] te verwerken. metadata: toelichting: 'Een sub-verwerker is de verwerker van de verwerker, of van een andere sub-verwerker. Een sub-verwerker kan niet zelf een verwerker, derde of verwerkingsverantwoordelijke zijn in dezelfde gegevensverwerking.' voorbeelden: - Hostingpartij van de verwerker kennisbronnen: - paragraaf 3.6, pagina 34, Model DPIA Rijksdienst;paragraaf 6, pagina 10, Rapportagemodel DPIA Rijksdienst redactionele_opmerking: De definitie van sub-verwerker volgt uit het Rapportagemodel DPIA Rijksdienst. De toelichting komt uit het Model DPIA Rijksdienst. In overleg met het PAR-team is vastgesteld dat de verwerker van een sub-verwerker ook een sub-verwerker is. alternatieve_spellingen: - Onderaannemer - id: organisatorische_activiteit_gevoelige_persoonsgegevens term: Organisatorische activiteit gevoelige persoonsgegevens category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Een [organisatorische activiteit gevoelige persoonsgegevens] is een [organisatorische activiteit persoonsgegevens] die een [gevoelig persoonsgegeven] verwerkt. metadata: kennisbronnen: - Vragenlijst, paragraaf A, vraag 9, Pre-scan DPIA redactionele_opmerking: Toegevoegd om te verduidelijken wat er in het informatiemodel met dit begrip wordt bedoeld. - id: dpia_status_niet_akkoord term: 'DPIA status: Niet akkoord' category: DPIA - 00. Algemeen definition: Niet akkoord is een [DPIA status] die aangeeft dat niet alle [verwerkingsverantwoordelijken] die de [DPIA] opstellen de [DPIA] akkoord hebben bevonden middels ondertekening. metadata: kennisbronnen: - Ondertekening, pagina 23, Model DPIA Rijksdienst redactionele_opmerking: Deze term en definitie zijn afgeleid uit de informatie in het Rapportagemodel DPIA Rijksdienst. - id: impact term: Impact category: DPIA - 16. Risico's voor betrokkenen definition: De impact is de ernst van de gevolgen voor de [betrokkenen] wanneer deze intreden. metadata: toelichting: 'De impact/ernst van de risico’s hangt af van de context van de verwerkingen: de aard van de persoonsgegevens, de aard van de verwerkingen en de doeleinden waarvoor de gegevens worden verwerkt.' kennisbronnen: - paragraaf 3.16, pagina 52, Model DPIA Rijksdienst - id: categorie_gevoelige_persoonsgegevens_gegevens_die_kunnen_worden_gebruikt_voor_fraude term: 'Categorie gevoelige persoonsgegevens: Gegevens die kunnen worden gebruikt voor fraude' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Gegevens die kunnen worden gebruikt voor fraude is een [categorie gevoelige persoonsgegevens] met [persoonsgegevens] die kunnen worden gebruikt voor identiteitsdiefstal of fraude. metadata: voorbeelden: - de geheime code van de creditcard, pincode, geboortedatum in combinatie met bankrekeningnummer, het antwoord op een geheime vraag. kennisbronnen: - Vragenlijst, vraag 9, Pre-scan DPIA - id: akkoordverklaring term: Akkoordverklaring category: DPIA - 00. Algemeen definition: Een akkoordverklaring is een verklaring door een [persoon in functie] bij een [verwerkingsverantwoordelijke] dat de DPIA akkoord is bevonden. metadata: toelichting: 'Een akkoordverklaring namens een verwerkingsverantwoordelijke die betrokken is bij een DPIA vindt plaats door een Persoon in Functie bij de Partij die verwerkingsverantwoordelijke is. Zodra alle verwerkingsverantwoordelijken een akkoordverklaring hebben afgegeven, wordt de DPIA status op [DPIA status: Akkoord] gezet.' kennisbronnen: - pagina 2 en 23, Rapportagemodel DPIA Rijksdienst - id: categorie_betrokkenen_in_organisatorische_activiteit term: Categorie betrokkenen in organisatorische activiteit category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Een categorie betrokkenen bij een organisatorische activiteit is een [categorie betrokkenen] die onderwerp is van een [organisatorische activiteit] die gegevens verwerkt van die categorie betrokkenen. metadata: toelichting: Bij de categorie betrokkenen wordt in de pre-scan DPIA ook vastgelegd om hoeveel betrokkenen het (bij benadering) gaat. voorbeelden: - Medewerkers/bewindspersonen, burgers, kinderen jonger dan 16 jaar, andere kwetsbare groepen, specificatie categorie betrokkenen. kennisbronnen: - Vragenlijst, vraag 10, Pre-scan DPIA - id: gemiddelde_kans term: Gemiddelde kans category: DPIA - 16. Risico's voor betrokkenen definition: Een gemiddelde kans is een aanduiding dat de [kans op optreden risico voor betrokkenen] gemiddeld is. metadata: kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van het gebruik van de term in het Model DPIA Rijksdienst. - id: conclusie_verenigbaarheidstoets_niet_verenigbaar term: 'Conclusie verenigbaarheidstoets: niet verenigbaar' category: DPIA - 13. Doelbinding definition: Een [conclusie verenigbaarheidstoets] die uitkomt op niet verenigbaar geeft aan dat er geen concreet, logisch en nauw verband is tussen het [oorspronkelijk verwerkingsdoeleinde] en de verdere [gegevensverwerking persoonsgegevens]. metadata: kennisbronnen: - Verstrekken van persoonsgegevens, AP redactionele_opmerking: De definitie is afgeleid van de informatie van de AP. - id: dpia_onderwerp_maatregelen term: 'DPIA onderwerp: maatregelen' category: DPIA - 17. Maatregelen definition: Maatregelen is een [DPIA onderwerp] dat de [maatregelen] beschrijft op de [risico's voor betrokkenen] van de [gegevensverwerkingen] waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.17, Model DPIA Rijksdienst - id: wetgeving term: Wetgeving category: DPIA - 09. Juridisch en beleidsmatig kader definition: Wetgeving omvat alle wetten die door een bevoegde wetgevende instantie zijn vastgesteld. metadata: toelichting: In Nederland is dit voornamelijk het parlement (Staten-Generaal), bestaande uit de Eerste en Tweede Kamer. Wetgeving vormt de basis van het juridisch kader en regelt het gedrag van burgers, bedrijven en overheidsinstanties. kennisbronnen: - Analyse team - id: categorie_betrokkenen_andere_kwetsbare_groepen term: 'Categorie betrokkenen: Andere kwetsbare groepen' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Andere kwetsbare groepen is een [categorie betrokkenen] die aangeeft dat [persoonsgegevens] worden verwerkt van een [kwetsbare groep], niet zijnde burgers, kinderen jonger dan 16 jaar of medewerkers/bewindspersonen. metadata: voorbeelden: - Andere kwetsbare groepen zijn bijvoorbeeld gehandicapten, minderheden, etc. kennisbronnen: - Vragenlijst, vraag 10d, Pre-scan DPIA - id: kinderrechten_impact_assessment term: Kinderrechten Impact Assessment category: Pre-scan DPIA - J. Kinderrechten definition: Een Kinderrechten Impact Assessment (KIA) is een hulpmiddel om te komen tot de best mogelijke beoordeling van de [digitale dienst] in relatie tot de rechten en het welzijn van kinderen. metadata: toelichting: Met dit instrument worden risico’s op schendingen van kinderrechten in kaart gebracht. kennisbronnen: - Digitale Overheid - id: belang_van_betrokken_partij term: Belang van betrokken partij category: DPIA - 07. Belangen definition: Een belang van een betrokken partij is hetgene waaraan een [betrokken partij bij gegevensverwerking] waarde hecht (en daarom wil behouden of bereiken) met betrekking tot een [gegevensverwerking persoonsgegevens] waar de [DPIA] betrekking op heeft. metadata: toelichting: Elk aspect of gevolg van de gegevensverwerking va de persoonsgegevens waar een bij de gegevensverwerking betrokken partij voor- of nadeel van kan ondervinden kan een belang zijn voor die partij. voorbeelden: - Bedrijfsbelangen, Financiële en commerciële belangen, Het handhaven van juridische vorderingen, Toezicht op medewerkers ten behoeve van de veiligheid Managementdoeleinden, (nationale of openbare) veiligheid, zoals de preventie van fraude, misbruik en netwerkbeveiliging, Gezondheidsredenen. kennisbronnen: - Juridisch woordenboek;paragraaf 3.7, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is gebaseerd op die in het Juridisch woordenboek, aangescherpt naar het gebruik in het Model DPIA Rijksdienst. alternatieve_spellingen: - belang - id: bron_persoonsgegevens_rechtstreeks_bij_betrokkene term: 'Bron persoonsgegevens: rechtstreeks bij betrokkene' category: DPIA - 02. Persoonsgegevens definition: Rechtstreeks bij betrokkene is een aanduiding van [bron persoonsgegevens] die aangeeft dat een [persoonsgegeven] direct van de [betrokkene] komt. metadata: kennisbronnen: - paragraaf 3.2, pagina 26, Model DPIA Rijksdienst redactionele_opmerking: Deze term en definitie zijn gebaseerd op de beschrijving in het Model DPIA Rijksdienst. - id: categorie_gevoelige_persoonsgegevens_andere_gegevens_die_kunnen_leiden_tot_stigmatisering_of_uitsluiting_van_de_betrokkene term: 'Categorie gevoelige persoonsgegevens: Andere gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Andere gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene is een [categorie gevoelige persoonsgegevens] met [persoonsgegevens] die kunnen leiden tot stigmatisering of uitsluiting van de [betrokkene], niet zijnde communicatie- en locatiegegevens, gebruikersnamen, wachtwoorden en andere inloggegevens, gegevens die betrekking hebben op kwetsbare groepen, gegevens die kunnen worden gebruikt voor fraude, gegevens over de financiële situatie van de betrokkene of surfgedrag. metadata: kennisbronnen: - Vragenlijst, vraag 9, Pre-scan DPIA - id: lijst_ap_locatiegegevens term: 'Lijst AP: Locatiegegevens' category: Pre-scan DPIA - D. Lijst AP definition: Internet of things is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. grootschalige [gegevensverwerking persoonsgegevens] en/of stelselmatige monitoring van locatiegegevens van of herleidbaar tot [natuurlijke personen]. metadata: toelichting: Gegevensverwerking en/of monitoring bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer. kennisbronnen: - pagina 3, Lijst AP redactionele_opmerking: verwerking' is vervangen door 'gegevensverwerking', om naar het juiste begrip te kunnen verwijzen. - id: digitale_dienst term: Digitale dienst category: Pre-scan DPIA - J. Kinderrechten definition: Een digitale dienst is iedere dienst die op enigerlei wijze gebruik maakt van digitale technologie. metadata: toelichting: Digitale technologie zoals apps, games, websites en online platforms. kennisbronnen: - Vragenlijst, paragraaf J, Pre-scan DPIA - id: recht_van_de_betrokkene term: Recht van de betrokkene category: DPIA - 15. Rechten van de betrokkene definition: 'Een recht van de betrokkene is een recht dat een [betrokkene] heeft als het gaat om de verwerking van zijn/haar [persoonsgegevens]. Het gaat hierbij om de volgende rechten: * Het [recht op informatie], * Het [recht van inzage], * Het [recht op rectificatie en aanvulling], * Het [recht op gegevenswissing] (vergetelheid), * Het [recht op beperking van de verwerking], * Het [recht op overdraagbaarheid van gegevens] (dataportabiliteit), * Het [recht van bezwaar], en * Het [recht om niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit]. ' metadata: toelichting: 'Met deze rechten kunnen betrokkenen controle houden over de verwerking van hun persoonsgegevens. Betrokkenen hebben op grond van de privacyregelgeving diverse rechten, waarin ook staat op welke wijze en onder welke omstandigheden zij die rechten kunnen uitoefenen.' kennisbronnen: - hoofdstuk 3, AVG;paragraaf 3.15, pagina 49, Model DPIA Rijksdienst redactionele_opmerking: In hoofdstuk 3 AVG wordt wel gesproken over 'rechten van de betrokkenen', maar in het Model DPIA Rijksdienst wordt de betekenis hiervan uitgebreider beschreven. meervoudsvormen: - Rechten van de betrokkenen alternatieve_spellingen: - Recht van betrokkene - privacyrecht - id: voorstel term: Voorstel category: DPIA - 01. Voorstel definition: Het voorstel is een beschrijving van waar een [DPIA] over gaat, op hoofdlijnen, hoe het voorstel tot stand is gekomen en wat de beweegredenen zijn achter de totstandkoming van het voorstel. metadata: toelichting: "Met een korte en bondige beschrijving van de gegevensverwerkingen,\ \ wordt de reikwijdte van het DPIA-rapport duidelijk. Ten behoeve van de duidelijkheid\ \ en de reikwijdte kan het ook nuttig zijn om expliciet aan te geven waar de\ \ DPIA in ieder geval niet over gaat.\n\nTer controle of de beschrijving van\ \ het voorstel compleet is kunnen de volgende punten worden nagegaan:\n\n1.\ \ Wat is de aanleiding voor het voorstel; \n2. Vervangt of vernieuwt het voorstel\ \ een bestaande situatie en is deze bestaande situatie beschreven in relatie\ \ tot de nieuwe situatie;\n3. Welke departementen en organisaties zijn betrokken\ \ bij het voorstel;\n4. Is bij het voorstel sprake van privacy by design en\ \ privacy by default en is beschreven hoe deze beginselen geïmplementeerd zijn;\ \ en\n5. Wat zijn de redenen dat het voorstel op deze manier tot stand is gekomen\ \ en wordt uitgevoerd?" kennisbronnen: - paragraaf 3.1, pagina 19, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de informatie in het Model DPIA Rijksdienst. De toelichting volgt direct uit het Model DPIA Rijksdienst. - id: dpia_onderwerp_juridisch_en_beleidsmatig_kader term: 'DPIA onderwerp: juridisch en beleidsmatig kader' category: DPIA - 09. Juridisch en beleidsmatig kader definition: Juridisch en beleidsmatig kader is een [DPIA onderwerp] dat het [juridisch kader] en [beleidsmatig kader] beschrijft van de [gegevensverwerkingen] waar de [DPIA] betrekking op heeft. metadata: toelichting: 'De AVG en Richtlijn (EU) 2016/680 hoeven niet genoemd te worden. ' kennisbronnen: - paragraaf 3.9, Model DPIA Rijksdienst - id: kwetsbaarheid term: Kwetsbaarheid category: DPIA - 02. Persoonsgegevens definition: Kwetsbaarheid is een [classificatie] die aangeeft of een [categorie betrokkenen] een [kwetsbare groep] is. metadata: kennisbronnen: - paragraaf 3.2, pagina 21, Model DPIA Rijksdienst redactionele_opmerking: 'Deze term is geïntroduceerd om over de kwetsbaarheid van categorieën betrokkenen te kunnen spreken. De definitie is afgeleid uit de omschrijving in het Model DPIA Rijksdienst. ' - id: digitale_dienst_voor_personen_jonger_dan_18_jaar_geen_digitale_dienst_aangeboden_die_primair_bedoeld_is_voor_gebruik_door_personen_jonger_dan_18_jaar term: 'Digitale dienst voor personen jonger dan 18 jaar: geen digitale dienst aangeboden die primair bedoeld is voor gebruik door personen jonger dan 18 jaar' category: Pre-scan DPIA - J. Kinderrechten definition: Geen digitale dienst aangeboden die primair bedoeld is voor gebruik door personen jonger dan 18 jaar is een aanduiding van [digitale dienst voor personen jonger dan 18 jaar] die aangeeft dat er geen digitale dienst aangeboden die primair bedoeld is voor gebruik door personen jonger dan 18 jaar. metadata: kennisbronnen: - Vragenlijst, paragraaf J, Pre-scan DPIA redactionele_opmerking: Dit begrip volgt uit de Pre-scan DPIA en is aangescherpt in overleg met het PAR team. - id: rechtsgrond_wettelijke_verplichting term: Rechtsgrond wettelijke verplichting category: DPIA - 11. Rechtsgronden definition: Rechtsgrond wettelijke verplichting is een [rechtsgrond] waarbij de [gegevensverwerking persoonsgegevens] noodzakelijk is om te voldoen aan een wettelijke verplichting die op de [verwerkingsverantwoordelijke] rust. metadata: toelichting: De wettelijke verplichting hoeft niet noodzakelijkerwijs te bestaan uit een expliciete verplichting om persoonsgegevens te verwerken. Ook is mogelijk dat de verwerking van persoonsgegevens een basis vindt in een ruimer geformuleerde zorgplicht of wettelijke verplichting. Zonder verwerking van de persoonsgegevens moet het uitvoeren van een wettelijke verplichting redelijkerwijs niet goed mogelijk zijn. kennisbronnen: - artikel 6, lid 1, onder c, AVG redactionele_opmerking: Verwerking' is vervangen door 'gegevensverwerking' om naar de juiste term te kunnen verwijzen. alternatieve_spellingen: - Wettelijke plicht - Noodzakelijk om te voldoen aan een wettelijke verplichting - id: recht_op_beperking_van_de_verwerking term: Recht op beperking van de verwerking category: DPIA - 15. Rechten van de betrokkene definition: 'Het recht op beperking van de verwerking is een [recht van de betrokkene] waarbij, indien een van de elementen uit artikel 18, lid 1, AVG van toepassing is, de [betrokkene] het recht heeft van de [verwerkingsverantwoordelijke] te verkrijgen dat [persoonsgegevens], met uitzondering van de opslag ervan, slechts verwerkt worden met toestemming van de [betrokkene] of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere [natuurlijk persoon] of rechtspersoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat. ' metadata: kennisbronnen: - artikel 18, AVG - id: frequentie_van_verwerking term: Frequentie van verwerking category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Frequentie van verwerking is een aanduiding die aangeeft met welke frequentie [persoonsgegevens] worden verwerkt. metadata: toelichting: Bij invulling van 'frequentie van verwerking' in de Pre-scan DPIA kan er één optie worden ingevuld. Is er sprake van meerdere frequenties, dan geldt de hoogst van toepassing zijnde. kennisbronnen: - Vragenlijst, vraag 11c, Pre-scan DPIA redactionele_opmerking: Deze definitie is opgesteld op basis van het gebruik van de term in de Pre-scan DPIA. - id: subsidiariteit term: Subsidiariteit category: DPIA - 14. Noodzaak en evenredigheid definition: Subsidiariteit is een beginsel dat stelt dat de [gegevensverwerkingen] alleen zijn toegestaan als de [verwerkingsdoeleinden] niet met minder ingrijpende middelen kunnen worden bereikt. metadata: toelichting: "Ter beoordeling van de subsidiariteit kunnen de volgende vragen\ \ worden gesteld:\n\n1. Kunnen de verwerkingsdoeleinden in redelijkheid niet\ \ op een andere, voor de betrokkenen minder nadelige wijze, worden verwezenlijkt?\n\ \ i. Kunnen minder persoonsgegevens worden verwerkt en hetzelfde doeleinde\ \ worden bereikt?\n ii. Zijn er wellicht manieren om minder gevoelige persoonsgegevens\ \ te verwerken?\n iii. Kunnen de persoonsgegevens in het proces gepseudonimiseerd\ \ of geanonimiseerd worden?\n iv. Kunnen de persoonsgegevens met minder partijen\ \ worden gedeeld of minder lang worden bewaard?\n\n2. Zijn er alternatieve minder\ \ privacy invasieve verwerkingsprocessen onderzocht en gedocumenteerd?\n v.\ \ Welke alternatieven zijn overwogen en waarom zijn deze alternatieven niet\ \ gekozen?\n vi. Zijn alternatieven overwogen die hetzelfde doeleinde kunnen\ \ bereiken met minder persoonsgegevens?\n vii. Zijn alternatieven overwogen\ \ waarbij de gehele dienst binnen Nederland of de EU uitgevoerd kan worden?\n\ \ viii. Zijn alternatieven overwogen waarbij de verwerker geen gebruikmaakt\ \ van sub-verwerkers buiten de EU?" kennisbronnen: - artikel 5, lid 3, VEU;paragraaf 3.14, pagina 48, Model DPIA Rijksdienst redactionele_opmerking: Het beginsel van subsidiariteit komt voort uit de VEU, maar wordt verder gespecificeerd in het Model DPIA Rijksdienst, specifiek voor gegevensverwerkingen van persoonsgegevens. - id: classificatie_type_persoonsgegevens_bijzonder term: 'Classificatie type persoonsgegevens: Bijzonder' category: DPIA - 02. Persoonsgegevens definition: Bijzonder is een [classificatie type persoonsgegevens] dat aangeeft dat een [persoonsgegeven] een [bijzonder persoonsgegeven] is. metadata: kennisbronnen: - paragraaf 3.2, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de informatie in het Model DPIA Rijksdienst. - id: geautomatiseerde_besluitvorming term: Geautomatiseerde besluitvorming category: DPIA - 04. Technieken en methoden definition: Geautomatiseerde besluitvorming is het nemen van besluiten met technologische middelen, zonder betekenisvolle menselijke tussenkomst. metadata: toelichting: 'We maken hier geen verschil tussen geautomatiseerde verwerking zonder enige menselijke tussenkomst, of met enige tussenkomst die uiteindelijk geen invloed heeft op het eindresultaat. Beide vallen onder geautomatiseerde besluitvorming. Indien geautomatiseerde besluitvorming voor betrokkenen tot rechtsgevolgen leidt of hen anderszins in aanmerkelijke mate treft, dan is dat in beginsel verboden.' kennisbronnen: - paragraaf 2B, pagina 9, Richtsnoeren geautomatiseerde besluitvorming redactionele_opmerking: Deze definitie is afgeleid uit de definitie van 'Uitsluitend geautomatiseerde besluitvorming' in de Richtsnoeren. In overleg met het PAR-team is hier semi-geautomatiseerde besluitvorming aan toegevoegd. alternatieve_spellingen: - Uitsluitend geautomatiseerde besluitvorming - id: categorie_betrokkenen_burgers term: 'Categorie betrokkenen: Burgers' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Burgers is een [categorie betrokkenen] die aangeeft dat [persoonsgegevens] worden verwerkt van inwoners van Nederland. metadata: kennisbronnen: - Vragenlijst, vraag 10b, Pre-scan DPIA - id: recht_op_gegevenswissing term: Recht op gegevenswissing category: DPIA - 15. Rechten van de betrokkene definition: Het recht op gegevenswissing is een [recht van de betrokkene] waarbij de [betrokkene] het recht heeft van de [verwerkingsverantwoordelijke] zonder onredelijke vertraging wissing van hem betreffende [persoonsgegevens] te verkrijgen en de [verwerkingsverantwoordelijke] verplicht is [persoonsgegevens] zonder onredelijke vertraging te wissen. metadata: kennisbronnen: - artikel 17, lid 1, AVG alternatieve_spellingen: - Recht op vergetelheid - id: mogelijk_sprake_van_discriminatie_zou_sprake_kunnen_zijn_van_discriminatie term: 'Mogelijk sprake van discriminatie: zou sprake kunnen zijn van discriminatie' category: DPIA - 16. Risico's voor betrokkenen definition: Zou sprake kunnen zijn van discriminatie is een aanduiding van [mogelijk sprake van discriminatie] die aangeeft dat er mogelijk sprake is van [discriminatie] als gevolg van de [gegevensverwerkingen] waar een [DPIA] op toeziet. metadata: toelichting: Indien er sprake kan zijn van discriminatie is een anti-discriminatietoets noodzakelijk. kennisbronnen: - paragraaf 3.16, pagina 54, Model DPIA Rijksdienst redactionele_opmerking: De term en definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst. - id: dpia_onderwerp_doelbinding term: 'DPIA onderwerp: doelbinding' category: DPIA - 13. Doelbinding definition: Doelbinding is een [DPIA onderwerp] dat de [doelbinding] beschrijft van de [gegevensverwerkingen] waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.13, Model DPIA Rijksdienst - id: classificatie_persoonsgegevens term: Classificatie persoonsgegevens category: DPIA - 02. Persoonsgegevens definition: Classificatie persoonsgegevens is een [classificatie] die aangeeft dat specifieke informatie geen [persoonsgegevens] bevat. metadata: toelichting: Deze eigenschap is afgeleid van het gegeven dat er een classificatie aanwezig is op een gegevenstype met een classificatie met van het classificatietype 'Classificatie Persoonsgegevens'. kennisbronnen: - Analyse team - id: organisatorische_activiteit term: Organisatorische activiteit category: DPIA - 00. Algemeen definition: 'Een organisatorische activiteit is het samenhangende geheel van handelingen, processen en bijbehorende maatregelen waarmee een organisatie een [organisatorische doelstelling] nastreeft. Deze activiteit kan zowel verwijzen naar de inrichting of het ontwerp van het proces (het ‘type’), als naar de concrete uitvoering in de praktijk (de ''instantie'') waarin de feitelijke handelingen en eventuele gegevensverwerkingen plaatsvinden.' metadata: toelichting: 'Onder organisatorische activiteiten scharen we zowel terugkerende activiteiten, zoals de bedrijfsprocessen en zaaktypen, als ook meer incidentele activiteiten zoals het inrichten van de organisatie, de processen of bijvoorbeeld risicobeheersingsmaatregelen. ' voorbeelden: - 'Een voorbeeld van een organisatorische activiteit is “de sollicitatieprocedure”, de procedure die iedereen moet doorlopen die solliciteert. Een voorbeeld van een instantie is de sollicitatieprocedure die een specifieke sollicitant op een bepaald moment doorloopt, die in dat individuele geval net anders kan zijn dan voor een andere sollicitant die een jaar eerder solliciteerde. In de context van de Algemene Verordening Gegevensbescherming is het nemen van technische en organisatorische maatregelen om persoonsgegevens te beschermen, zoals het zorgen voor toegangsbeperkingen tot gevoelige data en training van medewerkers over privacy, onderdeel van de inrichting van de organisatorische activiteit.' kennisbronnen: - Analyse team - id: lijst_edpb_gebruik_van_nieuwe_technologieën term: 'Lijst EDPB: Gebruik van nieuwe technologieën' category: Pre-scan DPIA - E. Lijst EDPB definition: Gebruik van nieuwe technologieën is een criteria uit de [Lijst EDPB] met betrekking tot innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen. metadata: toelichting: 'In de AVG wordt duidelijk gesteld (artikel 35, lid 1, en de overwegingen 89 en 91) dat het gebruik van een nieuwe technologie, gedefinieerd conform het bereikte niveau van technologische kennis, aanleiding kan geven tot de noodzaak om een DPIA uit te voeren. Dit komt omdat het gebruik van dergelijke technologie nieuwe vormen van gegevensverzameling en -gebruik kan inhouden, mogelijk met een hoog risico voor de rechten en vrijheden van natuurlijke personen. De persoonlijke en sociale gevolgen van het gebruik van een nieuwe technologie kunnen immers onbekend zijn. Een DPIA zal de verwerkingsverantwoordelijke helpen om dergelijke risico''s te begrijpen en aan te pakken.' voorbeelden: - het combineren van het gebruik van vingerafdrukken en gezichtsherkenning voor een betere fysieke toegangscontrole kennisbronnen: - paragraaf 3Ba, pagina 11, Richtsnoeren EDPB;Vragenlijst, paragraaf E, Pre-scan DPIA redactionele_opmerking: Deze term volgt uit de Pre-scan DPIA, de definitie uit de Richtsnoeren EDPB. - id: dpia_managementsamenvatting term: DPIA managementsamenvatting category: DPIA - 00. Algemeen definition: Een DPIA managementsamenvatting is een samenvatting van een [DPIA] die de belangrijkste punten omvat, met name de geïdentificeerde [risico's voor betrokkenen] en (voorgenomen) [maatregelen] om de [risico's voor betrokkenen] te mitigeren. metadata: kennisbronnen: - Managementsamenvatting, pagina 5, Rapportagemodel DPIA Rijksdienst - id: internationale_doorgifte_bijzondere_persoonsgegevens_geen_bijzondere_persoonsgegevens term: 'Internationale doorgifte bijzondere persoonsgegevens: geen bijzondere persoonsgegevens' category: Pre-scan DPIA - C. Internationale doorgiften definition: 'Internationale doorgifte bijzondere persoonsgegevens: geen bijzondere persoonsgegevens is een aanduiding van een [classificatie] van [internationale doorgifte] die aangeeft dat er geen doorgifte is van [bijzondere persoonsgegevens] naar een [derde land] of internationale organisatie buiten de [EER].' metadata: kennisbronnen: - Vragenlijst, vraag 19, Pre-scan DPIA redactionele_opmerking: Deze term en definitie zijn afgeleid van het gebruik in de Pre-scan DPIA. - id: dpia_opslaglocatie term: DPIA opslaglocatie category: DPIA - 00. Algemeen definition: Een DPIA opslaglocatie is de locatie waar een [documentbeheerder], namens een [verwerkingsverantwoordelijke] die een [DPIA] opstelt, dat [DPIA] [document] opslaat. metadata: kennisbronnen: - Analyse team redactionele_opmerking: Term geïntroduceerd in overleg met PAR-team. - id: doorgiftemechanisme_overig_mechanisme term: 'Doorgiftemechanisme: overig mechanisme' category: Pre-scan DPIA - C. Internationale doorgiften definition: Een overig mechanisme is een [doorgiftemechanisme] anders dan één van de standaard keuzes. metadata: toelichting: Bij dit mechanisme hoort een specificatie van welk mechanisme hier wordt bedoeld, bijvoorbeeld een doorgiftemechanisme uit artikel 46, lid 3, AVG. kennisbronnen: - Analyse team - id: betrokken_partij_bij_gegevensverwerking term: Betrokken partij bij gegevensverwerking category: DPIA - 06. Betrokken partijen definition: Een betrokken partij bij een gegevensverwerking is een [partij] die in een [AVG-rol] betrokken is bij een [gegevensverwerking persoonsgegevens]. metadata: kennisbronnen: - paragraaf 3.6, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van het gebruik van de term in het Model DPIA Rijksdienst. meervoudsvormen: - Betrokken partijen bij gegevensverwerking alternatieve_spellingen: - Betrokken partij - id: gemiddelde_impact term: Gemiddelde impact category: DPIA - 16. Risico's voor betrokkenen definition: Een gemiddelde impact is een aanduiding dat een [risico voor betrokkenen] een gemiddelde [impact] heeft wanneer deze intreedt. metadata: kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van het gebruik van de term in het Model DPIA Rijksdienst. - id: gegevensverwerking_persoonsgegevens term: Gegevensverwerking persoonsgegevens category: DPIA - 03. Gegevensverwerkingen definition: Een gegevensverwerking persoonsgegevens is een gegevensverwerking of een geheel van bewerkingen met betrekking tot [persoonsgegevens] of een geheel van [persoonsgegevens]. metadata: toelichting: De bewerking of het geheel van bewerkingen wordt al dan niet uitgevoerd via geautomatiseerde procedés. Voorbeelden zijn het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens. voorbeelden: - Verzoek om informatie, betaling/transactie. kennisbronnen: - artikel 4, lid 2, AVG redactionele_opmerking: Een gegevensverwerking heeft in de context van de DPIA altijd betrekking op persoonsgegevens. Vanuit andere wetgeving heeft de term 'gegevensverwerking' ook betrekking op bewerkingen van gegevens zonder persoonsgegevens. meervoudsvormen: - Gegevensverwerkingen alternatieve_spellingen: - Verwerking - Gegevensverwerking - id: big_data-verwerking term: Big data-verwerking category: DPIA - 04. Technieken en methoden definition: Een big data-verwerking is een [gegevensverwerking persoonsgegevens] waarbij grote hoeveelheden gestructureerde en ongestructureerde data uit verschillende bronnen worden verwerkt. metadata: kennisbronnen: - paragraaf 1.2.1, pagina 21, WRR 95 redactionele_opmerking: De definitie voor 'big data-verwerking' is gebaseerd op de hoofdkenmerken van 'big data' in de WRR. - id: laag_risico term: Laag risico category: DPIA - 16. Risico's voor betrokkenen definition: Een laag risico is een [risico voor betrokkenen] met een laag [risiconiveau]. metadata: kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van het gebruik van de term in het Model DPIA Rijksdienst. alternatieve_spellingen: - Laag risiconiveau - id: categorie_bijzondere_persoonsgegevens_gegevens_over_gezondheid term: 'Categorie bijzondere persoonsgegevens: Gegevens over gezondheid' category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Gegevens over gezondheid zijn [bijzondere persoonsgegevens] over de fysieke of mentale gezondheid van een persoon. metadata: toelichting: Inclusief gegevens over verleende gezondheidsdiensten waarmee informatie over iemands gezondheidstoestand wordt gegeven. voorbeelden: - Gewicht, hartslag, handicap, ziekterisico, verleende gezondheidsdiensten. kennisbronnen: - artikel 9, lid 1, AVG;artikel 4, lid 15, AVG redactionele_opmerking: De definitie uit de AVG is opgesplitst in definitie en toelichting. 'Persoonsgegevens' is vervangen door 'bijzondere persoonsgegevens', om naar het juiste begrip te kunnen verwijzen. - id: organisatorische_activiteit_zonder_dpia-verplichting_o.b.v._lijst_ap_of_edpb term: Organisatorische activiteit zonder DPIA-verplichting o.b.v. lijst AP of EDPB category: Pre-scan DPIA - D. Lijst AP definition: Een organisatorische activiteit zonder DPIA-verplichting op basis van de [lijst AP] of de [lijst EDPB] ontstaat wanneer een [partij] niet tenminste één gegevensverwerking uit de Lijst AP uitvoert, en ook niet tenminste twee criteria uit de Lijst EDPB gelden. metadata: kennisbronnen: - info, Pre-scan DPIA redactionele_opmerking: Deze definitie is afgeleid van het gebruik in de Pre-scan DPIA. - id: toestemming_vrij_gegeven term: Toestemming vrij gegeven category: DPIA - 11. Rechtsgronden definition: Toestemming vrij gegeven is een voorwaarde aan de [Rechtsgrond toestemming] die stelt dat de toestemming vrij gegeven moet zijn. metadata: toelichting: 'De algemene regel is dat wanneer de betrokkene geen echte keuze heef, zich gedwongen voelt om toe te stemmen, of negatieve consequenties ondervindt wanneer toestemming niet gegeven wordt, de toestemming niet vrij is. Met name wanneer er sprake is van een afankelijkheidsrelatie, bijvoorbeeld in de arbeidssfeer of in de relatie overheid-burger, zal toestemming niet snel vrij zijn gegeven. Dit betekent dat u in dergelijke situaties geen geldige toestemming kunt vragen van betrokkenen en de verwerking van persoonsgegevens dus niet op deze grondslag kan baseren.' kennisbronnen: - paragraaf 4.3.3, pagina 35, Handleiding AVG - id: lijst_ap_biometrische_gegevens term: 'Lijst AP: Biometrische gegevens' category: Pre-scan DPIA - D. Lijst AP definition: 'Biometrische gegevens is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. grootschalige [gegevensverwerking persoonsgegevens] en/of stelselmatige monitoring van [categorie bijzondere persoonsgegevens: Biometrische gegevens met het oog op de unieke identificatie van een persoon].' metadata: toelichting: Op grond van de Algemene verordening gegevensbescherming is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon, in beginsel verboden. In Nederland zijn aanvullende voorwaarden gesteld in artikel 29 van de Uitvoeringswet Algemene verordening gegevensbescherming. Enkel als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden, is de verwerking van biometrische gegevens toegestaan. kennisbronnen: - pagina 3, Lijst AP redactionele_opmerking: 'De definitie is overgenomen uit de Lijst AP, waarbij ''verwerking'' is vervangen door ''gegevensverwerking'', en ''biometrische gegevens met als verwerkingsdoeleinde een natuurlijk persoon te identificeren'' is vervangen door ''Type bijzonder persoonsgegeven: Biometrische gegevens met het oog op de unieke identificatie van een persoon'' om zo naar de voorkeurstermen van deze begrippen te verwijzen.' - id: maatregel_tegen_risico_op_basis_van_doorgifte term: Maatregel tegen risico op basis van doorgifte category: DPIA - 08. Verwerkingslocaties definition: Een maatregel tegen risico op basis van doorgifte is een [maatregel] die genomen wordt om een geïdentificeerd [risico op basis van doorgifte] te beperken. metadata: kennisbronnen: - paragraaf 8, pagina 11, Rapportagemodel DPIA Rijksdienst;Analyse team redactionele_opmerking: De definitie van deze term is vastgesteld in overleg met het PAR-team. - id: lijst_edpb_bijzondere_persoonsgegevens_of_zeer_gevoelige_persoonsgegevens term: 'Lijst EDPB: Bijzondere persoonsgegevens of zeer gevoelige persoonsgegevens' category: Pre-scan DPIA - E. Lijst EDPB definition: 'Bijzondere persoonsgegevens of zeer gevoelige persoonsgegevens is een criteria uit de [Lijst EDPB] die bestaat uit de volgende typen persoonsgegevens: * [gevoelige persoonsgegevens] * [bijzondere persoonsgegevens] * [strafrechtelijke persoonsgegevens] * [nationale identificatienummers]' metadata: toelichting: 'Het omvat de categorieën persoonsgegevens zoals omschreven in artikel 9 en 10 van de AVG (bijzondere en strafrechtelijke persoonsgegevens), evenals nationale identificatienummers (artikel 87 van de AVG). Daarnaast omvat het alle persoonsgegevens die: * verband houden met huishoudelijke en privéactiviteiten; * en/of de uitoefening van een grondrecht beïnvloeden; * en/of of omdat de schending van de vertrouwelijkheid van deze gegevens duidelijk gevolgen heeft voor het dagelijkse leven van de betrokkene.' kennisbronnen: - paragraaf 3Ba, pagina 11, Richtsnoeren EDPB;Vragenlijst, paragraaf E, Pre-scan DPIA redactionele_opmerking: Deze term volgt uit de Pre-scan DPIA. De definitie is overgenomen uit de Richtsnoeren EDPB, ter verduidelijking aangevuld met 'AVG'. - id: gegevenstype term: Gegevenstype category: DPIA - 02. Persoonsgegevens definition: Een gegevenstype definieert het type van een verzameling gegevens met gelijke eigenschappen. Het beschrijft en normeert een eigenschap van klasse objecten in de werkelijkheid. Aan een gegevenstype kan dus een eenduidige definitie worden gekoppeld, onafhankelijk van mogelijk verschillende fysieke implementaties. metadata: toelichting: 'Een gegevenstype is een abstract concept, en beschrijft géén fysieke data. Een gegevenstype kan worden beschreven door de naam, zoals “woonadres” of “straatnaam”, wat meestal voldoet voor een conceptueel model. Voor volledige typering in een logisch gegevensmodel zijn de beperkingen op de mogelijke waarden echter noodzakelijk. Die beperkingen vormen het domein van de mogelijke waarden die de gegevens kunnen hebben, het waardetype. Het gebruik van het concept gegevenstype is handig, omdat één type gegeven fysiek op ontelbare manieren kan worden gerepresenteerd, met verschillende waardetypes en benamingen die niet altijd beschrijvend zijn. Echter, ieder van deze fysieke implementaties beschrijft hetzelfde type gegeven, met eenzelfde definitie.' kennisbronnen: - Analyse team meervoudsvormen: - Gegevenstypen - id: bewaartermijn_minder_dan_24_uur term: 'Bewaartermijn: Minder dan 24 uur' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Minder dan 24 uur is een aanduiding van een [bewaartermijn] die aangeeft dat de [persoonsgegevens] voor minder dan 24 uur moeten worden bewaard. metadata: kennisbronnen: - Vragenlijst, vraag 11d, Pre-scan DPIA - id: taak_van_algemeen_belang term: Taak van algemeen belang category: DPIA - 11. Rechtsgronden definition: Een taak van algemeen belang is een taak van de rijksoverheid die voortkomt uit een [publiek belang] en is vastgelegd in [wetgeving] en/of [regelgeving]. metadata: toelichting: Hiermee bedoelen we dus de publieke taken en verantwoordelijkheden die door de overheid worden uitgevoerd ten behoeve van de samenleving. Deze taken zijn essentieel voor het goed functioneren van de overheid en het waarborgen van publieke belangen, zoals rechtszekerheid, efficiënte dienstverlening en transparantie. kennisbronnen: - Kennis Openbaar Bestuur redactionele_opmerking: 'Kennis Openbaar Bestuur spreekt van een ''publieke taak'', een synoniem van de voorkeursterm in dit begrippenkader ''taak van algemeen belang''. ''Vastgelegd in wetgeving en/of regelgeving'' is toegevoegd aan de definitie, omdat overheidsoptreden niet kan zonder een wettelijke basis. ' meervoudsvormen: - Taken van algemeen belang alternatieve_spellingen: - Publiekrechtelijke taak - publieke taak - id: conclusie_toelaatbaarheid_hergebruik_niet_toelaatbaar term: 'Conclusie toelaatbaarheid hergebruik: niet toelaatbaar' category: DPIA - 13. Doelbinding definition: Niet toelaatbaar is een aanduiding van [conclusie toelaatbaarheid hergebruik] die aangeeft dat hergebruik niet is toegestaan. metadata: kennisbronnen: - paragraaf 3.13, pagina 46, Model DPIA Rijksdienst;artikel 6, lid 4, AVG redactionele_opmerking: De term en definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst en de AVG. - id: impact_van_optreden_risico_voor_betrokkenen term: Impact van optreden risico voor betrokkenen category: DPIA - 16. Risico's voor betrokkenen definition: De impact van het optreden van een risico voor betrokkenen is (de inschatting van) de ernst van de gevolgen van een [risico voor betrokkenen] als dit zich daadwerkelijk voordoet. metadata: kennisbronnen: - paragraaf 3.16, pagina 52, Model DPIA Rijksdienst - id: frequentie_van_verwerking_continu term: 'Frequentie van verwerking: Continu' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Continu is een aanduiding van de [frequentie van verwerking] die aangeeft dat [persoonsgegevens] continu worden verwerkt. metadata: kennisbronnen: - Vragenlijst, vraag 11c, Pre-scan DPIA - id: functionaris_voor_gegevensbescherming term: Functionaris voor gegevensbescherming category: DPIA - 00. Algemeen definition: De functionaris voor gegevensbescherming is een [persoon] die de [functie] van 'functionaris voor gegevensbescherming' bekleedt en binnen een organisatie toezicht houdt op de toepassing en naleving van de privacywetgeving. metadata: toelichting: Voor vragen over wanneer een DPIA verplicht of wenselijk is, kan contact worden opgenomen met een privacy officer of de functionaris voor gegevensbescherming (FG). kennisbronnen: - AP alternatieve_spellingen: - Functionaris voor de Gegevensbescherming - Functionaris Gegevensbescherming - id: betrokken_partij_bij_gegevensverwerking_is_derde/verwerkingsverantwoordelijke term: Betrokken partij bij gegevensverwerking is derde/verwerkingsverantwoordelijke category: DPIA - 06. Betrokken partijen definition: Een betrokken partij bij een gegevensverwerking is derde of verwerkingsverantwoordelijke als de [partij] betrokken is bij een [gegevensverwerking persoonsgegevens] en daar de rol van [derde] heeft, OF de rol van [verwerkingsverantwoordelijke]. metadata: toelichting: Dit is een afgeleide rol. kennisbronnen: - Analyse team - id: classificatie term: Classificatie category: DPIA - 02. Persoonsgegevens definition: Een classificatie is een indeling of groepering van objecten, gegevens of waarden in categorieën of klassen op basis van gedeelde kenmerken of criteria. metadata: toelichting: Een classificatie wordt gekenmerkt door een naam (of onderwerp), de categorie en een vastgestelde definitie (het is niet slechts een lijstje met waarden). kennisbronnen: - Analyse team - id: doorgiftemechanisme_goedgekeurd_certificeringsmechanisme term: 'Doorgiftemechanisme: goedgekeurd certificeringsmechanisme' category: Pre-scan DPIA - C. Internationale doorgiften definition: Een goedgekeurd certificeringsmechanisme is een [doorgiftemechanisme] dat overeenkomstig artikel 42 van de AVG is goedgekeurd. Het certificeringsmechanisme moet zijn gecombineerd met bindende en afdwingbare toezeggingen van de [verwerkingsverantwoordelijke] of de [verwerker] in het [derde land] om de passende waarborgen, onder meer voor de [rechten van de betrokkenen], toe te passen. metadata: kennisbronnen: - artikel 46, lid 2, sub f, AVG; artikel 42, AVG - id: basisregistratie_basisregistratie_inkomen term: 'Basisregistratie: Basisregistratie Inkomen' category: Pre-scan DPIA - F. Basisregistraties definition: De Basisregistratie Inkomen (BRI) is een [basisregistratie] waarin van burgers het verzamelinkomen of het belastbaar jaarloon staat. metadata: kennisbronnen: - BasisregistratieDigitaleOverheid redactionele_opmerking: Deze definitie volgt uit de beschrijving op Digitale Overheid. - id: lijst_edpb_stelselmatige_en_grootschalige_monitoring term: 'Lijst EDPB: Stelselmatige en grootschalige monitoring' category: Pre-scan DPIA - E. Lijst EDPB definition: Stelselmatige en grootschalige monitoring is een criteria uit de [Lijst EDPB] m.b.t. een [gegevensverwerking persoonsgegevens] die wordt gebruikt voor het observeren, monitoren of controleren van [betrokkenen]. metadata: toelichting: Het monitoren of controleren van betrokkenen inclusief via netwerken verzamelde gegevens of stelselmatige monitoring van openbaar toegankelijke ruimten is een criterium omdat de persoonsgegevens kunnen worden verzameld in omstandigheden waarin de betrokkenen mogelijk niet weten wie hun gegevens verzamelt en hoe die gegevens zullen worden gebruikt. Bovendien kan het voor natuurlijke personen onmogelijk zijn om te voorkomen dat ze aan een dergelijke verwerking in een openbare (of openbaar toegankelijke) ruimte worden onderworpen. kennisbronnen: - paragraaf 3Ba, pagina 11, Richtsnoeren EDPB;Vragenlijst, paragraaf E, Pre-scan DPIA redactionele_opmerking: Deze term volgt uit de Pre-scan DPIA, de definitie uit de Richtsnoeren EDPB. - id: basisregistratie_basisregistratie_ondergrond term: 'Basisregistratie: Basisregistratie Ondergrond' category: Pre-scan DPIA - F. Basisregistraties definition: De Basisregistratie Ondergrond (BRO) is een [basisregistratie] die gegevens bevat over geologische en bodemkundige opbouw van de Nederlandse ondergrond. metadata: kennisbronnen: - BasisregistratieDigitaleOverheid - id: organisatorische_doelstelling term: Organisatorische doelstelling category: DPIA - 00. Algemeen definition: Een organisatorische doelstelling is een doelstelling om te voldoen aan een eis die de wet, de omgeving, of de eigen organisatie oplegt. Het beschrijft datgene wat de organisatie probeert te bereiken. metadata: toelichting: Een organisatorische doelstelling is óf gebaseerd op wet- en regelgeving (een wettelijke taak), óf het is een organisatorische doelstelling op basis van motivatie zoals een marktvraag waaraan men wil voldoen, wensen van de directie, verbeteren van de eigen reputatie of om bijvoorbeeld zaken te regelen die niet zijn voorgeschreven in wet- of regelgeving maar die bijdragen aan de intentie van die wet, zoals toegankelijkheid voor burgers. kennisbronnen: - Analyse team - id: rechten_en_vrijheden_van_de_betrokkenen term: Rechten en vrijheden van de betrokkenen category: DPIA - 16. Risico's voor betrokkenen definition: 'De rechten en vrijheden van de betrokkenen zijn de grondrechten en fundamentele vrijheden van de [betrokkenen]. ' metadata: toelichting: 'Bij rechten en vrijheden van de betrokkenen moet in eerste instantie aan het recht op privacy worden gedacht, maar ook aan andere fundamentele rechten en vrijheden, zoals de vrijheid van meningsuiting, de vrijheid van godsdienst en het verbod van discriminatie. Het voordoen van de (hypothetische) situatie kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokkene. ' kennisbronnen: - artikel 1, lid 2, AVG - id: betrokken_partij_bij_gegevensverwerking_is_derde term: Betrokken partij bij gegevensverwerking is derde category: DPIA - 06. Betrokken partijen definition: Een betrokken partij bij een gegevensverwerking is derde als de [partij] betrokken is bij een [gegevensverwerking persoonsgegevens] en daar de rol van [derde] heeft. metadata: kennisbronnen: - Analyse team - id: lijst_ap_gezondheidsgegevens term: 'Lijst AP: Gezondheidsgegevens' category: Pre-scan DPIA - D. Lijst AP definition: 'Gezondheidsgegevens is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. grootschalige [gegevensverwerkingen] (waaronder ook grootschalige elektronische uitwisseling) van [categorie bijzondere persoonsgegevens: Gegevens over gezondheid].' metadata: toelichting: 'Verwerkingen bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars, en onderzoeksinstituten. Let wel: individuele artsen en individuele zorgprofessionals zijn op grond van overweging 91 van de Algemene verordening gegevensbescherming uitgezonderd van de verplichting een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren.' kennisbronnen: - pagina 2, Lijst AP redactionele_opmerking: 'verwerkingen'' is vervangen door ''gegevensverwerkingen'' en ''gegevens over gezondheid'' is vervangen door ''Type bijzondere persoonsgegevens: Gegevens over gezondheid'', om naar de juiste begrippen te kunnen verwijzen.' - id: procedure_ter_invulling_van_het_recht_van_de_betrokkene term: Procedure ter invulling van het recht van de betrokkene category: DPIA - 15. Rechten van de betrokkene definition: Een procedure ter invulling van het recht van de betrokkene is een procedure waarmee invulling wordt gegeven aan een [recht van de betrokkene]. metadata: toelichting: In de procedure beschrijft de verwerkingsverantwoordelijke de wijze waarop betrokkenen hun rechten uit kunnen oefenen wat betreft de gegevensverwerkingen. Hierbij wordt beschreven hoe deze procedure binnen de desbetreffende organisatie is ingebed en welke rollen verantwoordelijk zijn binnen de verschillende stappen van de procedure. kennisbronnen: - paragraaf 3.15, pagina 49, Model DPIA Rijksdienst alternatieve_spellingen: - Procedure ter uitvoering - id: dtia term: DTIA category: Pre-scan DPIA - C. Internationale doorgiften definition: Een DTIA is een onderzoek naar een specifieke [internationale doorgifte], de daaraan verbonden risico's en de mogelijkheden om de geïnventariseerde risico's te mitigeren. metadata: kennisbronnen: - Toetsingskader Doorgifte persoonsgegevens redactionele_opmerking: De definitie is overgenomen uit het Toetsingskader Doorgifte persoonsgegevens, maar 'doorgifte' is vervangen door 'internationale doorgifte'. - id: proportionaliteitsbeoordeling term: Proportionaliteitsbeoordeling category: DPIA - 14. Noodzaak en evenredigheid definition: Een proportionaliteitsbeoordeling is een beoordeling waarin wordt aangetoond dat de [gegevensverwerkingen] voldoen aan het beginsel van [proportionaliteit]. metadata: kennisbronnen: - paragraaf 3.14, pagina 48, Model DPIA Rijksdienst redactionele_opmerking: Deze term en definitie zijn afgeleid uit de informatie in het Model DPIA Rijksdienst. Op verzoek van het PAR-team is gesteld dat de enige legitieme uitkomst van deze beoordeling is dat voldaan is aan het beginsel. - id: betrokken_partij_bij_gegevensverwerking_is_verwerker_of_sub-verwerker term: Betrokken partij bij gegevensverwerking is verwerker of sub-verwerker category: DPIA - 06. Betrokken partijen definition: Een betrokken partij bij een gegevensverwerking is een verwerker of sub-verwerker als de [partij] betrokken is bij een [gegevensverwerking persoonsgegevens] en daar de rol van [verwerker] of [sub-verwerker] heeft. metadata: toelichting: Een verwerker kan niet tegelijkertijd een sub-verwerker zijn. kennisbronnen: - Analyse team - id: opslag_van_gegevens term: Opslag van gegevens category: Pre-scan DPIA - C. Internationale doorgiften definition: Opslag van gegevens is een [classificatie] van waar de opslag van [persoonsgegevens] contractueel plaats vindt. metadata: toelichting: Bij invulling van 'opslag van gegevens' in de Pre-scan DPIA kan er één optie worden ingevuld. Is er sprake van meerdere opslaglocaties, dan geldt de meest relevante. kennisbronnen: - Vragenlijst, vraag 15, Pre-scan DPIA redactionele_opmerking: De definitie is afgeleid van het gebruik van de term in de Pre-scan DPIA. - id: dpia_onderwerp_gegevensverwerkingen term: 'DPIA onderwerp: gegevensverwerkingen' category: DPIA - 03. Gegevensverwerkingen definition: Gegevensverwerkingen is een [DPIA onderwerp] dat de [gegevensverwerkingen] beschrijft waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.3, Model DPIA Rijksdienst - id: categorie_gewone_persoonsgegevens_overige term: 'Categorie gewone persoonsgegevens: Overige' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Overige is een [categorie gewone persoonsgegevens] met [persoonsgegevens], niet zijnde apparaat- en internetgegevens, content, demografische gegevens, diagnostische gegevens of telemetrie, gegevens verzameld via een website, helpdeskgegevens, logging en naam- en/of contactgegevens. metadata: toelichting: 'Deze categorie is bedoeld voor gegevens die niet netjes in één van de andere categorieën passen, maar toch herleidbaar zijn tot een persoon. Als deze categorie wordt geselecteerd in de Pre-scan DPIA, dient een verdere specificatie van de categorie te worden gegeven.' voorbeelden: - Handgeschreven notities. kennisbronnen: - Vragenlijst, vraag 7, Pre-scan DPIA - id: categorie_bijzondere_persoonsgegevens_gegevens_met_betrekking_tot_iemands_seksueel_gedrag_of_seksuele_gerichtheid term: 'Categorie bijzondere persoonsgegevens: Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid' category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn [bijzondere persoonsgegevens] met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. metadata: toelichting: Het kan ook gaan over gegevens die indirect iets over iemands seksueel gedrag of seksuele gerichtheid zeggen, zoals een bezoekerslijst van een gay bar of het ledenbestand van het COC. voorbeelden: - Lidmaatschap van LGBT belangenvereniging, bezoekersregistratie van LBGT bar, lidmaatschapslijst parenclub, bestellingen bij een sexshop. kennisbronnen: - artikel 9, lid 1, AVG - id: lijst_edpb_mensen_beoordelen_met_persoonskenmerken_(evaluatie_of_scoring) term: 'Lijst EDPB: Mensen beoordelen met persoonskenmerken (evaluatie of scoring)' category: Pre-scan DPIA - E. Lijst EDPB definition: Mensen beoordelen met persoonskenmerken (evaluatie of scoring) is een criteria uit de [Lijst EDPB] met betrekking tot evaluatie of scoretoekenning. metadata: toelichting: 'Evaluatie of scoretoekenning met inbegrip van profielbepaling en voorspelling, met name van kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene' voorbeelden: - 'Een financiële instelling die haar klanten screent op basis van een kredietreferentiedatabank, een databank die wordt ingezet in de strijd tegen witwaspraktijken en terrorismefinanciering, of een fraudedatabank, of een biotechnologiebedrijf dat rechtstreeks aan consumenten genetische tests aanbiedt om ziekte-/gezondheidsrisico''s te beoordelen en te voorspellen, of een bedrijf dat gedrags- of marketingprofielen opstelt op basis van het gebruik van of de navigatie op zijn website.' kennisbronnen: - paragraaf 3Ba, pagina 10, Richtsnoeren EDPB;Vragenlijst, paragraaf E, Pre-scan DPIA redactionele_opmerking: Deze term volgt uit de Pre-scan DPIA, de definitie uit de Richtsnoeren EDPB. - id: iama-verplichting term: IAMA-verplichting category: Pre-scan DPIA - G. Algoritmes/AI definition: Een IAMA-verplichting geldt wanneer een [partij] verplicht is een [IAMA] op te stellen voor een [algoritme]. metadata: toelichting: Een partij is in ieder geval verplicht een IAMA op te stellen als gebruik wordt gemaakt van een algoritme dat kwalificeert als een AI-systeem. kennisbronnen: - Vragenlijst, paragraaf G, Pre-scan DPIA redactionele_opmerking: Dit begrip volgt uit de Pre-scan DPIA en is aangescherpt in overleg met het PAR team. - id: conclusie_toelaatbaarheid_hergebruik_toelaatbaar_o.b.v._toestemming term: 'Conclusie toelaatbaarheid hergebruik: toelaatbaar o.b.v. toestemming' category: DPIA - 13. Doelbinding definition: Toelaatbaarheid o.b.v. toestemming is een aanduiding van [conclusie toelaatbaarheid hergebruik] die aangeeft dat hergebruik is toegestaan op basis van toestemming van de [betrokkene]. metadata: kennisbronnen: - paragraaf 3.13, pagina 46, Model DPIA Rijksdienst;artikel 6, lid 4, AVG redactionele_opmerking: De term en definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst en de AVG. - id: conclusie_toelaatbaarheid_hergebruik term: Conclusie toelaatbaarheid hergebruik category: DPIA - 13. Doelbinding definition: Een conclusie toelaatbaarheid hergebruik is de beschrijving van de uitslag van een beoordeling van de toelaatbaarheid van het hergebruik van de gegevens voor een nieuw verwerkingsdoeleinde. De conclusie geeft aan of [persoonsgegevens] die zijn verzameld voor een [oorspronkelijk verwerkingsdoeleinde] hergebruikt mogen worden voor een nieuw [verwerkingsdoeleinde]. metadata: kennisbronnen: - paragraaf 3.13, pagina 46, Model DPIA Rijksdienst;artikel 6, lid 4, AVG redactionele_opmerking: De term en definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst en de AVG. - id: lijst_edpb_koppelen_van_datasets term: 'Lijst EDPB: Koppelen van datasets' category: Pre-scan DPIA - E. Lijst EDPB definition: Koppelen van datasets is een criteria uit de [Lijst EDPB] met betrekking tot matching of samenvoeging van datasets. metadata: toelichting: Bijvoorbeeld datasets die voortkomen uit twee of meer gegevensverwerkingen die voor verschillende doeleinden zijn uitgevoerd en/of door verschillende verwerkingsverantwoordelijken zijn uitgevoerd op een wijze die de redelijke verwachtingen van de betrokkene zou overschrijden. kennisbronnen: - paragraaf 3Ba, pagina 11, Richtsnoeren EDPB;Vragenlijst, paragraaf E, Pre-scan DPIA redactionele_opmerking: Deze term volgt uit de Pre-scan DPIA, de definitie uit de Richtsnoeren EDPB. - id: categorie_gewone_persoonsgegevens_logging term: 'Categorie gewone persoonsgegevens: Logging' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Logging is een [categorie gewone persoonsgegevens] met [persoonsgegevens] over het gedrag van de betrokkene in een geautomatiseerde omgeving. metadata: toelichting: Het gaat hier om gegevens die zijn verzameld als audit trail en/of voor applicatielogging in het kader van analyse van security incidenten, foutopsporing en -herstel, monitoring van applicaties en dergelijke. Hierin staan veelal IP- en MAC-adressen van gebruikte hardware. Als deze te herleiden zijn naar natuurlijke personen gaat het om persoonsgegevens. voorbeelden: - MAC-adres, IP-adres, URL, foutmelding, statuscode, accountnaam, sessie ID, gebruikte encryptie, provider, oorspronkelijk IP-adres. kennisbronnen: - Vragenlijst, vraag 7, Pre-scan DPIA - id: organisatorische_activiteit_met_dtia-verplichting term: Organisatorische activiteit met DTIA-verplichting category: Pre-scan DPIA - C. Internationale doorgiften definition: Een organisatorische activiteit met DTIA-verplichting is een [organisatorische activiteit persoonsgegevens] met [internationale doorgifte] die op grond van het [doorgiftemechanisme] een [DTIA-verplichting] krijgt. metadata: kennisbronnen: - Vragenlijst, vraag 13, Pre-scan DPIA - id: dpia_onderwerp_verwerkingsdoeleinden term: 'DPIA onderwerp: verwerkingsdoeleinden' category: DPIA - 05. Verwerkingsdoeleinden definition: Verwerkingsdoeleinden is een [DPIA onderwerp] dat de [verwerkingsdoeleinden] beschrijft van de [gegevensverwerkingen] waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.5, Model DPIA Rijksdienst - id: hergebruik_toelaatbaar_o.b.v._unie-_of_lidstatelijk_recht term: Hergebruik toelaatbaar o.b.v. Unie- of lidstatelijk recht category: DPIA - 13. Doelbinding definition: Toelaatbaarheid o.b.v. Unie- of lidstatelijk recht is een aanduiding van een [conclusie toelaatbaarheid hergebruik] die aangeeft dat hergebruik is toegestaan op basis van een of meerdere wetsbepalingen in Unie- of lidstatelijk recht. metadata: toelichting: In dit geval wordt de conclusie voor de toelaatbaarheid van het hergebruik bepaald op "toelaatbaar o.b.v. Unie- of lidstatelijk recht". kennisbronnen: - paragraaf 3.13, pagina 46, Model DPIA Rijksdienst;artikel 6, lid 4, AVG redactionele_opmerking: De term en definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst en de AVG. - id: rechtsgrond_verstrekking term: Rechtsgrond verstrekking category: DPIA - 02. Persoonsgegevens definition: Rechtsgrond verstrekking is de [rechtsgrond] op basis waarvan [persoonsgegevens] verstrekt mogen worden. metadata: kennisbronnen: - paragraaf 3.2, pagina 26, Model DPIA Rijksdienst redactionele_opmerking: De term is geïntroduceerd op basis van de informatie in het Model DPIA Rijksdienst. - id: beleid term: Beleid category: DPIA - 09. Juridisch en beleidsmatig kader definition: Beleid is het geheel van regels en inzichten over de uitvoering van wettelijke taken van een bestuursorgaan. metadata: kennisbronnen: - Juridisch woordenboek - id: dpia_onderwerp_rechten_van_de_betrokkene term: 'DPIA onderwerp: rechten van de betrokkene' category: DPIA - 15. Rechten van de betrokkene definition: Rechten van de betrokkene is een [DPIA onderwerp] dat de [rechten van de betrokkene] beschrijft bij de [gegevensverwerkingen] waar de [DPIA] betrekking op heeft. metadata: voorbeelden: - Het gaat bijvoorbeeld om het recht op informatie of vergetelheid van een betrokkene. kennisbronnen: - paragraaf 3.15, Model DPIA Rijksdienst - id: beperking_op_recht_van_de_betrokkene term: Beperking op recht van de betrokkene category: DPIA - 15. Rechten van de betrokkene definition: Een beperking op een recht van betrokkene is het buiten toepassing laten van een [recht van de betrokkene]. metadata: kennisbronnen: - artikel 23, lid 1, AVG;artikel 41, lid 1, UAVG redactionele_opmerking: Beperkingen worden in de AVG al beschreven, maar in de UAVG wordt dit in begrijpelijkere taal gedaan. Deze definitie is afgeleid uit de beschrijving in de UAVG. - id: recht_van_bezwaar term: Recht van bezwaar category: DPIA - 15. Rechten van de betrokkene definition: Het recht van bezwaar is een [recht van de betrokkene] waarbij de [betrokkene] het recht heeft om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende [persoonsgegevens]. metadata: kennisbronnen: - artikel 21, lid 1, AVG alternatieve_spellingen: - Recht om bezwaar te maken - id: edpb term: EDPB category: Pre-scan DPIA - E. Lijst EDPB definition: De European Data Protection Board is een onafhankelijk Europees orgaan. Het is de overkoepelende organisatie waarin de nationale toezichthouders van de landen in de [Europese Economische Ruimte] (EER) en de Europese Toezichthouder voor gegevensbescherming (EDPS) samenwerken. metadata: kennisbronnen: - EDPB - id: identificeerbare_natuurlijk_persoon term: Identificeerbare natuurlijk persoon category: DPIA - 02. Persoonsgegevens definition: Een identificeerbare natuurlijk persoon is een [natuurlijk persoon] die direct of indirect kan worden geïdentificeerd. metadata: toelichting: Om te bepalen of iemand identificeerbaar is, dient rekening gehouden te worden met alle middelen waarvan redelijkerwijs valt te verwachten dat die kunnen worden gebruikt om de persoon te identificeren. Met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijk persoon kennisbronnen: - artikel 4, lid 1, AVG redactionele_opmerking: Definitie komt uit de AVG, toelichting gedeeltelijk uit artikel 4, lid 1, AVG, gedeeltelijk uit het Model DPIA Rijksdienst. - id: bron_persoonsgegevens term: Bron persoonsgegevens category: DPIA - 02. Persoonsgegevens definition: Bron persoonsgegevens is een [classificatie] die aangeeft of een [persoonsgegeven] direct van de [betrokkene] komt, of via een [betrokken partij]. metadata: toelichting: 'Het is van belang dat bekend is wat de herkomst is van de persoonsgegevens. De privacyregelgeving geeft namelijk als beginsel dat persoonsgegevens niet verder mogen worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen of wanneer dit is voorzien in Unie- of Nederlands recht. Met andere woorden: de verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld of in overeenstemming is met Unie- of lidstatelijk recht dat direct toeziet op desbetreffende verwerking van persoonsgegevens.' voorbeelden: - De persoonsgegevens worden verkregen via een interne database. De database is opgenomen in een Microsoft Excel-bestand. De database is in beheer van organisatie x. Organisatie x verwerkt deze persoonsgegevens met doeleinde y. kennisbronnen: - paragraaf 3.2, pagina 26, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is gebaseerd op de beschrijving in het Model DPIA Rijksdienst. alternatieve_spellingen: - Bron - id: categorie_gewone_persoonsgegevens_gegevens_verzameld_via_een_website term: 'Categorie gewone persoonsgegevens: Gegevens verzameld via een website' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Gegevens verzameld via een website is een [categorie gewone persoonsgegevens] met [persoonsgegevens] verzameld via een website. metadata: toelichting: Het kan hier gaan om gegevens die worden verzameld via welke website dan ook, dus ook een beheerders-website waar alleen medewerkers en beheerders toegang toe hebben. Alle gegevens die bij het gebruik van websites worden vastgelegd en te herleiden zijn naar een persoon vallen hieronder, bijvoorbeeld cookies die bedoeld zijn voor profilering, een ingevoerde vraag, een aangeklikte knop, een ingediende wens of een aankoop, een wachtwoord of veiligheidszin. voorbeelden: - Webformulieren, cookies, klikgedrag, sessie-informatie. kennisbronnen: - Vragenlijst, vraag 7, Pre-scan DPIA - id: toestemming_ondubbelzinnig term: Toestemming ondubbelzinnig category: DPIA - 11. Rechtsgronden definition: Toestemming ondubbelzinnig is een voorwaarde aan [Rechtsgrond toestemming] die stelt dat de toestemming ondubbelzinnig moet zijn. metadata: toelichting: 'Er mag geen twijfel bestaan over het feit dat de betrokkene toestemming heef gegeven. Toestemming kan blijken uit een ondubbelzinnige wilsuiting of uit een ondubbelzinnige, actieve handeling van de betrokkene. Hiervoor wordt vaak de Engelse term opt in gehanteerd. Het gebruik maken van de optie waarbij ervanuit wordt gegaan dat je toestemming hebt gegeven totdat je je verzet, waarvoor vaak de Engelse term opt out wordt gehanteerd, is geen geldige toestemming in de zin van de AVG.' kennisbronnen: - paragraaf 4.3.3, pagina 36, Handleiding AVG - id: doelbinding term: Doelbinding category: DPIA - 13. Doelbinding definition: Doelbinding geldt wanneer het [verwerkingsdoeleinde] van een verdere [gegevensverwerking persoonsgegevens] als [verenigbaar] wordt beschouwd met de [oorspronkelijke verwerkingsdoeleinden] van de [persoonsgegevens] in die [gegevensverwerking persoonsgegevens]. metadata: toelichting: Als de persoonsgegevens voor een ander doeleinde worden verwerkt dan het doeleinde waarvoor de persoonsgegevens oorspronkelijk zijn verzameld, beoordeel of deze (nieuwe) verdere verwerking toelaatbaar is op grond van Unie- of lidstatelijk recht, dan wel verenigbaar is met het doel waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. kennisbronnen: - artikel 5, lid 1, onder b, AVG redactionele_opmerking: Deze definitie is afgeleid van de beschrijving in de AVG. Het is specifieker gemaakt dat een oorspronkelijk verwerkingsdoeleinde betrekking heeft op specifieke persoonsgegevens in een gegevensverwerking. - id: rechtsgrond_gerechtvaardigd_belang_belangenafweging term: Rechtsgrond gerechtvaardigd belang belangenafweging category: DPIA - 11. Rechtsgronden definition: Een rechtsgrond gerechtvaardigd belang belangenafweging is een [belangenafweging] tussen de [belangen] en grondrechten van de [betrokkene] tegenover de [belangen] van de [verwerkingsverantwoordelijke]. metadata: toelichting: Om de rechtsgrond gerechtvaardigd belang legitiem van toepassing te laten zijn is het verplicht dat de verwerkingsverantwoordelijke een belangenafweging maakt tussen de belangen en grondrechten van de betrokkene tegenover de belangen van de verwerkingsverantwoordelijke. kennisbronnen: - paragraaf 3.11, pagina 44, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie en toelichting zijn afgeleid uit de beschrijving in het Model DPIA Rijksdienst. - id: risico_voor_betrokkenen term: Risico voor betrokkenen category: DPIA - 16. Risico's voor betrokkenen definition: Een risico voor betrokkenen is een mogelijk negatief gevolg van de [gegevensverwerkingen] voor de [rechten en vrijheden van de betrokkenen]. metadata: toelichting: 'Het gaat hier om de situatie waarin persoonsgegevens worden verwerkt die direct of indirect (kunnen) leiden tot schadelijke gevolgen voor de rechten en vrijheden van de betrokkenen. Hierbij kan gedacht worden aan de volgende risicocategorieën: * Discriminatie, stigmatisering en uitsluiting * Het onvermogen om rechten uit te oefenen (inclusief maar niet beperkt tot privacyrechten) * Het onvermogen om toegang te krijgen tot diensten of kansen * Verlies van controle over het gebruik van persoonsgegevens * Identiteitsdiefstal of -fraude * Financieel verlies * Reputatieschade * Lichamelijk letsel * Verlies van vertrouwelijkheid * Heridentificatie van gepseudonimiseerde gegeven * Elk ander aanzienlijk economisch of sociaal nadeel Bij het opstellen van een DPIA worden alle (mogelijke) risico''s voor de betrokkenen beschreven, ook als er al maatregelen zijn getroffen om deze risico''s te mitigeren.' voorbeelden: - Verzamelde gegevens worden na eindigen bewaartermijn niet verwijderd, ongeautoriseerde gebruiker krijgt toegang tot het systeem waarin persoonsgegevens zijn opgeslagen, Financiële persoonsgegevens worden voor ander doeleinde gebruikt dan bepaald ("function/mission creep") kennisbronnen: - paragraaf 3.16, pagina 52, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de beschrijving in het Model DPIA Rijksdienst. Risico's voor betrokkenen kunnen worden onderverdeeld in inherente risico's, resterende risico's en secundaire risico's. meervoudsvormen: - Risico's voor betrokkenen - id: gemiddeld_risico term: Gemiddeld risico category: DPIA - 16. Risico's voor betrokkenen definition: Een gemiddeld risico is een [risico voor betrokkenen] met een gemiddeld [risiconiveau]. metadata: kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van het gebruik van de term in het Model DPIA Rijksdienst. alternatieve_spellingen: - Gemiddeld risiconiveau - id: rechtsgrond_voor_beperking_op_recht_van_de_betrokkene term: Rechtsgrond voor beperking op recht van de betrokkene category: DPIA - 15. Rechten van de betrokkene definition: Een rechtsgrond voor beperking op recht van de betrokkene is een [wetsartikel over beperking op recht van de betrokkene] waarop een [beperking op recht van de betrokkene] is gebaseerd. metadata: toelichting: 'De verwerkingsverantwoordelijke kan de verplichtingen en rechten, bedoeld in de artikelen 12 tot en met 21 en artikel 34 van de AVG, buiten toepassing laten voor zover zulks noodzakelijk en evenredig is ter waarborging van: a. de nationale veiligheid; b. landsverdediging; c. de openbare veiligheid; d. de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; e. andere belangrijke doelstellingen van algemeen belang van de Europese Unie of van Nederland, met name een belangrijk economisch of financieel belang van de Europese Unie of van Nederland, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid; f. de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures; g. de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen; h. een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de gevallen, bedoeld in de onderdelen a, b, c, d, e en g; i. de bescherming van de betrokkene of van de rechten en vrijheden van anderen; of j. de inning van civielrechtelijke vorderingen.' kennisbronnen: - paragraaf 3.15, pagina 51, Model DPIA Rijksdienst;artikel 41, lid 1, UAVG; artikel 23, lid 1, AVG redactionele_opmerking: De definitie is afgeleid uit de informatie in het Model DPIA Rijksdienst. De toelichting volgt uit de UAVG, alhoewel deze grotendeels overeenkomt met lid 1, artikel 23, AVG. - id: bijzonder_persoonsgegeven term: Bijzonder persoonsgegeven category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Een bijzonder persoonsgegeven is een [persoonsgegeven] dat in principe verboden is om te verwerken, volgend uit artikel 9, AVG. metadata: toelichting: Het gaat hier om gegevens die grote risico's voor de betrokkenen kunnen opleveren indien er misbruik van de gegevens wordt gemaakt, of zelfs als deze algemeen bekend worden. Om bijzondere persoonsgegevens toch rechtmatig te verwerken moet een doorbrekingsgrond uit de AVG van toepassing zijn. voorbeelden: - Het adressenbestand van een kerkblad, gegevens die via een apothekers-app worden verwerkt, ziekte- en verzuimgegevens van werknemers en de ledenlijst van een politieke partij. kennisbronnen: - paragraaf 3.2, pagina 23, Model DPIA Rijksdienst meervoudsvormen: - Bijzondere persoonsgegevens - id: lijst_ap_heimelijk_onderzoek term: 'Lijst AP: Heimelijk onderzoek' category: Pre-scan DPIA - D. Lijst AP definition: Heimelijk onderzoek is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. grootschalige [gegevensverwerkingen] van [persoonsgegevens] en-of stelselmatige monitoring waarbij informatie wordt verzameld door middel van onderzoek zonder de [betrokkene] daarvan vooraf op de hoogte te stellen. metadata: toelichting: Een gegevensbeschermingseffectbeoordeling (DPIA) is ook verplicht in geval van heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers (bij deze laatste verwerking dient ook in incidentele gevallen een gegevensbeschermingseffectbeoordeling (DPIA) te worden uitgevoerd vanwege de ongelijkwaardige machtsverhouding tussen de betrokkene (werknemer) en de verwerkingsverantwoordelijke (werkgever)). voorbeelden: - Heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding en onderzoek op internet in het kader van bijvoorbeeld online handhaving van auteursrechten kennisbronnen: - pagina 2, Lijst AP redactionele_opmerking: verwerkingen' is vervangen door 'gegevensverwerkingen', om naar het juiste begrip te kunnen verwijzen. - id: toestemming_specifiek_en_geïnformeerd term: Toestemming specifiek en geïnformeerd category: DPIA - 11. Rechtsgronden definition: Toestemming specifiek en geïnformeerd is een voorwaarde aan de [Rechtsgrond toestemming] die stelt dat de toestemming specifiek en geïnformeerd moet zijn. metadata: toelichting: 'U moet als verwerkingsverantwoordelijke duidelijke informatie verschaffen over de redenen waarom u de persoonsgegevens gaat verwerken (het doel), maar ook over andere zaken die van belang zijn om te zorgen dat de betrokkene voldoende informatie heef om een goed geïnformeerd besluit te nemen.' kennisbronnen: - paragraaf 4.3.3, pagina 35, Handleiding AVG - id: dpia_onderwerp_risico's_voor_betrokkenen term: 'DPIA onderwerp: risico''s voor betrokkenen' category: DPIA - 16. Risico's voor betrokkenen definition: Risico's voor betrokkenen is een [DPIA onderwerp] dat elk [risico voor betrokkenen] beschrijft van de [gegevensverwerkingen] waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst - id: dpia_inleiding term: DPIA inleiding category: DPIA - 00. Algemeen definition: Een DPIA inleiding is een optionele openingstekst van een [DPIA]. metadata: toelichting: 'Denk bijvoorbeeld aan: * Verwijzing naar het privacybeleid * Motivatie achter de uitvoering van deze DPIA * Informatie over de manier waarop deze DPIA is opgesteld' kennisbronnen: - Inleiding, pagina 4, Rapportagemodel DPIA Rijksdienst redactionele_opmerking: De definitie is afgeleid van het gebruik van de term in het Rapportagemodel DPIA Rijksdienst. - id: conclusie_verenigbaarheidstoets term: Conclusie verenigbaarheidstoets category: DPIA - 13. Doelbinding definition: Een conclusie verenigbaarheidstoets is de beschrijving van de uitslag van een [verenigbaarheidstoets]. metadata: kennisbronnen: - paragraaf 13, pagina 16, Rapportagemodel DPIA Rijksdienst - id: lijst_ap_samenwerkingsverbanden term: 'Lijst AP: Samenwerkingsverbanden' category: Pre-scan DPIA - D. Lijst AP definition: Samenwerkingsverbanden is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. het delen van [persoonsgegevens] in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen [bijzondere persoonsgegevens] of [persoonsgegevens] van gevoelige aard met elkaar uitwisselen. metadata: toelichting: Persoonsgegevens van gevoelige aard zoals gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk. Uitwisseling bijvoorbeeld in wijkteams, veiligheidshuizen of informatieknooppunten kennisbronnen: - pagina 2, Lijst AP - id: basisregistratie_basisregistratie_topografie term: 'Basisregistratie: Basisregistratie Topografie' category: Pre-scan DPIA - F. Basisregistraties definition: De Basisregistratie Topografie (BRT) is een [basisregistratie] die bestaat uit digitale topografische bestanden op verschillende schaalniveaus. metadata: kennisbronnen: - BasisregistratieDigitaleOverheid - id: strafrechtelijk_persoonsgegeven term: Strafrechtelijk persoonsgegeven category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Strafrechtelijke persoonsgegevens zijn [persoonsgegevens] die strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen betreffen. Verder gaat het ook om [persoonsgegevens] over een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag. metadata: toelichting: 'Het gaat hier zowel om veroordelingen als om verdenkingen van strafbare feiten. Meer in het algemeen, gaat het om persoonsgegevens die betrekking hebben op gedragingen die aanleiding geven tot maatschappelijke afkeuring en de bescherming van deze persoonsgegevens heeft als doel om te voorkomen dat betrokkenen gestigmatiseerd worden of op andere manier ernstige wijze inbreuk wordt gemaakt op hun privé- of beroepsleven. Volgens rechtspraak van het Europese Hof van Justitie zijn er drie criteria relevant om te beoordelen of sprake is van strafrechtelijke persoonsgegevens in de zin van artikel 10 AVG: * Juridische kwalificatie van het strafbare feit naar nationaal recht; * Aard van het strafbare feit; en * De zwaarte van de sanctie die aan de betrokkene kan worden opgelegd. Zelfs voor strafbare feiten die naar nationaal recht niet als strafbare feiten in strafrechtelijke zin worden gekwalificeerd, kan uit de aard van het strafbare feit zelf en/of uit de zwaarte voortvloeien dat sprake is van strafrechtelijke persoonsgegevens. Strafrechtelijke persoonsgegevens kunnen, bijvoorbeeld, ook voorkomen in zwarte lijsten en een Verklaring Omtrent Gedrag (VOG). Dat is niet per definitie het geval, omdat een zwarte lijst ook kan bestaan uit negatieve gegevens over personen die niet strafrechtelijk van aard zijn en in een VOG kunnen strafrechtelijke persoonsgegevens ontbreken. Wees echter wel bewust dat dergelijke documenten strafrechtelijke persoonsgegevens kunnen bevatten; de beoordeling van strafrechtelijke persoonsgegevens dient breder te worden gelezen dan strafbare feiten die direct een relatie hebben met handelingen die vallen onder het strafrecht.' voorbeelden: - Proces-verbaal, sepotbeslissing, strafblad, relaas verhoor, aanvraag voor een toevoeging in een strafzaak. kennisbronnen: - artikel 10, AVG;paragraaf 3.2, pagina 25, Model DPIA Rijksdienst meervoudsvormen: - Strafrechtelijke persoonsgegevens - id: profilering_toelichting term: Profilering toelichting category: DPIA - 04. Technieken en methoden definition: In de profilering toelichting van een DPIA met [profilering] wordt beschreven op welke wijze profilering wordt ingezet. metadata: kennisbronnen: - paragraaf 3.4, pagina 28, Model DPIA Rijksdienst - id: toelaatbaarheid_hergebruik_toelaatbaar_o.b.v._unie-_of_lidstatelijk_recht term: 'Toelaatbaarheid hergebruik: toelaatbaar o.b.v. Unie- of lidstatelijk recht' category: DPIA - 13. Doelbinding definition: Toelaatbaar o.b.v. Unie- of lidstatelijk recht is een aanduiding van [conclusie toelaatbaarheid hergebruik] die aangeeft dat hergebruik is toegestaan op basis van een of meerdere wetsbepalingen in Unie- of lidstatelijk recht. metadata: kennisbronnen: - paragraaf 3.13, pagina 46, Model DPIA Rijksdienst;artikel 6, lid 4, AVG redactionele_opmerking: De term en definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst en de AVG. - id: afdeling term: Afdeling category: DPIA - 00. Algemeen definition: Een afdeling is een [organisatorische eenheid] die een onderdeel vormt van de afdelingshiërarchie van een organisatie. metadata: kennisbronnen: - Themapatroon identity & access management, Nora meervoudsvormen: - Afdelingen - id: doorgiftemechanisme_juridisch_bindend_en_afdwingbaar_instrument term: 'Doorgiftemechanisme: juridisch bindend en afdwingbaar instrument' category: Pre-scan DPIA - C. Internationale doorgiften definition: Een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen is een [doorgiftemechanisme] dat een passende waarborg biedt voor de privacy van de gegevens in een [internationale doorgifte] metadata: toelichting: Dit kan bijvoorbeeld gaan om een internationale overeenkomst conform artikel 48. kennisbronnen: - artikel 46, lid 2, sub a, AVG; artikel 48, AVG - id: verwerkingsverantwoordelijke term: Verwerkingsverantwoordelijke category: DPIA - 06. Betrokken partijen definition: Een verwerkingsverantwoordelijke is een [partij] die/dat het [verwerkingsdoeleinde] van en de middelen voor de [gegevensverwerking persoonsgegevens] vaststelt. metadata: toelichting: 'De verwerkingsverantwoordelijke is verantwoordelijk voor het uitvoeren van een DPIA. Formeel is de betreffende minister de verwerkingsverantwoordelijke voor gegevensverwerkingen door een onderdeel van de Rijksdienst. In de praktijk zal de bevoegdheid om te beslissen of en op welke wijze persoonsgegevens worden verwerkt zijn gemandateerd, bijvoorbeeld aan een directeur-generaal of een directeur. De gemandateerde functionaris is dan verantwoordelijk voor de uitvoering van een DPIA. Een verwerkingsverantwoordelijke kan niet zelf een verwerker, derde of sub-verwerker zijn in dezelfde gegevensverwerking.' kennisbronnen: - artikel 4, lid 7, AVG redactionele_opmerking: Deze definitie komt rechtstreeks uit de AVG, maar is herschreven om te kunnen verwijzen naar andere begrippen. meervoudsvormen: - Verwerkingsverantwoordelijken - id: juridisch_kader term: Juridisch kader category: DPIA - 09. Juridisch en beleidsmatig kader definition: Het juridisch kader is alle [wetgeving] en [regelgeving] met mogelijke gevolgen voor de [gegevensverwerking persoonsgegevens]. metadata: kennisbronnen: - paragraaf 3.9, pagina 40, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de beschrijving in het Model DPIA Rijksdienst. - id: categorie_betrokkenen_kinderen_jonger_dan_16_jaar term: 'Categorie betrokkenen: Kinderen jonger dan 16 jaar' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Kinderen jonger dan 16 jaar is een [categorie betrokkenen] die aangeeft dat [persoonsgegevens] worden verwerkt van kinderen jonger dan 16 jaar. metadata: toelichting: Het gaat hier om kinderen jonger dan 16 jaar, ongeacht hun nationaliteit, afkomst of status. kennisbronnen: - Vragenlijst, vraag 10c, Pre-scan DPIA - id: categorie_bijzondere_persoonsgegevens_persoonsgegevens_waaruit_ras_of_etnische_afkomst_blijkt term: 'Categorie bijzondere persoonsgegevens: Persoonsgegevens waaruit ras of etnische afkomst blijkt' category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Persoonsgegevens waaruit ras of etnische afkomst blijkt zijn [bijzondere persoonsgegevens] waaruit direct of indirect een afkomst of [etniciteit] is af te leiden. metadata: toelichting: 'Sommige gewone gegevens kunnen indirect alsnog informatie geven over etnische afkomst, zoals postcode, achternaam of de basisschool waar iemand op heeft gezeten. Daarnaast zijn er gegevens die zowel als informatie over religie als over etnische afkomst kunnen worden gezien (bijv. of iemand Joods of Islamitisch is). In een onderzoek naar het gebruik van afkomstgerelateerde indicatoren binnen de overheid (n.a.v. "Motie #21") zijn de volgende indicatoren gebruikt: * Nationaliteit * Etniciteit * Geboorteland * Land van herkomst * Geboorteland ouders * Woonland' voorbeelden: - Bij het onderzoek naar Motie 21 werd met name gekeken naar nationaliteit, etniciteit, geboorteland, land van herkomst, geboorteland ouders en woonland. Andere voorbeelden zijn achternaam (Bosnisch/Servisch) of religie (Joods, Islamitisch) kennisbronnen: - artikel 9, lid 1, AVG; RapportMotie21 - id: kans_op_optreden_risico_voor_betrokkenen term: Kans op optreden risico voor betrokkenen category: DPIA - 16. Risico's voor betrokkenen definition: De kans op optreden risico voor betrokkenen is de waarschijnlijkheid dat de gevolgen van een [risico voor betrokkenen] zullen intreden. metadata: toelichting: De kans dat de risico’s zich voltrekken is mede afhankelijk van de middelen die de verwerkingsverantwoordelijke gebruikt bij de gegevensverwerking en de aard van de persoonsgegevens. kennisbronnen: - paragraaf 3.16, pagina 52, Model DPIA Rijksdienst alternatieve_spellingen: - kans - id: bewaartermijn term: Bewaartermijn category: DPIA - 10. Bewaartermijnen definition: De bewaartermijn in een DPIA of pre-scan DPIA is de periode waarin [persoonsgegevens] bewaard moeten blijven. metadata: toelichting: 'Bij invulling van ''bewaartermijn'' in de Pre-scan DPIA kan er één optie worden ingevuld. Is er sprake van meerdere bewaartermijnen, dan geldt de hoogst van toepassing zijnde. Na afloop van de bewaartermijn moet de informatie worden vernietigd.' kennisbronnen: - Analyse team meervoudsvormen: - Bewaartermijnen - id: gegevenssetspecificatie term: Gegevenssetspecificatie category: DPIA - 03. Gegevensverwerkingen definition: Een gegevenssetspecificatie beschrijft (specificeert) alle kenmerken van een verzameling [gegevenstypen], zowel de vorm als de bijbehorende afspraken, die noodzakelijk zijn om de gegevens te kunnen interpreteren. metadata: toelichting: Een gegevenssetspecificatie wordt vaak vastgelegd in de vorm van een conceptueel en logisch gegevensmodel van de gegevenstypen, bij voorkeur in de MIM-standaard. kennisbronnen: - Analyse team - id: dpia_onderwerp_bewaartermijnen term: 'DPIA onderwerp: bewaartermijnen' category: DPIA - 10. Bewaartermijnen definition: Bewaartermijnen is een [DPIA onderwerp] dat de [bewaartermijnen] beschrijft van de [persoonsgegevens] waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.10, Model DPIA Rijksdienst - id: specificatie_doorgiftemechanisme term: Specificatie doorgiftemechanisme category: Pre-scan DPIA - C. Internationale doorgiften definition: 'Een specificatie doorgiftemechanisme beschrijft het doorgiftemechanisme indien gekozen is voor een [doorgiftemechanisme: overig mechanisme].' metadata: toelichting: Het gaat hier bijvoorbeeld om doorgiftemechanismen in de zin van artikel 46, lid 3, AVG. kennisbronnen: - Vragenlijst, vraag 18, Pre-scan DPIA;artikel 46, lid 3, AVG redactionele_opmerking: 'Hier wordt voor een organisatorische activiteit met DTIA-verplichting en een doorgiftemechanisme: overig mechanisme vastgelegd om welk doorgiftemechanisme het dan precies gaat.' - id: kwetsbaarheid_kwetsbaar term: 'Kwetsbaarheid: kwetsbaar' category: DPIA - 02. Persoonsgegevens definition: Kwetsbaar is een aanduiding van [kwetsbaarheid] die aangeeft dat een [categorie betrokkenen] een [kwetsbare groep] is. metadata: kennisbronnen: - paragraaf 3.2, pagina 21, Model DPIA Rijksdienst redactionele_opmerking: 'Deze term is geïntroduceerd om over de kwetsbaarheid van categorieën betrokkenen te kunnen spreken. De definitie is afgeleid uit de omschrijving in het Model DPIA Rijksdienst. ' - id: basisregistratie_basisregistratie_grootschalige_topografie term: 'Basisregistratie: Basisregistratie Grootschalige Topografie' category: Pre-scan DPIA - F. Basisregistraties definition: De Basisregistratie Grootschalige Topografie (BGT) is een [basisregistratie] met een digitale kaart van Nederland waarop gebouwen, wegen, waterlopen, terreinen en spoorlijnen eenduidig zijn vastgelegd. metadata: kennisbronnen: - BasisregistratieDigitaleOverheid - id: categorie_gewone_persoonsgegevens_naam,_contactgegevens term: 'Categorie gewone persoonsgegevens: Naam, contactgegevens' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Naam, contactgegevens is een [categorie gewone persoonsgegevens] met [persoonsgegevens] over namen en/of contactinformatie. metadata: voorbeelden: - Voonaam, achternaam, doopnaam, familienaam, woonadres, verblijfadres. kennisbronnen: - Vragenlijst, vraag 7, Pre-scan DPIA - id: iama term: IAMA category: Pre-scan DPIA - G. Algoritmes/AI definition: De IAMA is een instrument voor discussie en besluitvorming voor overheidsorganen, dat een interdisciplinaire dialoog mogelijk maakt door degenen die verantwoordelijk zijn voor de ontwikkeling en/of inzet van een [algoritme]. metadata: toelichting: Het IAMA bevat een groot aantal vragen waarover discussie plaats moet vinden en waarop een antwoord moet worden geformuleerd in alle gevallen waarin een overheidsorgaan overweegt een algoritme te (laten) ontwikkelen, in te kopen, aan te passen en/of in te gaan zetten. Ook wanneer een algoritme al wordt ingezet kan het IAMA dienen als instrument voor reflectie. kennisbronnen: - Inleiding, pagina 2, IAMA redactionele_opmerking: De definitie is overgenomen uit de IAMA, maar 'algoritmisch systeem' is vervangen door 'algoritme', om naar de voorkeursterm te kunnen verwijzen. - id: lijst_ap_controle_werknemers term: 'Lijst AP: Controle werknemers' category: Pre-scan DPIA - D. Lijst AP definition: Controle werknemers is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. een grootschalige [gegevensverwerking persoonsgegevens] van [persoonsgegevens] en/of stelselmatig monitoring van activiteiten van werknemers. metadata: voorbeelden: - Controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding kennisbronnen: - pagina 3, Lijst AP redactionele_opmerking: De definitie is overgenomen uit de Lijst AP, waarbij 'verwerking' is vervangen door 'gegevensverwerking' om zo naar de voorkeursterm van dit begrip te verwijzen. - id: wetsartikel_over_beperking_op_recht_van_de_betrokkene term: Wetsartikel over beperking op recht van de betrokkene category: DPIA - 15. Rechten van de betrokkene definition: Een wetsartikel over beperking op recht van de betrokkene is een artikel in [wetgeving] of in [regelgeving] wat aangeeft wanneer een [beperking op recht van de betrokkene] mag of moet worden toegepast. metadata: toelichting: 'Het gaat in het kader van de DPIA om artikel 23 lid 1 van de AVG, in combinatie met de relevante artikelen in lidstatelijk recht of het Europees unierecht. ' kennisbronnen: - ' artikel 23, lid 1, AVG' - id: opslag_van_gegevens_buiten_eer term: 'Opslag van gegevens: buiten EER' category: Pre-scan DPIA - C. Internationale doorgiften definition: Buiten EER is een aanduiding van de [opslag van gegevens] die aangeeft dat die opslag contractueel buiten de [Europese Economische Ruimte] plaats vindt. metadata: kennisbronnen: - Vragenlijst, vraag 15, Pre-scan DPIA redactionele_opmerking: De definitie is afgeleid van het gebruik van de term in de Pre-scan DPIA. - id: lijst_ap_financiële_situatie term: 'Lijst AP: Financiële situatie' category: Pre-scan DPIA - D. Lijst AP definition: Financiële situatie is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. een grootschalige [gegevensverwerking persoonsgegevens] en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden. metadata: voorbeelden: - Overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen kennisbronnen: - pagina 2, Lijst AP redactionele_opmerking: De definitie is overgenomen uit de Lijst AP, waarbij 'verwerking' is vervangen door 'gegevensverwerking' om zo naar de voorkeursterm van dit begrip te verwijzen. - id: recht_op_informatie term: Recht op informatie category: DPIA - 15. Rechten van de betrokkene definition: Het recht op informatie is een [recht van de betrokkene] waarbij de [verwerkingsverantwoordelijke] verplicht is bij de verkrijging van de [persoonsgegevens] voorgedefinieerde informatie aan de [betrokkene] te verstrekken. metadata: toelichting: 'De samenstelling van de te verstrekken informatie is afhankelijk van of persoonsgegevens rechtstreeks via de betrokkene zijn verkregen, of niet, en is terug te vinden in artikel 13-14, AVG. Het recht op informatie hangt nauw samen met een van de belangrijkste AVG-beginselen uit artikel 5 van de AVG, namelijk dat persoonsgegevens op een transparante wijze verwerkt moeten worden. Het is een verplichting om de betrokkenen op een heldere en duidelijke manier te informeren over het verwerken van hun persoonsgegevens.' kennisbronnen: - artikel 13-14, AVG redactionele_opmerking: Deze definitie is opgesteld op basis van de informatie in de AVG. alternatieve_spellingen: - Recht op duidelijke informatie - id: risiconiveau term: Risiconiveau category: DPIA - 16. Risico's voor betrokkenen definition: Een risiconiveau is de zwaarte van een specifiek [risico voor betrokkenen], bepaald op basis van de [kans op optreden risico voor betrokkenen] en de [impact]. metadata: toelichting: 'Het risiconiveau wordt bepaald aan de hand van de formule kans x impact. ' kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst; overweging 90, preambule, AVG redactionele_opmerking: "Deze definitie is afgeleid van het gebruik van de term\ \ in het Model DPIA Rijksdienst, en overweging 90 in de preambule van de AVG.\ \ In de preambule van de AVG wordt in overweging 90 daarover het volgende gezegd:\ \ \t\nIn dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand\ \ aan de verwerking een gegevensbeschermingseffectbeoordeling te verrichten\ \ om de specifieke waarschijnlijkheid en de ernst van de grote risico's te beoordelen." - id: kwetsbaarheid_niet_kwetsbaar term: 'Kwetsbaarheid: niet kwetsbaar' category: DPIA - 02. Persoonsgegevens definition: Niet kwetsbaar is een aanduiding van [kwetsbaarheid] die aangeeft dat een [categorie betrokkenen] geen [kwetsbare groep] is. metadata: kennisbronnen: - paragraaf 3.2, pagina 21, Model DPIA Rijksdienst redactionele_opmerking: 'Deze term is geïntroduceerd om over de kwetsbaarheid van categorieën betrokkenen te kunnen spreken. De definitie is afgeleid uit de omschrijving in het Model DPIA Rijksdienst. ' - id: toelaatbaar term: Toelaatbaar category: DPIA - 13. Doelbinding definition: Als het gebruik van gegevens toelaatbaar is, dan geeft dat in de context van de doelbinding van persoonsgegevens aan dat het gebruik van die persoonsgegevens is toegestaan. metadata: toelichting: Het begrip toelaatbaar wordt voornamelijk gebruikt in de context van hergebruik van gegevens voor een ander verwerkingsdoeleinde dan waar deze persoonsgegevens oorspronkelijk voor zijn verzameld. Als men deze persoonsgegevens opnieuw wil gebruiken, moet worden beoordeeld of dat hergebruik toelaatbaar is. redactionele_opmerking: Deze term is toegevoegd op verzoek van het RIG om extra ondersteuning te kunnen geven bij de invulling van de DPIA. alternatieve_spellingen: - toelaatbaarheid hergebruik - id: europese_economische_ruimte term: Europese Economische Ruimte category: DPIA - 08. Verwerkingslocaties definition: De Europese Economische Ruimte is een internationele overeenkomst en bestaat uit alle landen die lid zijn van de Europese Unie plus de landen IJsland, Liechtenstein en Noorwegen. metadata: kennisbronnen: - Overeenkomst EER redactionele_opmerking: Deze definitie is afgeleid uit de informatie in Overeenkomst EER. - id: cloudoplossing_toelichting term: Cloudoplossing toelichting category: DPIA - 04. Technieken en methoden definition: In de cloudoplossing toelichting van een DPIA met [cloudoplossing] wordt verder beschreven welke Cloud en op welke manier de beschikbare oplossingen in de Cloud worden ingezet. metadata: kennisbronnen: - paragraaf 3.4, pagina 28, Model DPIA Rijksdienst - id: categorie_persoonsgegevens term: Categorie persoonsgegevens category: DPIA - 02. Persoonsgegevens definition: Een categorie persoonsgegevens is een groepering van [persoonsgegevens]. metadata: voorbeelden: - Naam, contactgegevens, demografische gegevens, apparaat- en internetgegevens, financiële gegevens, werk gerelateerde gegevens, support/helpdeskgegevens, overige persoonsgegevens. kennisbronnen: - paragraaf 3.2, pagina 20, Model DPIA Rijksdienst redactionele_opmerking: De definitie van deze term is afgeleid van het gebruik in het Model DPIA Rijksdienst. - id: dpia_status term: DPIA status category: DPIA - 00. Algemeen definition: DPIA status is een aanduiding van de toestand waarin een [DPIA] zich bevindt. metadata: toelichting: 'In de DPIA wordt enkel bijgehouden of deze is ondertekend, en daarmee akkoord verklaard. Daarmee zijn mogelijke DPIA statussen ''akkoord'' en ''niet akkoord''. Een DPIA is pas akkoord als iedere Verwerkingsverantwoordelijke die de DPIA opstelt een akkoordverklaring heeft.' kennisbronnen: - Ondertekening, pagina 23, Model DPIA Rijksdienst redactionele_opmerking: Deze term en definitie zijn afgeleid uit de informatie in het Rapportagemodel DPIA Rijksdienst. alternatieve_spellingen: - Status - id: basisregistratie_basisregistratie_voertuigen term: 'Basisregistratie: Basisregistratie Voertuigen' category: Pre-scan DPIA - F. Basisregistraties definition: De Basisregistratie Voertuigen (BRV) is een [basisregistratie] waarin gegevens staan van voertuigen, kentekenbewijzen en personen aan wie het kentekenbewijs is afgegeven. metadata: kennisbronnen: - BasisregistratieDigitaleOverheid - id: categorie_gevoelige_persoonsgegevens_communicatie-_en_locatiegegevens term: 'Categorie gevoelige persoonsgegevens: Communicatie- en locatiegegevens' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Communicatie- en locatiegegevens is een [categorie gevoelige persoonsgegevens] met [persoonsgegevens] over communicatie- en locatie. metadata: kennisbronnen: - Vragenlijst, vraag 9, Pre-scan DPIA - id: dpia_met_resterend_hoog_risico term: DPIA met resterend hoog risico category: DPIA - 17. Maatregelen definition: Een DPIA met resterend hoog risico is een [DPIA met resterende risico's] waar een [resterend risico voor betrokkenen] is geïdentificeerd met een [risiconiveau van optreden risico voor betrokkenen] van [hoog risico]. metadata: kennisbronnen: - Analyse team - id: frequentie_van_verwerking_eenmalig term: 'Frequentie van verwerking: Eenmalig' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Eenmalig is een aanduiding van de [frequentie van verwerking] die aangeeft dat [persoonsgegevens] eenmalig worden verwerkt. metadata: kennisbronnen: - Vragenlijst, vraag 11c, Pre-scan DPIA - id: lijst_ap_genetische_persoonsgegevens term: 'Lijst AP: Genetische persoonsgegevens' category: Pre-scan DPIA - D. Lijst AP definition: 'Genetische persoonsgegevens is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. grootschalige [gegevensverwerkingen] en/of stelselmatige monitoring van [categorie bijzondere persoonsgegevens: Genetische gegevens].' metadata: voorbeelden: - DNA-analyses ten behoeve van het in kaart brengen van persoonlijke kenmerken, biodatabanken kennisbronnen: - pagina 2, Lijst AP redactionele_opmerking: 'Verwerkingen'' is vervangen door ''gegevensverwerkingen'' en ''genetische persoonsgegevens'' is vervangen door ''Type bijzonder persoonsgegeven: Genetische gegevens'', om naar de juiste begrippen te kunnen verwijzen.' - id: categorie_gevoelige_persoonsgegevens_surfgedrag term: 'Categorie gevoelige persoonsgegevens: Surfgedrag' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Surfgedrag is een [categorie gevoelige persoonsgegevens] met [persoonsgegevens] over surfgedrag. metadata: toelichting: Met surfgedrag bedoelen we het gedrag van de betrokkene op internet. kennisbronnen: - Vragenlijst, vraag 9, Pre-scan DPIA - id: frequentie_van_verwerking_onregelmatig term: 'Frequentie van verwerking: Onregelmatig' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Onregelmatig is een aanduiding van de [frequentie van verwerking] die aangeeft dat [persoonsgegevens] onregelmatig worden verwerkt. metadata: kennisbronnen: - Vragenlijst, vraag 11c, Pre-scan DPIA - id: organisatorische_activiteit_met_internationale_doorgifte term: Organisatorische activiteit met internationale doorgifte category: Pre-scan DPIA - C. Internationale doorgiften definition: Organisatorische activiteit met internationale doorgifte is een [organisatorische activiteit persoonsgegevens] met [internationale doorgifte] metadata: toelichting: Het gaat dus om de doorgifte van persoonsgegevens naar een land buiten de EER of naar een internationale organisatie. kennisbronnen: - Vragenlijst, vraag 13, Pre-scan DPIA - id: inherent_risico_voor_betrokkenen term: Inherent risico voor betrokkenen category: DPIA - 16. Risico's voor betrokkenen definition: Een inherent risico voor betrokkenen is een [risico voor betrokkenen] waarbij nog geen rekening is gehouden met bestaande of aanvullende [maatregelen]. metadata: toelichting: Elk risico waarover in paragraaf 16 van het model DPIA Rijksdienst wordt gesproken, betreft een inherent risico. kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst redactionele_opmerking: Dit begrip komt niet letterlijk voor in het Model DPIA Rijksdienst, maar het is van belang dit te onderscheiden vanwege het verschil tussen een risico ná maatregelen (resterend risico) en een risico vóór maatregelen, hier genoemd 'inherent risico voor betrokkenen'. - id: recht_op_overdraagbaarheid_van_gegevens term: Recht op overdraagbaarheid van gegevens category: DPIA - 15. Rechten van de betrokkene definition: Het recht op overdraagbaarheid van gegevens is een [recht van de betrokkene] waarbij de [betrokkene] het recht heeft de hem betreffende [persoonsgegevens], die hij aan een [verwerkingsverantwoordelijke] heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en het recht heeft die [persoonsgegevens] aan een andere [verwerkingsverantwoordelijke] over te dragen, zonder daarbij te worden gehinderd door de [verwerkingsverantwoordelijke] aan wie de [persoonsgegevens] waren verstrekt. metadata: kennisbronnen: - artikel 20, lid 1, AVG redactionele_opmerking: Gegevens' is eenmalig vervangen door 'persoonsgegevens', om naar de juiste termen te kunnen verwijzen. alternatieve_spellingen: - Recht op dataportabiliteit - id: discriminatie term: Discriminatie category: DPIA - 16. Risico's voor betrokkenen definition: Discriminatie is mensen anders behandelen, achterstellen of uitsluiten op basis van persoonskenmerken. metadata: toelichting: 'Deze kenmerken worden discriminatiegronden genoemd. ' kennisbronnen: - mensenrechten.nl - id: frequentie_van_verwerking_minstens_maandelijks term: 'Frequentie van verwerking: Minstens maandelijks' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Minstens maandelijks is een aanduiding van de [frequentie van verwerking] die aangeeft dat [persoonsgegevens] minstens maandelijks worden verwerkt. metadata: kennisbronnen: - Vragenlijst, vraag 11c, Pre-scan DPIA - id: internationale_doorgifte term: Internationale doorgifte category: DPIA - 08. Verwerkingslocaties definition: Internationale doorgifte is het doorgeven van [persoonsgegevens] aan een [derde land] of internationale organisatie. metadata: toelichting: 'De EDPB heeft de volgende drie cumulatieve criteria vastgesteld om een doorgifte buiten de EER (internationale doorgifte) te identificeren: * een verwerkingsverantwoordelijke of een verwerker is onderworpen aan de AVG voor de gegeven verwerking; * deze verwerkingsverantwoordelijke of verwerker zendt de persoonsgegevens door naar of stelt deze beschikbaar aan een andere organisatie (gegevensbeheerder of verwerker); * deze andere organisatie bevindt zich in een land buiten de EER (een derde land) of is een internationale organisatie. Er is ook sprake van internationale doorgifte als het hoofdkantoor van de cloudprovider buiten de EER is gevestigd, opslag van gegevens buiten de EER plaatsvindt, support van buiten de EER wordt geleverd of telemetrie en/of diagnostische gegevens buiten de EER worden verwerkt.' kennisbronnen: - artikel 44, AVG;Internationale doorgifte van persoonsgegevens, EDPB;Vragenlijst, vraag 13-17, Pre-scan DPIA redactionele_opmerking: De definitie volgt uit de AVG, de toelichting komt vanuit de EDPB. - id: basisregistratie_handelsregister term: 'Basisregistratie: Handelsregister' category: Pre-scan DPIA - F. Basisregistraties definition: Het Handelsregister (HR) is de [basisregistratie] van alle rechtspersonen en ondernemingen in Nederland. metadata: kennisbronnen: - BasisregistratieDigitaleOverheid - id: avg-rol term: AVG-rol category: DPIA - 06. Betrokken partijen definition: Een AVG-rol is een hoedanigheid waarin een [partij] betrokken kan zijn bij een [gegevensverwerking persoonsgegevens]. metadata: toelichting: "De AVG-rollen zijn: verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke,\ \ verwerker, sub-verwerker, verstrekker, ontvanger en derde. \n\nDe rollen van\ \ verstrekker en ontvanger zijn geen formeel in de AVG vastgelegde rollen maar\ \ rollen die een partij kan spelen in het proces." kennisbronnen: - paragraaf 3.6, pagina 33, Model DPIA Rijksdienst redactionele_opmerking: '''AVG-rol'' is geen term die letterlijk in de AVG wordt gebruikt, maar wordt in het Model DPIA Rijksdienst geïntroduceerd om in één term over de verschillende rollen binnen de AVG te kunnen spreken. De definitie is afgeleid van de beschrijving in het Model DPIA Rijksdienst.' alternatieve_spellingen: - Rol - id: lijst_edpb_verwerking_van_persoonsgegevens_over_kwetsbare_groepen_of_personen term: 'Lijst EDPB: Verwerking van persoonsgegevens over kwetsbare groepen of personen' category: Pre-scan DPIA - E. Lijst EDPB definition: Verwerking van persoonsgegevens over kwetsbare groepen of personen is een criterium uit de [Lijst EDPB] dat aangeeft dat er een [gegevensverwerking persoonsgegevens] plaatsvind van gegevens met betrekking tot [betrokkenen] die lid zijn van een [kwetsbare groep]. metadata: toelichting: 'De verwerking van gegevens van of over kwetsbare groepen betrokkenen is een criterium in verband met de machtsongelijkheid tussen de betrokkenen en de verwerkingsverantwoordelijke, die er voor kan zorgen dat de natuurlijke personen mogelijk niet in staat zijn om gemakkelijk in te stemmen met - of bezwaar te maken tegen - de verwerking van hun gegevens, of om hun rechten uit te oefenen. ' kennisbronnen: - paragraaf 3Ba, pagina 11, Richtsnoeren EDPB; Vragenlijst, paragraaf E, Pre-scan DPIA redactionele_opmerking: Deze term volgt uit de Pre-scan DPIA, de definitie uit de Richtsnoeren EDPB. - id: archivering term: Archivering category: DPIA - 10. Bewaartermijnen definition: 'Archivering is het duurzaam toegankelijk maken en houden van [informatieobjecten] tijdens de periode waarin deze bewaard moeten blijven. ' metadata: toelichting: Informatie wordt gearchiveerd zodat deze nu en in de toekomst bruikbaar is, voor iedereen die het recht heeft om de informatie in te zien. Niet alle informatie wordt blijvend bewaard. Dit wordt bepaald op basis van waardering en selectie. Informatie die niet blijvend wordt bewaard, wordt niet langer dan noodzakelijk bewaard en vernietigd op basis van de waardering en selectie in de selectielijst. kennisbronnen: - Analyse team redactionele_opmerking: Deze definitie is gebaseerd op de beschrijving van 'Archiveren' door het Nationaal Archief. - id: lijst_ap_fraudebestrijding term: 'Lijst AP: Fraudebestrijding' category: Pre-scan DPIA - D. Lijst AP definition: Fraudebestrijding is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. grootschalige verwerkingen van (bijzondere) persoonsgegevens en-of stelselmatige monitoring in het kader van fraudebestrijding. metadata: voorbeelden: - fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars kennisbronnen: - pagina 2, Lijst AP - id: categorie_bijzondere_persoonsgegevens_persoonsgegevens_waaruit_politieke_opvattingen_blijken term: 'Categorie bijzondere persoonsgegevens: Persoonsgegevens waaruit politieke opvattingen blijken' category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Persoonsgegevens waaruit politieke opvattingen blijken zijn [bijzondere persoonsgegevens] waaruit kan worden afgeleid wat de politieke oriëntatie is van een persoon. metadata: toelichting: Het gaat hier om gegevens waaruit iemands mening over politieke onderwerpen, d.w.z. over hoe de maatschappij zou moeten worden ingericht, kan worden afgeleid. voorbeelden: - Stemgedrag, uitlatingen over politieke partijen, uitlatingen over politieke standpunten, een post op social media over een maatschappelijk onderwerp, lidmaatschap van een organisatie met bepaalde politieke opvattingen zoals een milieuorganisatie, bepaalde kerk of vakbond, of politieke partij. kennisbronnen: - artikel 9, lid 1, AVG - id: organisatorische_activiteit_persoonsgegevens term: Organisatorische activiteit persoonsgegevens category: Pre-scan DPIA - A. Inleiding/algemeen definition: 'Een [organisatorische activiteit persoonsgegevens] is een [organisatorische activiteit] die een [gegevensverwerking persoonsgegevens] omvat. ' metadata: toelichting: "Een organisatorische activiteit omvat één of meer gegevensverwerkingen,\ \ maar niet elke gegevensverwerking in een organisatorische activiteit hoeft\ \ persoonsgegevens te verwerken. Daarom benoemen we de organisatorische activiteiten\ \ waarin dit wel gebeurt, specifiek. \n\nBinnen de context van de pre-scan DPIA\ \ kan het namelijk voorkomen dat de scan wordt gedaan op een organisatorische\ \ activiteit waarin geen persoonsgegevens worden verwerkt. Dit betekent dat\ \ er geen gewone, gevoelige of bijzondere persoonsgegevens worden verwerkt." kennisbronnen: - Vragenlijst, paragraaf A, vraag 7-9, Pre-scan DPIA redactionele_opmerking: In de pre-scan wordt gevraagd of er ook persoonsgegevens worden verwerkt. Het antwoord op die vraag bepaalt of een organisatorische activiteit ook een organisatorische activiteit persoonsgegevens is. - id: organisatorische_activiteit_met_dpia-verplichting term: Organisatorische activiteit met DPIA-verplichting category: Pre-scan DPIA - A. Inleiding/algemeen definition: Een organisatorische activiteit met DPIA-verplichting is van toepassing wanneer een [partij] verplicht is een [DPIA] op te stellen voor een specifieke [organisatorische activiteit]. metadata: toelichting: 'Een partij is in ieder geval verplicht een DPIA op te stellen bij een gegevensverwerking als: * tenminste één gegevensverwerking uit de Lijst AP plaats vindt; of * tenminste twee criteria uit de Lijst EDPB gelden. Als dit niet van toepassing is, kan er op basis van andere criteria nog steeds een DPIA-verplichting gelden. Dit kan worden afgeleid van de antwoorden op de overige vragen in de pre-scan DPIA.' kennisbronnen: - info, Pre-scan DPIA redactionele_opmerking: Deze definitie is afgeleid van het gebruik in de Pre-scan DPIA. - id: basisregistratie_basisregistratie_personen term: 'Basisregistratie: Basisregistratie Personen' category: Pre-scan DPIA - F. Basisregistraties definition: De Basisregistratie Personen (BRP) is een [basisregistratie] die [persoonsgegevens] bevat over alle ingezetenen van Nederland en over personen die niet in Nederland wonen – of hier slechts kort verblijven – maar die een relatie hebben met de Nederlandse overheid, de ‘niet-ingezetenen’. metadata: kennisbronnen: - BasisregistratieDigitaleOverheid - id: voorschrift term: Voorschrift category: DPIA - 00. Algemeen definition: Een voorschrift in de context van gegevensbescherming is een bindende regel of instructie, voortvloeiend uit wet- en regelgeving of toezichthoudend beleid, die wordt opgelegd om de verwerking van [persoonsgegevens] in overeenstemming te brengen met de vereisten van de AVG en de rechten en vrijheden van betrokkenen te beschermen. metadata: toelichting: Voorschriften zijn de concrete regels of instructies die uit een relevant normenkader voortvloeien en de implementatie ervan afdwingen. voorbeelden: - Een normenkader kan stellen dat "persoonsgegevens passend beveiligd moeten worden". Een voorschrift binnen dit normenkader kan dan specificeren dat "persoonsgegevens versleuteld moeten worden tijdens opslag en overdracht met een minimaal encryptieniveau van AES-256." kennisbronnen: - paragraaf 1.8, pagina 15, Model DPIA Rijksdienst - id: dpia_dossier term: DPIA dossier category: DPIA - 00. Algemeen definition: Het DPIA dossier bevat [documenten] die betrekking hebben op het onderwerp van die [DPIA]. metadata: kennisbronnen: - Metagegevensschema MDTO, NA redactionele_opmerking: Deze term is geïntroduceerd op verzoek van het PAR-team. De definitie van 'dossier' is overgenomen van het NA. Om beter aan te sluiten op het gebruik in de DPIA is 'DPIA' toegevoegd en is 'informatieobject' vervangen door 'document'. - id: lijst_edpb term: Lijst EDPB category: Pre-scan DPIA - E. Lijst EDPB definition: De Lijst EDPB is een lijst opgesteld door de [EDPB] die bestaat uit 9 criteria waaraan [gegevensverwerkingen] kunnen voldoen, waardoor ze een [DPIA] vereisen op gront van hun inherent hoge risico. metadata: kennisbronnen: - paragraaf 3Ba, pagina 10, Richtsnoeren EDPB;Vragenlijst, paragraaf E, Pre-scan DPIA redactionele_opmerking: Deze term volgt uit de Pre-scan DPIA, de definitie is afgeleid van de beschrijving in de Richtsnoeren EDPB - id: algoritme_toelichting term: Algoritme toelichting category: DPIA - 04. Technieken en methoden definition: In de algoritme toelichting van een DPIA met [algoritme] wordt een ingezet algoritme verder beschreven. metadata: kennisbronnen: - paragraaf 3.4, pagina 28, Model DPIA Rijksdienst - id: datum_akkoordverklaring term: Datum akkoordverklaring category: DPIA - 00. Algemeen definition: De datum akkoordverklaring is de datum waarop de [akkoordverklaring] is ondertekend. metadata: kennisbronnen: - pagina 2 en 23, Rapportagemodel DPIA Rijksdienst - id: motivatie_bewaartermijn term: Motivatie bewaartermijn category: DPIA - 10. Bewaartermijnen definition: Motivatie bewaartermijn is een beschrijving waarom de [bewaartermijn] niet langer is dan strikt noodzakelijk ten opzichte van de [verwerkingsdoeleinden]. metadata: kennisbronnen: - paragraaf 10, pagina 12, Rapportagemodel DPIA Rijksdienst - id: betrokkene term: Betrokkene category: DPIA - 06. Betrokken partijen definition: Een betrokkene is een [geïdentificeerde natuurlijk persoon] of [identificeerbare natuurlijk persoon] binnen de [gegevensverwerkingen]. metadata: toelichting: Betrokkenen zijn dus de natuurlijke personen over wie de gegevens gaan die worden verwerkt. voorbeelden: - Medewerkers, consumenten, cliënten, patiënten, zakelijke contacten, bezoekers, gebruikers, ingezetenen van een gemeente. kennisbronnen: - artikel 4, lid 1, AVG;paragraaf 3.2, pagina 20, Model DPIA Rijksdienst redactionele_opmerking: De definitie is overgenomen uit het Model DPIA Rijksdienst, die is gebaseerd op de AVG. De definitie is iets herschreven om naar andere begrippen te kunnen verwijzen. meervoudsvormen: - Betrokkenen - id: lijst_edpb_grootschalige_gegevensverwerkingen term: 'Lijst EDPB: Grootschalige gegevensverwerkingen' category: Pre-scan DPIA - E. Lijst EDPB definition: Grootschalige gegevensverwerkingen is een criteria uit de [Lijst EDPB] met betrekking tot op grote schaal verwerkte gegevens. metadata: toelichting: 'in de AVG wordt niet gedefinieerd wat grootschalig is, al worden in overweging 91 enkele richtsnoeren gegeven. In ieder geval raadt de WP29 aan om met name de volgende factoren in aanmerking te nemen bij het bepalen of een verwerking op grote schaal wordt uitgevoerd: a. het aantal betrokkenen, hetzij als een specifiek aantal hetzij als een deel van de relevante populatie; b. het volume van gegevens en/of het bereik van verschillende gegevensitems die worden verwerkt; c. de duur, of het permanente karakter, van de gegevensverwerkingsactiviteit; d. de geografische omvang van de verwerkingsactiviteit.' kennisbronnen: - paragraaf 3Ba, pagina 11, Richtsnoeren EDPB;Vragenlijst, paragraaf E, Pre-scan DPIA redactionele_opmerking: Deze term volgt uit de Pre-scan DPIA, de definitie uit de Richtsnoeren EDPB. - id: doorgiftemechanisme_uitzondering_artikel_49_avg term: 'Doorgiftemechanisme: uitzondering artikel 49 AVG' category: Pre-scan DPIA - C. Internationale doorgiften definition: Uitzondering artikel 49 AVG is een [doorgiftemechanisme] dat zich beroept op één van de voorwaarden uit artikel 49, lid 1, AVG. metadata: toelichting: Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, AVG of van passende waarborgen overeenkomstig artikel 46, AVG met inbegrip van bindende bedrijfsvoorschriften, kan een doorgifte of een reeks van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden mits aan één van de voorwaarden uit artikel 49, lid 1, AVG is voldaan. kennisbronnen: - Vragenlijst, vraag 18, Pre-scan DPIA;Artikel 49, lid 1, AVG redactionele_opmerking: De definitie is afgeleid uit het gebruik van de term in de Pre-scan DPIA. De toelichting komt rechtstreeks uit de AVG. - id: dpia_onderwerp_verwerkingslocaties term: 'DPIA onderwerp: verwerkingslocaties' category: DPIA - 08. Verwerkingslocaties definition: Verwerkingslocaties is een [DPIA onderwerp] dat de [verwerkingslocaties] beschrijft van de [gegevensverwerkingen] waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.8, Model DPIA Rijksdienst - id: type_persoonsgegeven_in_context_van_dpia term: Type persoonsgegeven in context van DPIA category: DPIA - 02. Persoonsgegevens definition: Type persoonsgegeven in context van DPIA is een [type persoonsgegeven], in de context van een specifieke [DPIA]. metadata: toelichting: 'Bepaalde persoonsgegevens kunnen door de context waarin zij worden gebruikt van een ander type zijn dan buiten deze context. Zo kan, bijvoorbeeld, een gewoon persoonsgegeven in een bepaalde context ''gevoelig'' of ''bijzonder'' zijn. De waarde van [type persoonsgegeven in context van DPIA] heeft prioriteit over het bestaande [type persoonsgegeven] van datzelfde [persoonsgegeven].' kennisbronnen: - paragraaf 3.2, pagina 23-24, Model DPIA Rijksdienst redactionele_opmerking: De definitie en toelichting zijn afgeleid van de informatie in het Model DPIA Rijksdienst - id: dpia_onderwerp_noodzaak_en_evenredigheid term: 'DPIA onderwerp: noodzaak en evenredigheid' category: DPIA - 14. Noodzaak en evenredigheid definition: Noodzaak en evenredigheid is een [DPIA onderwerp] dat de [proportionaliteit] en [subsidiariteit] beschrijft van de [gegevensverwerkingen] waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.14, Model DPIA Rijksdienst - id: oorspronkelijk_verwerkingsdoeleinde term: Oorspronkelijk verwerkingsdoeleinde category: DPIA - 02. Persoonsgegevens definition: Het oorspronkelijk verwerkingsdoeleinde is het [verwerkingsdoeleinde] waarvoor de [persoonsgegevens] in een [gegevensverwerking persoonsgegevens] initieel zijn verzameld. metadata: kennisbronnen: - artikel 5, lid 1, onder b, AVG redactionele_opmerking: Deze definitie is afgeleid van de beschrijving in de AVG. meervoudsvormen: - Oorspronkelijke verwerkingsdoeleinden alternatieve_spellingen: - Oorspronkelijk doeleinde - oorspronkelijke doel - oorspronkelijk verwerkingsdoeleinde persoonsgegeven - id: algoritme term: Algoritme category: DPIA - 04. Technieken en methoden definition: Een algoritme is een set van regels en instructies die een computer geautomatiseerd volgt bij het maken van berekeningen om een probleem op te lossen of een vraag te beantwoorden. metadata: toelichting: Algoritmen bestaan uit een reeks, meestal wiskundige, instructies. Wanneer deze instructies een bepaalde input krijgen, dan gaat deze door deze instructies heen en er volgt een output op basis van die instructies. kennisbronnen: - Algoritmeregister meervoudsvormen: - Algoritmes - id: organisatorische_activiteit_beschrijving term: Organisatorische activiteit beschrijving category: Pre-scan DPIA - A. Inleiding/algemeen definition: Een organisatorische activiteit beschrijving is een korte beschrijving van de [organisatorische activiteit] metadata: toelichting: 'In de beschrijving wordt vooral aandacht besteed aan de gegevensverwerking(en) in hun context: om welk proces/systeem/applicatie gaat het, en door wie, waar, waarom en hoe vindt de verwerking (of verwerkingen) plaats. Om wat voor bedrijfsproces(sen) gaat het en om hoeveel gegevens over wie? Welk doel wil de organisatie bereiken met de gegevensverwerking(en) in deze activiteit?' kennisbronnen: - Vragenlijst, paragraaf A, vraag 1-2, Pre-scan DPIA redactionele_opmerking: Dit begrip is afgeleid uit de informatie in de Pre-scan DPIA. - id: categorie_gewone_persoonsgegevens_diagnostische_gegevens_of_telemetrie term: 'Categorie gewone persoonsgegevens: Diagnostische gegevens of telemetrie' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Diagnostische gegevens of telemetrie is een [categorie gewone persoonsgegevens] met [persoonsgegevens] over diagnostiek of telemetrie. metadata: toelichting: Dit zijn technische gegevens over het gebruik van software of systemen. Deze gegevens worden gebruikt voor productverbetering die vaak automatisch worden vastgelegd. voorbeelden: - Foutmeldingen, prestatiemetingen. kennisbronnen: - Vragenlijst, vraag 7, Pre-scan DPIA - id: autoriteit_persoonsgegevens term: Autoriteit Persoonsgegevens category: DPIA - 17. Maatregelen definition: De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder in Nederland die zich sterk maakt voor het recht op bescherming van [persoonsgegevens]. metadata: kennisbronnen: - AP - id: regelgeving term: Regelgeving category: DPIA - 09. Juridisch en beleidsmatig kader definition: Regelgeving omvat alle regels en voorschriften die door verschillende overheidsinstanties zijn vastgesteld om de uitvoering van [wetgeving] te specificeren en te operationaliseren. metadata: kennisbronnen: - Analyse team - id: digitale_dienst_voor_personen_jonger_dan_18_jaar_een_digitale_dienst_aangeboden_die_primair_bedoeld_is_voor_gebruik_door_personen_jonger_dan_18_jaar term: 'Digitale dienst voor personen jonger dan 18 jaar: een digitale dienst aangeboden die primair bedoeld is voor gebruik door personen jonger dan 18 jaar' category: Pre-scan DPIA - J. Kinderrechten definition: Een digitale dienst aangeboden die primair bedoeld is voor gebruik door personen jonger dan 18 jaar is een aanduiding van [digitale dienst voor personen jonger dan 18 jaar] die aangeeft dat er een digitale dienst aangeboden die primair bedoeld is voor gebruik door personen jonger dan 18 jaar. metadata: kennisbronnen: - Vragenlijst, paragraaf J, Pre-scan DPIA redactionele_opmerking: Dit begrip volgt uit de Pre-scan DPIA en is aangescherpt in overleg met het PAR team. - id: categorie_betrokkenen_medewerkers/bewindspersonen term: 'Categorie betrokkenen: Medewerkers/bewindspersonen' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Medewerkers/bewindspersonen is een [categorie betrokkenen] die aangeeft dat [persoonsgegevens] worden verwerkt van medewerkers of bewindspersonen. metadata: toelichting: Denk ook aan gegevens over het gebruik van het systeem of de applicatie door medewerkers. kennisbronnen: - artikel 8, AVG;Vragenlijst, vraag 10a, Pre-scan DPIA - id: lijst_ap_zwarte_lijsten term: 'Lijst AP: Zwarte lijsten' category: Pre-scan DPIA - D. Lijst AP definition: Zwarte lijsten is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. [gegevensverwerkingen] waarbij [persoonsgegevens] betreffende strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag of gegevens over slecht betalingsgedrag door bedrijven of particulieren worden verwerkt en gedeeld met [derden]. metadata: voorbeelden: - zwarte lijsten of waarschuwingslijsten, zoals deze bijvoorbeeld gebruikt worden door verzekeraars, horecabedrijven, winkelbedrijven, telecomproviders alsook zwarte lijsten die betrekking hebben op onrechtmatig gedrag van werknemers, bijvoorbeeld in de zorg of door uitzendbureaus kennisbronnen: - pagina 2, Lijst AP redactionele_opmerking: verwerkingen' is vervangen door 'gegevensverwerkingen', om naar het juiste begrip te kunnen verwijzen. - id: persoon_in_functie term: Persoon in functie category: DPIA - 00. Algemeen definition: Een persoon in functie is een [natuurlijk persoon] die een [functie] bekleedt metadata: toelichting: Een documentbeheerder of functionaris gegevensbescherming is een persoon in functie als we weten wie die functie bekleedt. kennisbronnen: - Analyse team - id: big_data-verwerking_toelichting term: Big data-verwerking toelichting category: DPIA - 04. Technieken en methoden definition: In de big data-verwerking toelichting van een DPIA met [big data-verwerking] wordt de inzet van big-data technieken verder beschreven. metadata: kennisbronnen: - paragraaf 3.4, pagina 28, Model DPIA Rijksdienst - id: algoritme_sprake_van_een_algoritme term: 'Algoritme: sprake van een algoritme' category: DPIA - 04. Technieken en methoden definition: Sprake van een algoritme is een aanduiding van een [classificatie] van [algoritme] die aangeeft dat er sprake is van een [algoritme]. metadata: kennisbronnen: - Vragenlijst, paragraaf G, Pre-scan DPIA;paragraaf 3.4, pagina 29, Model DPIA Rijksdienst redactionele_opmerking: Dit begrip volgt uit het gebruik in de Pre-scan DPIA en het Model DPIA Rijksdienst. In overleg met het PAR is deze vraag expliciet toegevoegd aan de DPIA. - id: advies_ap term: Advies AP category: DPIA - 17. Maatregelen definition: Advies AP is een beschrijving van wat de [Autoriteit Persoonsgegevens] heeft geadviseerd in het geval van een [voorafgaande raadpleging AP], en wat met dat advies is gedaan. metadata: toelichting: 'Wanneer uit de DPIA voor overheidsverwerkingen blijkt dat de verwerking een hoog risico oplevert en de verwerkingsverantwoordelijke er niet in slaagt om maatregelen te nemen om de resterende risico’s te beperken tot een acceptabel niveau, moet de AP voorafgaande aan de verwerking worden geraadpleegd. Als de DPIA betrekking heeft op regelgeving moet het voorstel altijd ter consultatie worden toegestuurd aan de AP. ' kennisbronnen: - 'paragraaf 1.6, pagina 11, punt 7, Model DPIA Rijksdienst; artikel 35, lid 2, AVG; artikel 36, lid 1, AVG;artikel 36, lid 2, AVG;artikel 36, lid 4, AVG;artikel 28, lid 1, Richtlijn; artikel 28, lid 2, Richtlijn; artikel 28, lid 3, Richtlijn; ' redactionele_opmerking: 'De term en definitie volgen uit het Model DPIA Rijksdienst en 1de geciteerde artikelen in AVG en Richtlijn. ' - id: categorie_gewone_persoonsgegevens_helpdeskgegevens term: 'Categorie gewone persoonsgegevens: Helpdeskgegevens' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Helpdeskgegevens is een [categorie gewone persoonsgegevens] met [persoonsgegevens] die zijn verstrekt aan of ontstaan tijdens een contactmoment met een helpdesk of klantenservice. metadata: toelichting: Dit omvat ook gegevens uit andere categorieën zoals toestelgegevens en inkomend nummer wanneer deze worden vastgelegd als onderdeel van het contact met een helpdesk of klantenservice. voorbeelden: - De vraag of klacht, het contactmoment, welke medewerker de melding ontving, de opmerkingen van de medewerker, de gegevens over de afhandeling. kennisbronnen: - Vragenlijst, vraag 7, Pre-scan DPIA - id: technieken_en_methoden_van_gegevensverwerking term: Technieken en methoden van gegevensverwerking category: DPIA - 04. Technieken en methoden definition: Technieken en methoden van gegevensverwerking zijn de middelen en processen waarmee [persoonsgegevens] worden verwerkt. metadata: toelichting: Gebruikmaking van bepaalde technieken en methoden van gegevensverwerking kunnen aanvullende risico’s met zich brengen en daarom onderworpen zijn aan strengere regels en aanvullende maatregelen vereisen. voorbeelden: - Denk hierbij aan inzet van big-data technieken en methoden, algoritmen, AI, profilering, Cloudopslag, etc. kennisbronnen: - paragraaf 3.4, pagina 28, Model DPIA Rijksdienst redactionele_opmerking: De definitie is overgenomen uit het Model DPIA Rijksdienst. Vanuit overleg met het PAR is 'methoden' in de definitie vervangen door 'processen'. - id: gevoelig_persoonsgegeven term: Gevoelig persoonsgegeven category: DPIA - 02. Persoonsgegevens definition: 'Een gevoelig persoonsgegeven is een [persoonsgegeven] dat niet expliciet in de AVG is benoemd als aparte categorie, maar dat wel een grotere impact heeft op iemands privacy dan een [gewoon persoonsgegeven]. Het omvat alle persoonsgegevens die: * verband houden met huishoudelijke en privéactiviteiten; * en/of de uitoefening van een grondrecht beïnvloeden; * en/of of omdat de schending van de vertrouwelijkheid van deze gegevens duidelijk gevolgen heeft voor het dagelijkse leven van de betrokkene.' metadata: toelichting: "Gewone persoonsgegevens betekent niet dat geen sprake is van een\ \ hoog risico. Bepaalde persoonsgegevens kunnen door de context waarin zij worden\ \ gebruikt gevoelig zijn en daardoor een hoog risico met zich meebrengen. Daarom\ \ wordt de categorie gevoelige persoonsgegevens hier onderscheiden, ondanks\ \ het feit dat deze categorie niet in de AVG voorkomt. \n\nOverigens is in de\ \ AVG wel expliciet ruimte opgenomen voor de lidstaten om deze categorie zelf\ \ in te vullen, in overweging 10 van de preambule." voorbeelden: - Gegevens over de financiële situatie van de betrokkene, (andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene, gegevens die betrekking hebben op kwetsbare groepen, gebruikersnamen, wachtwoorden en andere inloggegevens, gegevens die kunnen worden misbruikt voor (identiteits)fraude, communicatie- en locatiegegevens. kennisbronnen: - Wat zijn persoonsgegevens?, AP;paragraaf 3.2, pagina 23, Model DPIA Rijksdienst; punt 4, sectie III, Richtsnoeren EDPB; preambule, overweging 10, AVG redactionele_opmerking: De definitie is opgesteld op basis van informatie van de EDPB en AP. De toelichting komt uit het Model DPIA Rijksdienst. meervoudsvormen: - Gevoelige persoonsgegevens - id: doorgiftemechanisme term: Doorgiftemechanisme category: DPIA - 08. Verwerkingslocaties definition: Een doorgiftemechanisme is een voorwaarde voor [internationale doorgifte]. metadata: toelichting: Bij invulling van 'doorgiftemechanisme' in de Pre-scan DPIA kan er één optie worden ingevuld. Is er sprake van meerdere doorgiftemechanismes, dan geldt de meest relevante. kennisbronnen: - artikel 44, AVG redactionele_opmerking: Deze definitie is afgeleid op basis van de beschrijving in de AVG, gebruikmakend van de term 'internationale doorgifte'. alternatieve_spellingen: - Mechanisme voor doorgifte - passende waarborg - id: opslag_van_gegevens_datacenter_eer term: 'Opslag van gegevens: datacenter EER' category: Pre-scan DPIA - C. Internationale doorgiften definition: Datacenter EER is een aanduiding van de [opslag van gegevens] die aangeeft dat die opslag contractueel plaats vindt in een datacenter binnen de [Europese Economische Ruimte]. metadata: kennisbronnen: - Vragenlijst, vraag 15, Pre-scan DPIA redactionele_opmerking: De definitie is afgeleid van het gebruik van de term in de Pre-scan DPIA. - id: maatregel_doorgifte term: Maatregel doorgifte category: DPIA - 17. Maatregelen definition: Een maatregel doorgifte is een bestaande of voorgenomen, passende maatregel om een beschreven [risico op basis van doorgifte] van de [gegevensverwerkingen] aan te pakken. metadata: kennisbronnen: - paragraaf 3.17, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de informatie in het Model DPIA Rijksdienst. In overleg met het PAR-team is geconcludeerd dat zowel bestaande als voorgenomen maatregelen in-scope zijn van een DPIA. alternatieve_spellingen: - Risicobeheersingsmaatregel - id: organisatorische_activiteit_met_internationale_doorgifte_bijzondere_persoonsgegevens term: Organisatorische activiteit met internationale doorgifte bijzondere persoonsgegevens category: Pre-scan DPIA - C. Internationale doorgiften definition: Een organisatorische activiteit met internationale doorgifte bijzondere persoonsgegevens is zowel een [organisatorische activiteit bijzondere persoonsgegevens] als een [organisatorische activiteit met internationale doorgifte]. metadata: toelichting: Merk op dat dit niet betekent dat er ook bijzondere persoonsgegevens worden doorgegeven naar buiten de EER, maar dat er wel de mogelijkheid bestaat dat dit gebeurt. Daarom moet bij een organisatorische activiteit met deze eigenschappen die vraag dus expliciet worden gesteld en beantwoord in de pre-scan DPIA. kennisbronnen: - Vragenlijst, vraag 19, Pre-scan DPIA - id: lijst_ap_cameratoezicht term: 'Lijst AP: Cameratoezicht' category: Pre-scan DPIA - D. Lijst AP definition: Cameratoezicht is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. grootschalige en/of stelselmatige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones. metadata: kennisbronnen: - pagina 3, Lijst AP - id: classificatie_persoonsgegevens_bevat_geen_persoonsgegevens term: 'Classificatie persoonsgegevens: bevat geen persoonsgegevens' category: DPIA - 02. Persoonsgegevens definition: Bevat geen persoonsgegevens is een [classificatie] die aangeeft dat specifieke informatie geen [persoonsgegevens] bevat. metadata: kennisbronnen: - Analyse team - id: stroomschema term: Stroomschema category: DPIA - 03. Gegevensverwerkingen definition: Een stroomschema is een visualisatie van [gegevensverwerkingen]. metadata: toelichting: 'Omdat de gegevensverwerkingen binnen het voorstel gecompliceerd kunnen zijn en het niet altijd gemakkelijk is om het geheel van gegevensverwerkingen in woorden uit te drukken is het van belang om de gegevensverwerkingen te visualiseren, bijvoorbeeld aan de hand van een input-proces-output model, stroomschema of workflow. Een duidelijk stroomschema kan namelijk in een oogopslag laten zien hoe de gegevensverwerkingen binnen het proces lopen, waardoor gemakkelijk het overzicht kan worden bewaard in de DPIA. Verder kan ook gerefereerd worden naar het gebruikte stroomschema in de rest van de DPIA. Om de duidelijkheid van het stroomschema te vergroten kan aan de volgende elementen worden gedacht: * Benoem alle betrokken partijen in het stroomschema. Op die manier is het duidelijk welke partij verantwoordelijk of onderdeel is bij desbetreffende gegevensverwerking en wanneer de partijen precies worden betrokken bij de gegevensverwerkingen. Geef ook aan wat de AVG-rol is van iedere betrokken partij. * Wanneer het stroomschema groter is dan de reikwijdte van de DPIA, geef duidelijk aan in het stroomschema over welke gegevensverwerkingen de DPIA gaat. * Voeg per gegevensverwerking toe of specifieke applicaties, software, online platformen of cloud opslag wordt gebruikt.' voorbeelden: - Zie kennisbron voor voorbeeld. kennisbronnen: - paragraaf 3.3, pagina 27, Model DPIA Rijksdienst - id: hoge_impact term: Hoge impact category: DPIA - 16. Risico's voor betrokkenen definition: Een hoge impact is een aanduiding dat een [risico voor betrokkenen] een hoge [impact] heeft wanneer deze intreedt. metadata: kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van het gebruik van de term in het Model DPIA Rijksdienst. - id: kwetsbare_groep term: Kwetsbare groep category: DPIA - 02. Persoonsgegevens definition: Een kwetsbare groep is een groep [betrokkenen] waarvoor de negatieve effecten van een [gegevensverwerking persoonsgegevens] groter kunnen zijn dan voor anderen, of waarbij er een ongelijke machtsverhouding bestaat tussen de [betrokkenen] en de [verwerkingsverantwoordelijke]. metadata: toelichting: Kwetsbare betrokkenen zijn bijvoorbeeld kinderen, werknemers, kwetsbaardere segmenten van de bevolking die speciale bescherming behoeven, en andere betrokkenen waarbij een onevenwichtigheid in de relatie tussen de positie van de betrokkene en de verwerkingsverantwoordelijke kan worden vastgesteld. voorbeelden: - Gehandicapten, minderheden, kinderen, werknemers, vluchtelingen, asielzoekers, statushouders, patiënten, et cetera. kennisbronnen: - paragraaf 3.2, pagina 21, Model DPIA Rijksdienst; punt 7, deel III, Richtsnoeren EDPB. redactionele_opmerking: Deze definitie is afgeleid van de informatie in het Model DPIA Rijksdienst, par. 3.2 en de uitleg in de richtsnoeren EDPB over kwetsbare groepen, in deel III, punt 7. meervoudsvormen: - Kwetsbare groepen - id: partij_naam term: Partij naam category: DPIA - 00. Algemeen definition: Een partij naam identificeert een partij. metadata: kennisbronnen: - Analyse team - id: organisatorische_activiteit_gewone_persoonsgegevens term: Organisatorische activiteit gewone persoonsgegevens category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Een [organisatorische activiteit gevoelige persoonsgegevens] is een [organisatorische activiteit persoonsgegevens] die een [gewoon persoonsgegeven] verwerkt met als categorie overig. metadata: kennisbronnen: - Vragenlijst, paragraaf A, vraag 7, Pre-scan DPIA redactionele_opmerking: Toegevoegd om te verduidelijken wat er in het informatiemodel met dit begrip wordt bedoeld. - id: lijst_ap term: Lijst AP category: Pre-scan DPIA - D. Lijst AP definition: De Lijst AP is een lijst opgesteld door de [Autoriteit Persoonsgegevens] die zeventien verschillende soorten [gegevensverwerkingen] omvat waarvoor een [DPIA] verplicht is. metadata: kennisbronnen: - pagina 1, Lijst AP redactionele_opmerking: Deze definitie is afgeleid uit de beschrijving in de Lijst AP. - id: lijst_edpb_blokkering_van_een_dienst,_recht_of_contract term: 'Lijst EDPB: Blokkering van een dienst, recht of contract' category: Pre-scan DPIA - E. Lijst EDPB definition: Blokkering van een dienst, recht of contract is een criteria uit de [Lijst EDPB] waarbij als gevolg van de [gegevensverwerking persoonsgegevens] zelf [betrokkenen] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst. metadata: toelichting: Dit omvat verwerkingen die erop gericht zijn de toegang van betrokkenen tot een dienst of de mogelijkheid van betrokkenen om een overeenkomst aan te gaan toe te staan, te wijzigen of te weigeren. voorbeelden: - 'een bank die zijn klanten screent op basis van een databank met kredietreferenties om te beslissen of ze al dan niet een lening aangeboden krijgen' kennisbronnen: - paragraaf 3Ba, pagina 11, Richtsnoeren EDPB - id: verwerkingsverantwoordelijke_bij_dpia term: Verwerkingsverantwoordelijke bij DPIA category: DPIA - 00. Algemeen definition: Een verwerkingsverantwoordelijke bij een DPIA is een [verwerkingsverantwoordelijke] voor een [gegevensverwerking persoonsgegevens] waarop de [DPIA] betrekking heeft. metadata: kennisbronnen: - pagina 2 en 23, Rapportagemodel DPIA Rijksdienst - id: verwerkingslocatie term: Verwerkingslocatie category: DPIA - 08. Verwerkingslocaties definition: Een verwerkingslocatie is een land waarin een [gegevensverwerking persoonsgegevens] plaatsvindt. metadata: kennisbronnen: - paragraaf 3.8, pagina 39, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van de informatie in het Model DPIA Rijksdienst. meervoudsvormen: - Verwerkingslocaties - id: basisregistratie term: Basisregistratie category: Pre-scan DPIA - F. Basisregistraties definition: Een basisregistratie is een door de overheid officieel aangewezen registratie met daarin gegevens van hoogwaardige kwaliteit, die door alle overheidsinstellingen verplicht en zonder nader onderzoek, worden gebruikt bij de uitvoering van [taken van algemeen belang]. metadata: kennisbronnen: - BasisregistratieDigitaleOverheid redactionele_opmerking: De definitie is letterlijk overgenomen uit de bron, maar 'publiekrechtelijke taken' is vervangen door 'taken van algemeen belang', in dit begrippenkader de voorkeursterm. - id: document term: Document category: DPIA - 00. Algemeen definition: Een document is een [informatieobject] dat eenvoudig kan worden gedeeld met andere partijen, en (ook) voor mensen leesbare tekst bevat. metadata: toelichting: Een verwijzing naar een document waaraan wordt gerefereerd wordt minimaal gespecificeerd door toevoeging van de locatie, de naam en de versie. Het soort document is een belangrijk kenmerk om te bepalen of en hoe het document kan worden gelezen. kennisbronnen: - Analyse team meervoudsvormen: - Documenten - id: recht_op_rectificatie_en_aanvulling term: Recht op rectificatie en aanvulling category: DPIA - 15. Rechten van de betrokkene definition: Het recht op rectificatie en aanvulling is een [recht van de betrokkene] waarbij de [betrokkene] het recht heeft om van de [verwerkingsverantwoordelijke] rectificatie van hem betreffende onjuiste [persoonsgegevens] te verkrijgen. Met inachtneming van de [verwerkingsdoeleinden] van de [gegevensverwerking persoonsgegevens] heeft de [betrokkene] daarnaast ook het recht vervollediging van onvolledige [persoonsgegevens] te verkrijgen, onder meer door een aanvullende verklaring te verstrekken. metadata: kennisbronnen: - artikel 16, AVG redactionele_opmerking: doeleinden' is vervangen door 'verwerkingsdoeleinden' en 'verwerking' door 'gegevensverwerking', om naar de juiste termen te kunnen verwijzen. - id: functie/afdeling_met_toegang_tot_persoonsgegevens_in_gegevensverwerking term: Functie/afdeling met toegang tot persoonsgegevens in gegevensverwerking category: DPIA - 06. Betrokken partijen definition: Functie/afdeling met toegang tot persoonsgegevens in gegevensverwerking is een beschrijving van de [functie] binnen een afdeling, of alleen een [afdeling], met toegang tot persoonsgegevens in een [gegevensverwerking persoonsgegevens]. metadata: toelichting: Indien bekend, benoem welke afdelingen, of functies én afdelingen, toegang krijgen tot welke persoonsgegevens. kennisbronnen: - paragraaf 3.6, pagina 33, Model DPIA Rijksdienst - id: normenkader term: Normenkader category: DPIA - 00. Algemeen definition: Een normenkader is een richtinggevende set van objecten en normen die beschrijven hoe je juiste beheersing op een onderwerp kan doen, en wat door een auditor getoetst kan worden. metadata: toelichting: In het kader van gegevensbescherming kan een normenkader bijvoorbeeld bestaan uit wet- en regelgeving (zoals de AVG), richtsnoeren van toezichthouders, en best practices op het gebied van informatiebeveiliging. voorbeelden: - 'Een aantal bestaande normenkaders zijn o.a.: * Het Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007)' - '* Het Besluit voorschrift informatiebeveiliging rijksdienst – bijzondere informatie 2013 (VIRBI 2013)' - '* De Baseline Informatiebeveiliging Overheid (BIO).' kennisbronnen: - Normenkader, Nora;paragraaf 1.8, pagina 14/15, Model DPIA Rijksdienst - id: locatie_monitoring_en_evaluatie_maatregelen term: Locatie monitoring en evaluatie maatregelen category: DPIA - 17. Maatregelen definition: Locatie monitoring en evaluatie maatregelen beschrijft het land waar de effectiviteit van de [maatregelen] t.b.v. een [DPIA] wordt bewaakt en geëvalueerd. metadata: toelichting: 'Het land waar de maatregelen en hun effectiviteit worden bewaakt en geëvalueerd kan relevant zijn voor de manier waarop met de maatregelen wordt omgegaan. ' kennisbronnen: - Analyse team redactionele_opmerking: Deze term is geïntroduceerd op verzoek van het PAR-team. Geaccordeerd 31-3-2025. - id: doorgiftemechanisme_bindend_bedrijfsvoorschrift term: 'Doorgiftemechanisme: bindend bedrijfsvoorschrift' category: Pre-scan DPIA - C. Internationale doorgiften definition: Een bindend bedrijfsvoorschrift is een [doorgiftemechanisme] in de vorm van [beleid] inzake de bescherming van [persoonsgegevens] dat een op het grondgebied van een lidstaat gevestigde [verwerkingsverantwoordelijke] of [verwerker] voert met betrekking tot de doorgifte of reeksen van doorgiften van [persoonsgegevens] aan een [verwerkingsverantwoordelijke] of [verwerker] in een of meer derde landen binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen. metadata: toelichting: In de bindende bedrijfsvoorschriften legt een organisatie vast welke waarborgen en regels er zijn om persoonsgegevens te beschermen bij doorgifte naar landen buiten de EER. Deze regels moeten juridisch bindend zijn. Alle partijen binnen het concern moeten zich hieraan houden. kennisbronnen: - artikel 4, lid 20, AVG;AP;artikel 47, AVG redactionele_opmerking: De AVG geeft een definitie in artikel 4, en aanvullende voorwaarden aan de BCR in artikel 47. De AP verstrekt extra duidelijkheid. - id: classificatie_type_persoonsgegevens_strafrechtelijk term: 'Classificatie type persoonsgegevens: Strafrechtelijk' category: DPIA - 02. Persoonsgegevens definition: Strafrechtelijk is een [classificatie type persoonsgegevens] dat aangeeft dat een [persoonsgegeven] een [strafrechtelijk persoonsgegeven] is. metadata: kennisbronnen: - paragraaf 3.2, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de informatie in het Model DPIA Rijksdienst. - id: organisatorische_activiteit_overige_gewone_persoonsgegevens term: Organisatorische activiteit overige gewone persoonsgegevens category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Een [organisatorische activiteit gevoelige persoonsgegevens] is een [organisatorische activiteit persoonsgegevens] die een [gewoon persoonsgegeven] verwerkt met als [Categorie gewone persoonsgegevens] de waarde "Overige". metadata: kennisbronnen: - Vragenlijst, paragraaf A, vraag 7, Pre-scan DPIA redactionele_opmerking: Toegevoegd om te verduidelijken wat er in het informatiemodel met dit begrip wordt bedoeld. - id: type_persoonsgegeven term: Type persoonsgegeven category: DPIA - 02. Persoonsgegevens definition: "Een type persoonsgegeven is een aanduiding van de inhoud van een [persoonsgegeven]\ \ in de vorm van een [classificatie type persoonsgegevens], onafhankelijk van\ \ de context van het gebruik daarvan.\n\nDe mogelijke typen persoonsgegevens zijn:\ \ [gewoon persoonsgegeven], [gevoelig persoonsgegeven], [bijzonder persoonsgegeven],\ \ [strafrechtelijk persoonsgegeven] en \n[nationaal identificatienummer]. Deze\ \ worden aangeduid met 'gewoon', 'gevoelig', et cetera." metadata: kennisbronnen: - paragraaf 3.2, pagina 26, Model DPIA Rijksdienst - id: organisatorische_activiteit_bijzondere_persoonsgegevens term: Organisatorische activiteit bijzondere persoonsgegevens category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Een [organisatorische activiteit bijzondere persoonsgegevens] is een [organisatorische activiteit persoonsgegevens] die een [bijzonder persoonsgegeven] verwerkt. metadata: kennisbronnen: - Vragenlijst, paragraaf A, vraag 8, Pre-scan DPIA redactionele_opmerking: Toegevoegd om te verduidelijken wat er in het informatiemodel met dit begrip wordt bedoeld. - id: wet-_en_regelgeving_over_beperking_op_recht_van_de_betrokkene term: Wet- en regelgeving over beperking op recht van de betrokkene category: DPIA - 15. Rechten van de betrokkene definition: Wet- en regelgeving over beperking op recht van de betrokkene is een wetsoort die aangeeft dat een bepaald artikel in wet- en regelgeving een [wetsartikel over beperking op recht van de betrokkene] is. metadata: kennisbronnen: - Analyse team redactionele_opmerking: Dit begrip is opgenomen om duiding te geven aan een bepaald aspect van het gegevensmodel voor de DPIA. - id: categorie_gewone_persoonsgegevens_content term: 'Categorie gewone persoonsgegevens: Content' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Content is een [categorie gewone persoonsgegevens] met [persoonsgegevens] over content. metadata: toelichting: Dit zijn gegevens zoals de inhoud van documenten of ingevulde velden in een applicatie. kennisbronnen: - Vragenlijst, vraag 7, Pre-scan DPIA - id: internationale_doorgifte_persoonsgegevens term: 'Internationale doorgifte: persoonsgegevens' category: Pre-scan DPIA - C. Internationale doorgiften definition: Internationale doorgifte van persoonsgegevens is een aanduiding van een [classificatie] van [internationale doorgifte] die aangeeft dat er geen doorgifte is van [persoonsgegevens] naar een [derde land] of internationale organisatie buiten de [EER]. metadata: kennisbronnen: - Vragenlijst, vraag 13, Pre-scan DPIA redactionele_opmerking: Deze term en definitie zijn afgeleid van het gebruik in de Pre-scan DPIA. - id: lage_kans term: Lage kans category: DPIA - 16. Risico's voor betrokkenen definition: Een lage kans is een aanduiding dat de [kans op optreden risico voor betrokkenen] laag is. metadata: kennisbronnen: - paragraaf 3.16, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van het gebruik van de term in het Model DPIA Rijksdienst. - id: bewaartermijn_aantal_jaren term: 'Bewaartermijn: Aantal jaren' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Aantal jaren is een aanduiding van een [bewaartermijn] die aangeeft dat de [persoonsgegevens] voor een aantal jaar moeten worden bewaard. metadata: kennisbronnen: - Vragenlijst, vraag 11d, Pre-scan DPIA - id: doorbrekingsgrond term: Doorbrekingsgrond category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Een doorbrekingsgrond is een wettelijke bepaling waarmee het verbod om [bijzondere persoonsgegevens] te verwerken wordt opgeheven. metadata: toelichting: Een doorbrekingsgrond wordt niet letterlijk genoemd in de wet, maar volgt uit de systematiek van de wet, met name artikel 9 lid 1 en lid 2 van de AVG. kennisbronnen: - Analyse team; artikel 9, lid 1, AVG; artikel 9, lid 2, AVG - id: resterend_risico_voor_betrokkenen term: Resterend risico voor betrokkenen category: DPIA - 17. Maatregelen definition: Een resterend risico voor betrokkenen is een [risico voor betrokkenen] dat nog aanwezig is na de uitvoering en/of implementatie van de geïdentificeerde [maatregelen]. metadata: toelichting: Risico’s volledig reduceren is niet mogelijk. Dit betekent dat er altijd een resterend risico zal overblijven. kennisbronnen: - paragraaf 3.17, pagina 58, Model DPIA Rijksdienst meervoudsvormen: - Resterende risico's voor betrokkenen alternatieve_spellingen: - Restrisico - resterend risico - id: categorie_bijzondere_persoonsgegevens_persoonsgegevens_waaruit_het_lidmaatschap_van_een_vakbond_blijkt term: 'Categorie bijzondere persoonsgegevens: Persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt' category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt zijn [bijzondere persoonsgegevens] waaruit het lidmaatschap van een vakbond blijkt. metadata: toelichting: Hieronder vallen niet alleen gegevens over het lidmaatschap zelf, maar ook indirecte gegevens waaruit het lidmaatschap zou kunnen worden afgeleid, zoals gegevens over bijvoorbeeld contributiebetalingen, deelname aan vakbondsbijeenkomsten, de ontvangst van een bijdrage werkgever voor de contributie of lidmaatschap van de ondernemingsraad namens de vakbond. kennisbronnen: - artikel 9, lid 1, AVG - id: rechtsgrond_noodzakelijk_voor_de_uitvoering_van_een_overeenkomst term: Rechtsgrond noodzakelijk voor de uitvoering van een overeenkomst category: DPIA - 11. Rechtsgronden definition: Een rechtsgrond noodzakelijk voor de uitvoering van een overeenkomst is een [rechtsgrond] waarbij de [gegevensverwerking persoonsgegevens] noodzakelijk is voor de uitvoering van een overeenkomst met de [betrokkene], of om op verzoek van de [betrokkene] vóór de sluiting van een overeenkomst maatregelen te nemen. metadata: toelichting: 'In andere woorden, de verwerking is een noodzakelijke voorwaarde om een overeenkomst te sluiten dan wel een contractuele verplichting. Merk op dat we hier niet spreken over maatregelen ter beheersing van de risico''s voor betrokkenen.' kennisbronnen: - artikel 6, lid 1, onder b, AVG;paragraaf 3.15, pagina 50, Model DPIA Rijksdienst redactionele_opmerking: De definitie komt uit de AVG, maar 'verwerking' is vervangen door 'gegevensverwerking' om naar het juiste begrip te kunnen verwijzen. 'Waarbij de betrokkene partij is' is vervangen door 'met de betrokkene', om niet overbodig te verwijzen naar het begrip 'partij'. De toelichting komt voort uit het Model DPIA Rijksdienst. alternatieve_spellingen: - Noodzakelijk voor overeenkomst - id: categorie_gewone_persoonsgegevens term: Categorie gewone persoonsgegevens category: Pre-scan DPIA - B. Gegevensverwerkingen definition: 'Een categorie gewone persoonsgegevens is een [categorie persoonsgegevens] waarbij het [Classificatie type persoonsgegevens] aangeeft dat gewone persoonsgegevens worden verwerkt. ' metadata: kennisbronnen: - Vragenlijst, vraag 7, Pre-scan DPIA - id: organisatorische_activiteit_met_iama-verplichting term: Organisatorische activiteit met IAMA-verplichting category: Pre-scan DPIA - G. Algoritmes/AI definition: Een organisatorische activiteit met IAMA-verplichting is een [organisatorische activiteit met algoritme] waarbij sprake is van een algoritme dat kwalificeert als een AI-systeem. metadata: kennisbronnen: - Vragenlijst, paragraaf G, Pre-scan DPIA - id: recht_om_niet_onderworpen_te_worden_aan_een_uitsluitend_op_geautomatiseerde_verwerking_gebaseerd_besluit term: Recht om niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit category: DPIA - 15. Rechten van de betrokkene definition: Het recht om niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit is een [recht van de betrokkene] waarbij de [betrokkene] het recht heeft niet te worden onderworpen aan een op [geautomatiseerde besluitvorming] gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. metadata: toelichting: 'Artikel 22 AVG voorziet in een algemeen verbod op besluitvorming waaraan rechtsgevolgen zijn verbonden voor een betrokkene, of dat hem anderszins in aanmerkelijke mate treft, als deze is gebaseerd op uitsluitend geautomatiseerde verwerking, waaronder profilering. Hiervan mag worden afgeweken indien sprake is van een van onderstaande uitzonderingen op het verbod, namelijk als het besluit: a. Noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst; b. Is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene; of c. Berust op de uitdrukkelijke toestemming van de betrokkene.' kennisbronnen: - artikel 22, lid 1, AVG;paragraaf 3.4, pagina 29, Model DPIA Rijksdienst redactionele_opmerking: De definitie volgt uit de AVG, de toelichting komt uit het Model DPIA Rijksdienst. alternatieve_spellingen: - Recht niet onderworpen te worden aan geautomatiseerde besluitvorming - id: frequentie_van_verwerking_minstens_jaarlijks term: 'Frequentie van verwerking: Minstens jaarlijks' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Minstens jaarlijks is een aanduiding van de [frequentie van verwerking] die aangeeft dat [persoonsgegevens] minstens jaarlijks worden verwerkt. metadata: kennisbronnen: - Vragenlijst, vraag 11c, Pre-scan DPIA - id: toelichting_consultatie_betrokkenen_dpia term: Toelichting consultatie betrokkenen DPIA category: DPIA - 07. Belangen definition: Toelichting consultatie betrokkenen DPIA is een beschrijving van [consultatie van betrokkenen] en/of motivatie waarom [consultatie van betrokkenen] niet plaats vindt. metadata: kennisbronnen: - paragraaf 1.6, pagina 10, Model DPIA Rijksdienst redactionele_opmerking: Deze term is geïntroduceerd op basis van de informatie in het Model DPIA Rijksdienst. - id: verenigbaar term: Verenigbaar category: DPIA - 13. Doelbinding definition: Verenigbaar geeft aan dat er een concreet, logisch en nauw verband is tussen het [oorspronkelijk verwerkingsdoeleinde] en de verdere [gegevensverwerking persoonsgegevens]. metadata: kennisbronnen: - Verstrekken van persoonsgegevens, AP redactionele_opmerking: De definitie is afgeleid van de informatie van de AP. - id: bewaartermijn_jaar term: 'Bewaartermijn: Jaar' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Jaar is een aanduiding van een [bewaartermijn] die aangeeft dat de [persoonsgegevens] voor een jaar moeten worden bewaard. metadata: kennisbronnen: - Vragenlijst, vraag 11d, Pre-scan DPIA - id: classificatie_type_persoonsgegevens term: Classificatie type persoonsgegevens category: DPIA - 02. Persoonsgegevens definition: 'Een classificatie type persoonsgegevens is een [classificatie] van het specifieke type [persoonsgegevens] in een [gegevenstype]. Het kan hier gaan om gewone, gevoelige, bijzondere, of strafrechtelijke gegevens, of een nationaal identificatienummer.' metadata: toelichting: De classificatie type persoonsgegeven doet dus een uitspraak over welk [type persoonsgegeven] in een [persoonsgegeven] aanwezig is of kan zijn. kennisbronnen: - paragraaf 3.2, pagina 26, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van het gebruik in het Model DPIA Rijksdienst. - id: lijst_ap_communicatiegegevens term: 'Lijst AP: Communicatiegegevens' category: Pre-scan DPIA - D. Lijst AP definition: Communicatiegegevens is een categorie van [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. grootschalige en/of systematische [gegevensverwerking persoonsgegevens] van communicatiegegevens inclusief metadata herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder, of het randapparaat van de eindgebruiker. metadata: kennisbronnen: - pagina 3, Lijst AP redactionele_opmerking: De definitie is overgenomen uit de Lijst AP, waarbij 'verwerking' is vervangen door 'gegevensverwerking' om zo naar de voorkeursterm van dit begrip te verwijzen. - id: categorie_gevoelige_persoonsgegevens_gebruikersnamen,_wachtwoorden_en_andere_inloggegevens term: 'Categorie gevoelige persoonsgegevens: Gebruikersnamen, wachtwoorden en andere inloggegevens' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Gebruikersnamen, wachtwoorden en andere inloggegevens is een [categorie gevoelige persoonsgegevens] met [persoonsgegevens] over gebruikersnamen, wachtwoorden en andere inloggegevens. metadata: kennisbronnen: - Vragenlijst, vraag 9, Pre-scan DPIA - id: categorie_bijzondere_persoonsgegevens_genetische_gegevens term: 'Categorie bijzondere persoonsgegevens: Genetische gegevens' category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Genetische gegevens zijn [bijzondere persoonsgegevens] over overgeërfde of verworven genetische kenmerken van een persoon die unieke informatie verschaffen over de fysiologie of gezondheid en die met name voortkomen uit een analyse van een biologisch monster van die persoon. metadata: toelichting: Deze gegevens geven zeer gevoelige informatie prijs over iemands gezondheid, afkomst, toekomstig ziekteverloop of aanwezigheid bij bepaalde delicten. Het gaat hierbij niet alleen om persoonsgegevens van de persoon van wie biologische monsters zijn afgenomen, maar mogelijk ook over alle genetisch verwante personen zoals kinderen, ouders, neven en nichten, et cetera. voorbeelden: - Chromosomen, DNA of RNA-profielen, genetische testresultaten (bijvoorbeeld voor erfelijke ziektes), informatie verkregen via bloed- of speekseltesten, genoomdata van sequencing, gegevens gebruikt voor verwantschapsonderzoek of stamboomonderzoek. kennisbronnen: - artikel 9, lid 1, AVG;artikel 4, lid 13, AVG redactionele_opmerking: Deze definitie is letterlijk overgenomen uit de AVG, maar 'persoonsgegevens' is vervangen door 'bijzondere persoonsgegevens', om naar het juiste begrip te kunnen verwijzen. - id: categorie_gevoelige_persoonsgegevens_gegevens_over_de_financiële_situatie_van_de_betrokkene term: 'Categorie gevoelige persoonsgegevens: Gegevens over de financiële situatie van de betrokkene' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Gegevens over de financiële situatie van de betrokkene is een [categorie gevoelige persoonsgegevens] met [persoonsgegevens] over de financiële situatie van de [betrokkene]. metadata: voorbeelden: - Salaris, loonstrook, pensioenoverzicht, bankafschrift, jaaroverzicht. kennisbronnen: - Vragenlijst, vraag 9, Pre-scan DPIA - id: maatschappelijk_belang term: Maatschappelijk belang category: DPIA - 11. Rechtsgronden definition: 'Een maatschappelijk belang is een [belang] waarvan de behartiging voor de samenleving als geheel gewenst is. ' metadata: toelichting: 'Zo wordt algemeen aangenomen dat het een maatschappelijk belang is dat treinen rijden, dijken worden onderhouden, straten zijn verlicht, hygiëne wordt betracht, vervuiling van het milieu wordt tegengegaan, armoede wordt bestreden, een aantal individuele risico’s collectief wordt opgevangen. Niet alleen individuele burgers hebben daarbij immers belang, ook de samenleving als geheel. De welvaart in zijn algemeenheid is gebaat bij collectieve verzekeringen, bij armenzorg en bij het rijden van treinen; de veiligheid in haar algemeenheid is gebaat bij dijken die overstroming tegengaan en bij verlichting bij nacht en ontij; de gezondheid van alle burgers is gebaat bij hygiëne en een adequate gezondheidszorg; de toekomstige samenleving is gebaat bij het tegengaan van milieuvervuiling in het heden. Het is een maatschappelijk belang dat er voldoende brood is om te eten. ' kennisbronnen: - paragraaf 1.2, pagina 20, WRR 56 redactionele_opmerking: Deze definitie komt rechtstreeks van WRR, maar is herschreven om te kunnen verwijzen naar andere begrippen. - id: functie/afdeling_met_toegang_tot_persoonsgegevens_bekend_onbekend term: 'Functie/afdeling met toegang tot persoonsgegevens bekend: onbekend' category: DPIA - 06. Betrokken partijen definition: Onbekend is een aanduiding van [Functie/afdeling met toegang tot persoonsgegevens bekend] die aangeeft dat het niet bekend is welke [functies] en/of [afdelingen] van een [partij] toegang krijgen tot welke [persoonsgegevens] in de [gegevensverwerking persoonsgegevens]. metadata: kennisbronnen: - paragraaf 3.6, pagina 33, Model DPIA Rijksdienst redactionele_opmerking: Het gebruik van deze term en de definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst. In overleg met het PAR-team is ervoor gekozen om 'functies' te vragen in plaats van 'functionarissen'. - id: betrokken_partij_bij_gegevensverwerking_is_verwerkingsverantwoordelijke term: Betrokken partij bij gegevensverwerking is verwerkingsverantwoordelijke category: DPIA - 06. Betrokken partijen definition: Een betrokken partij bij een gegevensverwerking is een verwerkingsverantwoordelijke als de [partij] betrokken is bij een [gegevensverwerking persoonsgegevens] en daar de rol van [verwerkingsverantwoordelijke] heeft. metadata: toelichting: Dit is een afgeleide rol. kennisbronnen: - Analyse team - id: advies_fg term: Advies FG category: DPIA - 00. Algemeen definition: Advies FG is een beschrijving van wat de [functionaris voor gegevensbescherming] van een [verwerkingsverantwoordelijke] die de [DPIA] opstelt heeft geadviseerd, en wat met dat advies is gedaan. metadata: toelichting: Op grond van de AVG is het verplicht om advies in te winnen bij de FG. Het is ten zeerste aan te raden om de FG zo vroeg mogelijk te betrekken bij de DPIA-procedure en niet te wachten totdat het DPIA-rapport reeds volledig is opgesteld. kennisbronnen: - paragraaf 1.6, pagina 10-11, Model DPIA Rijksdienst;Analyse team redactionele_opmerking: De term en definitie volgen uit het Model DPIA Rijksdienst. Op verzoek van het PAR is opgenomen dat een FG van een specifieke verwerkingsverantwoordelijke is. - id: dtia-verplichting term: DTIA-verplichting category: Pre-scan DPIA - C. Internationale doorgiften definition: Een DTIA-verplichting geldt wanneer een [partij] verplicht is een [DTIA] op te stellen voor een [internationale doorgifte]. metadata: toelichting: "Een partij is verplicht een DTIA op te stellen als er een internationale\ \ doorgifte plaats vindt zonder adequaatheidsbesluit voor het derde land. \n\ \nDe overige doorgiftemechanismen, zoals standaard contractsbepalingen (SCC),\ \ Binding Corporate Rules (BCR) of uitzondering artikel 49 AVG, zijn namelijk\ \ niet voldoende om het opstellen van een DTIA overbodig te maken." kennisbronnen: - Vragenlijst, paragraaf C, Pre-scan DPIA redactionele_opmerking: Dit begrip volgt uit de Pre-scan DPIA en is aangescherpt in overleg met het PAR team. - id: risico_op_basis_van_doorgifte term: Risico op basis van doorgifte category: DPIA - 08. Verwerkingslocaties definition: Een risico op basis van doorgifte is een [risico voor betrokkenen] dat ontstaat door een [internationale doorgifte]. metadata: kennisbronnen: - Analyse team redactionele_opmerking: Deze term is opgenomen op verzoek van het PAR-team en sluit aan op het begrip 'risico op basis van doorgifte maatregel'. - id: dpia_onderwerp_belangen term: 'DPIA onderwerp: belangen' category: DPIA - 07. Belangen definition: Belangen is een [DPIA onderwerp] dat de [belangen] beschrijft van elke [betrokken partij bij gegevensverwerking] waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.7, Model DPIA Rijksdienst - id: maatregel term: Maatregel category: DPIA - 17. Maatregelen definition: Een maatregel is een bestaande of voorgenomen, passende maatregel om een beschreven [risico voor betrokkenen] van de [gegevensverwerkingen] aan te pakken. metadata: toelichting: In het begrip ‘passend’ ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek. Het begrip ‘passend’ duidt mede op een proportionaliteit tussen de maatregelen en de risico’s. Naarmate deze risico’s groter zijn, worden zwaardere eisen gesteld aan de beveiliging van de persoonsgegevens. Er is geen verplichting om altijd de zwaarste beveiliging te nemen. Enkel is vereist dat de maatregelen met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn. kennisbronnen: - paragraaf 3.17, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de informatie in het Model DPIA Rijksdienst. In overleg met het PAR-team is geconcludeerd dat zowel bestaande als voorgenomen maatregelen in-scope zijn van een DPIA. meervoudsvormen: - Maatregelen alternatieve_spellingen: - Risicobeheersingsmaatregel - id: functie/afdeling_met_toegang_tot_persoonsgegevens_bekend term: Functie/afdeling met toegang tot persoonsgegevens bekend category: DPIA - 06. Betrokken partijen definition: Functie/afdeling met toegang tot persoonsgegevens bekend is een [classificatie] die aangeeft of het bekend is welke [functies] en/of [afdelingen] van een [partij] toegang krijgen tot welke [persoonsgegevens] in de [gegevensverwerking persoonsgegevens]. metadata: toelichting: Indien bekend, benoem welke afdelingen, of functies én afdelingen, toegang krijgen tot welke persoonsgegevens. kennisbronnen: - paragraaf 3.6, pagina 33, Model DPIA Rijksdienst redactionele_opmerking: Het gebruik van deze term en de definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst. In overleg met het PAR-team is ervoor gekozen om 'functies' te vragen in plaats van 'functionarissen'. - id: wet-_en_regelgeving term: Wet- en regelgeving category: DPIA - 09. Juridisch en beleidsmatig kader definition: Wet- en regelgeving omvat zowel [wetgeving] als [regelgeving] metadata: toelichting: We verwijzen naar wet- en regelgeving op de officiële naam van de wet, met vermelding van het artikel-, lid- en eventuele sub-nummer. kennisbronnen: - Analyse team - id: natuurlijk_persoon term: Natuurlijk persoon category: DPIA - 02. Persoonsgegevens definition: Een natuurlijk persoon is een levend mens. metadata: toelichting: Informatie over overleden personen, rechtspersonen, dieren, zaken en objecten zijn in principe geen persoonsgegeven. kennisbronnen: - paragraaf 3.2, pagina 22, Model DPIA Rijksdienst meervoudsvormen: - Natuurlijke personen alternatieve_spellingen: - persoon - id: subsidiariteitsbeoordeling term: Subsidiariteitsbeoordeling category: DPIA - 14. Noodzaak en evenredigheid definition: Een subsidiariteitsbeoordeling is een beoordeling waarin wordt aangetoond dat de [gegevensverwerkingen] voldoen aan het beginsel van [subsidiariteit]. metadata: kennisbronnen: - paragraaf 3.14, pagina 48, Model DPIA Rijksdienst redactionele_opmerking: Deze term en definitie zijn afgeleid uit de informatie in het Model DPIA Rijksdienst. Op verzoek van het PAR-team is gesteld dat de enige legitieme uitkomst van deze beoordeling is dat voldaan is aan het beginsel. - id: classificatie_type_persoonsgegevens_gewoon term: 'Classificatie type persoonsgegevens: Gewoon' category: DPIA - 02. Persoonsgegevens definition: Gewoon is een [classificatie type persoonsgegevens] dat aangeeft dat een [persoonsgegeven] een [gewoon persoonsgegeven] is. metadata: kennisbronnen: - paragraaf 3.2, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de informatie in het Model DPIA Rijksdienst. - id: basisregistratie_basisregistratie_adressen_en_gebouwen term: 'Basisregistratie: Basisregistratie Adressen en Gebouwen' category: Pre-scan DPIA - F. Basisregistraties definition: De Basisregistratie Adressen en Gebouwen (BAG) is een [basisregistratie] die gegevens bevat van alle adressen en gebouwen in Nederland. metadata: kennisbronnen: - Geobasisregistraties - id: basisregistratie_basisregistratie_waarde_onroerende_zaken term: 'Basisregistratie: Basisregistratie Waarde Onroerende Zaken' category: Pre-scan DPIA - F. Basisregistraties definition: De Basisregistratie Waarde Onroerende Zaken (WOZ) is een [basisregistratie] die, naast het authentieke gegeven “vastgestelde waarde” (WOZ-waarde), ook uit de gegevens bestaat die nodig zijn om deze waarde aan zowel een onroerende zaak te relateren als aan een belanghebbende. metadata: kennisbronnen: - BasisregistratieDigitaleOverheid - id: classificatie_type_persoonsgegevens_gevoelig term: 'Classificatie type persoonsgegevens: Gevoelig' category: DPIA - 02. Persoonsgegevens definition: Gevoelig is een [classificatie type persoonsgegevens] dat aangeeft dat een [persoonsgegeven] een [gevoelig persoonsgegeven] is. metadata: kennisbronnen: - paragraaf 3.2, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de informatie in het Model DPIA Rijksdienst. - id: mogelijk_sprake_van_discriminatie term: Mogelijk sprake van discriminatie category: DPIA - 16. Risico's voor betrokkenen definition: Mogelijk sprake van discriminatie bij DPIA is een [classificatie] die aangeeft of er mogelijk sprake is van [discriminatie] als gevolg van de [gegevensverwerkingen] waar een [DPIA] op toeziet. metadata: kennisbronnen: - paragraaf 3.16, pagina 54, Model DPIA Rijksdienst redactionele_opmerking: De term en definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst. - id: organisatorische_activiteit_met_specificatie_categorie_betrokkenen term: Organisatorische activiteit met specificatie categorie betrokkenen category: Pre-scan DPIA - B. Gegevensverwerkingen definition: 'Een [organisatorische activiteit met specificatie categorie betrokkenen] is een [organisatorische activiteit persoonsgegevens] die een [categorie betrokkenen in organisatorische activiteit] kent met waarde [Categorie betrokkenen: Specificatie categorie betrokkenen]. In dat geval wordt er bij die organisatorische activiteit een [specificatie categorie betrokkenen] vastgelegd.' metadata: kennisbronnen: - Vragenlijst, paragraaf A, vraag 10, Pre-scan DPIA redactionele_opmerking: Toegevoegd om te verduidelijken wat er in het informatiemodel met dit begrip wordt bedoeld. - id: bron_persoonsgegevens_via_betrokken_partij term: 'Bron persoonsgegevens: via betrokken partij' category: DPIA - 02. Persoonsgegevens definition: Via betrokken partij is een aanduiding van [bron persoonsgegevens] die aangeeft dat een [persoonsgegeven] niet direct van de [betrokkene] komt, maar via een [betrokken partij]. metadata: kennisbronnen: - paragraaf 3.2, pagina 26, Model DPIA Rijksdienst redactionele_opmerking: Deze term en definitie zijn gebaseerd op de beschrijving in het Model DPIA Rijksdienst. - id: lijst_ap_internet_of_things term: 'Lijst AP: Internet of things' category: Pre-scan DPIA - D. Lijst AP definition: Internet of things is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. grootschalige [gegevensverwerkingen] en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen. metadata: toelichting: ‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etcetera. kennisbronnen: - pagina 3, Lijst AP redactionele_opmerking: verwerkingen' is vervangen door 'gegevensverwerkingen', om naar het juiste begrip te kunnen verwijzen. - id: pre-scan_dpia term: Pre-scan DPIA category: Pre-scan DPIA - A. Inleiding/algemeen definition: De Pre-scan DPIA is een instrument aan de hand waarvan voor een [organisatorische activiteit] van [persoonsgegevens] bepaald kan worden of het verplicht is een [DPIA], [DTIA], [IAMA] of [KIA] uit te voeren en op welke aspecten van de [gegevensverwerking persoonsgegevens] mogelijke risico's zijn voorzien. metadata: kennisbronnen: - paragraaf 1, pagina 3, Handreiking Pre-scan DPIA redactionele_opmerking: Deze definitie is grotendeels overgenomen uit de Pre-scan DPIA, maar 'organisatorische activiteit van persoonsgegevens' is toegevoegd om de context duidelijk te maken. - id: persoonsgegeven term: Persoonsgegeven category: DPIA - 02. Persoonsgegevens definition: Een persoonsgegeven is informatie over een [geïdentificeerde natuurlijk persoon] of [identificeerbare natuurlijk persoon] metadata: toelichting: De natuurlijk persoon in kwestie is de Betrokkene. Als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijk persoon. voorbeelden: - Voornaam, achternaam, voorvoegsel, initialen, huisadres, telefoonnummer, e-mailadres, leeftijd, geboortedatum en -plaats, geslacht, nationaliteit, IQ, IP-adres, MAC-adres, metadata, locatie-informatie, geografische informatie, loggegevens, bankrekeningnummer en -saldo, inkomens- en vermogensgegevens, loonschaal, kredietwaardigheid, winst eenmanszaak, KvK-nummer, zakelijk e-mailadres, verslag van een functioneringsgesprek, documentatie over negatief gedrag op de werkvloer, klant- of personeelsnummer, gestelde vraag, opname gesprek, voertuigidentificatienummer, persoonlijke voorkeuren. kennisbronnen: - artikel 4, lid 1, AVG redactionele_opmerking: De definitie komt voort uit de AVG, maar is herschreven om naar de juiste begrippen te kunnen verwijzen. De term in enkelvoudsvorm opgenomen. meervoudsvormen: - Persoonsgegevens alternatieve_spellingen: - Persoonsgegevenstype - id: dpia_onderwerp_bijzondere_persoonsgegevens,_strafrechtelijke_persoonsgegevens_en_nationale_identificatienummers term: 'DPIA onderwerp: bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers' category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers is een [DPIA onderwerp] dat de [bijzondere persoonsgegevens], [strafrechtelijke persoonsgegevens] en [nationale identificatienummers] beschrijft waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.12, Model DPIA Rijksdienst - id: doorgiftemechanisme_adequaatheidsbesluit term: 'Doorgiftemechanisme: adequaatheidsbesluit' category: Pre-scan DPIA - C. Internationale doorgiften definition: Een adequaatheidsbesluit is een [doorgiftemechanisme] in de vorm van een besluit door de Europese Commissie dat het [derde land], een gebied of één of meerdere nader bepaalde sectoren in dat [derde land], of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt. metadata: toelichting: Bij een adequaatheidsbesluit is er geen DTIA-verplichting. kennisbronnen: - artikel 45, lid 1, AVG - id: ai-systeem term: AI-systeem category: DPIA - 04. Technieken en methoden definition: Een AI-systeem is een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren. metadata: toelichting: 'Output zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen. AI is software die is ontwikkeld aan de hand van een of meer technieken en benaderingen, die voor een bepaalde reeks door mensen gedefinieerde doelstellingen een resultaat kan genereren, zoals inhoud, voorspellingen, aanbevelingen of beslissingen. Deze kunnen van invloed zijn op de omgeving waarmee interactie plaatsvindt tussen de software en de betrokkenen.' kennisbronnen: - artikel 3, lid 1, AI Act;paragraaf 3.4, pagina 29, Model DPIA Rijksdienst redactionele_opmerking: De definitie is afkomstig uit de AI Act. De toelichting komt voor een groot gedeelte uit het Model DPIA Rijksdienst. alternatieve_spellingen: - Kunstmatige Intelligentiesysteem - id: ai-systeem_sprake_van_een_algoritme_dat_kwalificeert_als_een_ai-systeem term: 'AI-systeem: sprake van een algoritme dat kwalificeert als een AI-systeem' category: DPIA - 04. Technieken en methoden definition: Als een AI-systeem is een aanduiding van een [classificatie] van [AI-systeem] die aangeeft dat er sprake is van een [algoritme] dat kwalificeert als een [AI-systeem]. metadata: kennisbronnen: - Vragenlijst, paragraaf G, Pre-scan DPIA;paragraaf 3.4, pagina 29, Model DPIA Rijksdienst redactionele_opmerking: Dit begrip volgt uit het gebruik in de Pre-scan DPIA en het Model DPIA Rijksdienst. In overleg met het PAR is deze vraag expliciet toegevoegd aan de DPIA. - id: functie/afdeling_met_toegang_tot_persoonsgegevens_bekend_bekend term: 'Functie/afdeling met toegang tot persoonsgegevens bekend: bekend' category: DPIA - 06. Betrokken partijen definition: Bekend is een aanduiding van [Functie/afdeling met toegang tot persoonsgegevens bekend] die aangeeft dat het bekend is welke [functies] en/of [afdelingen] van een [partij] toegang krijgen tot welke [persoonsgegevens] in de [gegevensverwerking persoonsgegevens]. metadata: kennisbronnen: - paragraaf 3.6, pagina 33, Model DPIA Rijksdienst redactionele_opmerking: Het gebruik van deze term en de definitie zijn afgeleid van de informatie in het Model DPIA Rijksdienst. In overleg met het PAR-team is ervoor gekozen om 'functies' te vragen in plaats van 'functionarissen'. - id: geautomatiseerde_besluitvorming_toelichting term: Geautomatiseerde besluitvorming toelichting category: DPIA - 04. Technieken en methoden definition: In de geautomatiseerde besluitvorming toelichting van een DPIA met [geautomatiseerde besluitvorming] wordt toegelicht op welke wijze deze wordt ingezet.7 metadata: kennisbronnen: - paragraaf 3.4, pagina 28, Model DPIA Rijksdienst - id: toezichthouder_bewaartermijn term: Toezichthouder bewaartermijn category: DPIA - 10. Bewaartermijnen definition: Toezichthouder bewaartermijn is een [afdeling] binnen een [partij] die toeziet op de [bewaartermijn] en de mogelijke vernietiging of [archivering] aan het einde van de [bewaartermijn]. metadata: kennisbronnen: - paragraaf 3.10, pagina 41, Model DPIA Rijksdienst - id: ontvanger term: Ontvanger category: DPIA - 06. Betrokken partijen definition: Een ontvanger is een [partij] met wie de [persoonsgegevens] worden gedeeld. metadata: toelichting: Het gaat hier om de overdracht van gegevens tussen de partijen die betrokken zijn bij de gegevensverwerking, en niet om de formele overdracht naar een andere verwerkingsverantwoordelijke (de verstrekking). kennisbronnen: - artikel 4, lid 9, AVG redactionele_opmerking: "De definitie is overgenomen uit de AVG, maar 'partij'\ \ is toegevoegd om naar het bovenliggend begrip te kunnen verwijzen. We gebruiken\ \ hier niet de term \"verstrekt\" omdat dit een meer formele betekenis heeft.\ \ \n" - id: belangenafweging term: Belangenafweging category: DPIA - 07. Belangen definition: Een belangenafweging is het op waarde schatten van twee vaak tegenstrijdige [belangen] en bepalen welk [belang] het zwaarst weegt. metadata: kennisbronnen: - Juridisch woordenboek redactionele_opmerking: Deze definitie is overgenomen uit het Juridisch woordenboek, maar is aangepast om deze onafhankelijk te maken van 'zaak', welke voor de DPIA geen relevant begrip is. - id: dpia_met_resterende_risico's term: DPIA met resterende risico's category: DPIA - 17. Maatregelen definition: 'Een DPIA met resterende risico''s is een DPIA waar een [inherent risico voor betrokkenen] is geïdentificeerd. ' metadata: toelichting: Ieder inherent risico voor betrokkenen heeft namelijk een resterend risico. kennisbronnen: - Analyse team - id: verwerkingsverantwoordelijke_dia_dpia_opstelt term: Verwerkingsverantwoordelijke dia DPIA opstelt category: DPIA - 00. Algemeen definition: Een verwerkingsverantwoordelijke die een DPIA opstelt is een [verwerkingsverantwoordelijke bij DPIA], die de verantwoordelijkheid draagt om de DPIA op te stellen. metadata: toelichting: Bij gezamenlijke verwerkingsverantwoordelijkheid zullen afspraken moeten worden gemaakt over doel en middelen, maar ook over wie de DPIA zelf opstelt. In de DPIA moet dit worden vastgelegd. kennisbronnen: - pagina 2 en 23, Rapportagemodel DPIA Rijksdienst - id: dpia_onderwerp_technieken_en_methoden_van_gegevensverwerking term: 'DPIA onderwerp: technieken en methoden van gegevensverwerking' category: DPIA - 04. Technieken en methoden definition: Technieken en methoden van gegevensverwerkingen is een [DPIA onderwerp] dat de methoden en technieken beschrijft voor de [gegevensverwerkingen] waar de [DPIA] betrekking op heeft. metadata: toelichting: 'Het gaat hier om de technische middelen en methoden waarmee de persoonsgegevens worden verwerkt. ' voorbeelden: - geautomatiseerde besluitvorming, profilering, een cloudoplossing, of big data-verwerking. kennisbronnen: - paragraaf 3.4, Model DPIA Rijksdienst - id: dpia_onderwerp_rechtsgronden term: 'DPIA onderwerp: rechtsgronden' category: DPIA - 11. Rechtsgronden definition: Rechtsgronden is een [DPIA onderwerp] dat de [rechtsgronden] beschrijft van de [gegevensverwerkingen] waar de [DPIA] betrekking op heeft. metadata: kennisbronnen: - paragraaf 3.11, Model DPIA Rijksdienst - id: ai-systeem_geen_sprake_van_een_algoritme_dat_kwalificeert_als_een_ai-systeem term: 'AI-systeem: geen sprake van een algoritme dat kwalificeert als een AI-systeem' category: DPIA - 04. Technieken en methoden definition: Als een AI-systeem is een aanduiding van een [classificatie] van [AI-systeem] die aangeeft dat er geen sprake is van een [algoritme] dat kwalificeert als een [AI-systeem]. metadata: kennisbronnen: - Vragenlijst, paragraaf G, Pre-scan DPIA;paragraaf 3.4, pagina 29, Model DPIA Rijksdienst redactionele_opmerking: Dit begrip volgt uit het gebruik in de Pre-scan DPIA en het Model DPIA Rijksdienst. In overleg met het PAR is deze vraag expliciet toegevoegd aan de DPIA. - id: bewaartermijn_minder_dan_1_maand term: 'Bewaartermijn: Minder dan 1 maand' category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Minder dan 1 maand is een aanduiding van een [bewaartermijn] die aangeeft dat de [persoonsgegevens] voor minder dan een maand moeten worden bewaard. metadata: kennisbronnen: - Vragenlijst, vraag 11d, Pre-scan DPIA - id: classificatie_persoonsgegevens_bevat_persoonsgegevens term: 'Classificatie persoonsgegevens: bevat persoonsgegevens' category: DPIA - 02. Persoonsgegevens definition: Bevat persoonsgegevens is een [classificatie] die aangeeft dat specifieke informatie [persoonsgegevens] bevat. metadata: kennisbronnen: - Analyse team - id: informatieobject term: Informatieobject category: DPIA - 00. Algemeen definition: Een informatieobject is een op zichzelf staand geheel van gegevens met een eigen identiteit. metadata: toelichting: Een informatieobject is een verzameling aan elkaar gerelateerde gegevens die als eenheid wordt behandeld. Bijvoorbeeld zoekresultaten verwijzen naar informatieobjecten, informatieobjecten kunnen opgevraagd worden, informatieobjecten hebben metagegevens, etcetera. Een "eigen identiteit" betekent dat een informatieobject een naam of identificatiekenmerk heeft waardoor het te onderscheiden is van andere informatieobjecten. Hiermee kan een gebruiker eenduidig verwijzen naar het informatieobject. kennisbronnen: - Informatieobject, NA meervoudsvormen: - Informatieobjecten - id: betrokken_partij_bij_gegevensverwerking_is_gezamenlijke_verwerkingsverantwoordelijke term: Betrokken partij bij gegevensverwerking is gezamenlijke verwerkingsverantwoordelijke category: DPIA - 06. Betrokken partijen definition: Een betrokken partij bij een gegevensverwerking is gezamenlijke verwerkingsverantwoordelijke als de [partij] betrokken is bij een [gegevensverwerking persoonsgegevens] en daar al de rol van [verwerkingsverantwoordelijke] heeft en vervolgens de rol van [gezamenlijke verwerkingsverantwoordelijke] krijgt. metadata: toelichting: Een verwerkingsverantwoordelijke wordt een gezamenlijke verwerkingsverantwoordelijke indien deze samen met één of meer andere verwerkingsverantwoordelijken het doel en de middelen van de gegevensverwerking bepaalt. kennisbronnen: - Analyse team - id: verwerkingslocatie_buiten_de_eer term: Verwerkingslocatie buiten de EER category: DPIA - 08. Verwerkingslocaties definition: Een verwerkingslocatie buiten de EER is een [verwerkingslocatie] in een [derde land] metadata: kennisbronnen: - Analyse team; paragraaf 3.8, pagina 39, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid van de informatie in het Model DPIA Rijksdienst. - id: organisatorische_activiteit_met_algoritme term: Organisatorische activiteit met algoritme category: Pre-scan DPIA - G. Algoritmes/AI definition: 'Een organisatorische activiteit met algoritme ontstaat als er bij een [organisatorische activiteit persoonsgegevens] sprake is van [algoritme: sprake van een algoritme].' metadata: kennisbronnen: - Vragenlijst, paragraaf G, Pre-scan DPIA - id: vitaal_belang term: Vitaal belang category: DPIA - 11. Rechtsgronden definition: Een vitaal belang is een [belang] dat essentieel is voor iemands leven of gezondheid, en die persoon niet om toestemming kan worden gevraagd om [persoonsgegevens] te verwerken. metadata: kennisbronnen: - Grondslagen AVG uitgelegd, AP meervoudsvormen: - Vitale belangen - id: organisatorische_activiteit_met_kia-verplichting term: Organisatorische activiteit met KIA-verplichting category: Pre-scan DPIA - J. Kinderrechten definition: Een organisatorische activiteit met KIA-verplichting is een [organisatorische activiteit persoonsgegevens] waarbij sprake is van een [KIA-verplichting] metadata: kennisbronnen: - Vragenlijst, paragraaf J, Pre-scan DPIA - id: specificatie_categorie_betrokkenen term: Specificatie categorie betrokkenen category: Pre-scan DPIA - B. Gegevensverwerkingen definition: Een [specificatie categorie betrokkenen] is een beschrijving van een [categorie betrokkenen]. metadata: kennisbronnen: - Vragenlijst, paragraaf A, vraag 10, Pre-scan DPIA redactionele_opmerking: Toegevoegd om te verduidelijken wat er in het informatiemodel met dit begrip wordt bedoeld. - id: uitzonderingsgrond term: Uitzonderingsgrond category: DPIA - 12. Bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en nationale identificatienummers definition: Een uitzonderingsgrond is een wettelijke uitzondering op het verwerkingsverbod van [strafrechtelijke persoonsgegevens] of [nationale identificatienummers]. metadata: toelichting: Het verwerken van strafrechtelijke persoonsgegevens of nationale identificatienummers is in principe verboden. Verwerking is pas mogelijk wanneer een uitzonderingsgrond van toepassing is. voorbeelden: - 'Overheidsorganen kunnen bij de uitvoering van hun publieke taak gebruik maken van het burgerservicenummer, zonder dat daarvoor nadere regelgeving vereist is (Artikel 10 Wet algemene bepalingen burgerservicenummer).' kennisbronnen: - deel II, punt 12, Model DPIA Rijksdienst - id: beleidsmatig_kader term: Beleidsmatig kader category: DPIA - 09. Juridisch en beleidsmatig kader definition: Het beleidsmatig kader is al het [beleid] met mogelijke gevolgen voor de [gegevensverwerking persoonsgegevens]. metadata: kennisbronnen: - paragraaf 2.A.9, pagina 17, Model DPIA Rijksdienst redactionele_opmerking: Deze definitie is afgeleid uit de beschrijving in het Model DPIA Rijksdienst. - id: lijst_ap_creditscores term: 'Lijst AP: Creditscores' category: Pre-scan DPIA - D. Lijst AP definition: Creditscores is een [gegevensverwerking persoonsgegevens] uit de [Lijst AP] m.b.t. een grootschalige [gegevensverwerking persoonsgegevens] en/of stelselmatige monitoring die leidt tot of gebruik maakt van inschattingen van de kredietwaardigheid van [natuurlijke personen]. metadata: toelichting: Inschattingen bijvoorbeeld tot uitdrukking gebracht in een creditscore. kennisbronnen: - pagina 2, Lijst AP - id: gewoon_persoonsgegeven term: Gewoon persoonsgegeven category: DPIA - 02. Persoonsgegevens definition: Een gewoon persoonsgegeven is een [persoonsgegeven] dat niet expliciet in de AVG is benoemd als aparte categorie en geen grote impact heeft op iemands privacy. metadata: kennisbronnen: - Wat zijn persoonsgegevens?, AP;paragraaf 3.2, pagina 23, Model DPIA Rijksdienst redactionele_opmerking: De definitie is opgesteld op basis van de definitie van 'Gevoelig persoonsgegeven'. meervoudsvormen: - Gewone persoonsgegevens - id: oorsprong_risico_voor_betrokkenen term: Oorsprong risico voor betrokkenen category: DPIA - 16. Risico's voor betrokkenen definition: Een oorsprong risico voor betrokkenen is de oorzaak van een [risico voor betrokkenen]. metadata: kennisbronnen: - paragraaf 3.16, pagina 52, Model DPIA Rijksdienst redactionele_opmerking: De definitie is afgeleid van het gebruik van de term in het Model DPIA Rijksdienst. - id: derde_land term: Derde land category: DPIA - 08. Verwerkingslocaties definition: Een derde land is een land buiten de [EER]. metadata: kennisbronnen: - EU Monitor redactionele_opmerking: In de EU-monitor wordt de term gebruikt om te verwijzen naar landen buiten de Europese Unie. In context van de DPIA bedoelen we landen buiten de EER. - id: documentbeheerder term: Documentbeheerder category: DPIA - 00. Algemeen definition: Een documentbeheerder is een persoon in een [functie] die namens een [verwerkingsverantwoordelijke] die een [DPIA] opstelt verantwoordelijk is voor de opslag van dat [DPIA] [document]. metadata: kennisbronnen: - Analyse team redactionele_opmerking: Term geïntroduceerd in overleg met PAR-team. - id: basisregistratie_basisregistratie_kadaster term: 'Basisregistratie: Basisregistratie Kadaster' category: Pre-scan DPIA - F. Basisregistraties definition: De Basisregistratie Kadaster (BRK) is een [basisregistratie] die informatie bevat over percelen, eigendom, hypotheken, beperkte rechten, leidingnetwerken en kadastrale kaarten met perceel, perceelnummer, oppervlakte, kadastrale grens en de grenzen van het rijk, de provincies en gemeenten. metadata: kennisbronnen: - BasisregistratieDigitaleOverheid alternative_terms: - id: gerechtvaardigde_belangen_van_de_verwerkingsverantwoordelijke_of_van_een_derde term: Gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde voorkeur_id: rechtsgrond_gerechtvaardigd_belang - id: noodzakelijk_voor_de_behartiging_van_een_gerechtvaardigd_belang term: Noodzakelijk voor de behartiging van een gerechtvaardigd belang voorkeur_id: rechtsgrond_gerechtvaardigd_belang - id: noodzakelijk_voor_de_vervulling_van_een_taak_van_algemeen_belang term: Noodzakelijk voor de vervulling van een taak van algemeen belang voorkeur_id: rechtsgrond_taak_van_algemeen_belang - id: beschrijving_van_het_risico term: Beschrijving van het risico voorkeur_id: risicobeschrijving - id: hoog_risiconiveau term: Hoog risiconiveau voorkeur_id: hoog_risico - id: verwerkingsdoeleinden term: Verwerkingsdoeleinden voorkeur_id: verwerkingsdoeleinde - id: doeleinde term: Doeleinde voorkeur_id: verwerkingsdoeleinde - id: doel term: doel voorkeur_id: verwerkingsdoeleinde - id: doel_van_de_verwerking term: doel van de verwerking voorkeur_id: verwerkingsdoeleinde - id: type_bijzonder_persoonsgegeven;_bijzondere_categorie_van_persoonsgegevens_;_categorie_bijzonder_persoonsgegeven;_categorie_bijzondere_persoonsgegevens term: Type bijzonder persoonsgegeven; Bijzondere categorie van persoonsgegevens ; categorie bijzonder persoonsgegeven; categorie bijzondere persoonsgegevens voorkeur_id: categorie_bijzondere_persoonsgegevens - id: modelcontractbepaling_standaard_contractsbepaling term: 'Modelcontractbepaling Standaard contractsbepaling' voorkeur_id: doorgiftemechanisme_standaard_contractsbepaling - id: rechtsgronden term: Rechtsgronden voorkeur_id: rechtsgrond - id: rechtsgrondslag term: Rechtsgrondslag voorkeur_id: rechtsgrond - id: juridische_rechtsgrond term: juridische rechtsgrond voorkeur_id: rechtsgrond - id: juridische_grondslag term: juridische grondslag voorkeur_id: rechtsgrond - id: grondslag term: grondslag voorkeur_id: rechtsgrond - id: nationale_identificatienummers term: Nationale identificatienummers voorkeur_id: nationaal_identificatienummer - id: wettelijk_identificatienummer term: Wettelijk identificatienummer voorkeur_id: nationaal_identificatienummer - id: algemeen_belang term: Algemeen belang voorkeur_id: publiek_belang - id: groep_betrokkenen term: Groep betrokkenen voorkeur_id: categorie_betrokkenen - id: consultaties_van_betrokkenen term: Consultaties van betrokkenen voorkeur_id: consultatie_van_betrokkenen - id: noodzakelijk_om_de_vitale_belangen_van_de_betrokkene_of_een_ander_te_beschermen term: Noodzakelijk om de vitale belangen van de betrokkene of een ander te beschermen voorkeur_id: rechtsgrond_vitaal_belang - id: evenredigheid term: Evenredigheid voorkeur_id: proportionaliteit - id: privacy_impact_assessment_(pia) term: Privacy Impact Assessment (PIA) voorkeur_id: dpia - id: gegevensbeschermingseffectbeoordeling_(geb) term: gegevensbeschermingseffectbeoordeling (GEB) voorkeur_id: dpia - id: partijen term: Partijen voorkeur_id: partij - id: derden term: Derden voorkeur_id: derde - id: functies term: Functies voorkeur_id: functie - id: onderaannemer term: Onderaannemer voorkeur_id: sub-verwerker - id: belang term: belang voorkeur_id: belang_van_betrokken_partij - id: rechten_van_de_betrokkenen term: Rechten van de betrokkenen voorkeur_id: recht_van_de_betrokkene - id: recht_van_betrokkene term: Recht van betrokkene voorkeur_id: recht_van_de_betrokkene - id: privacyrecht term: privacyrecht voorkeur_id: recht_van_de_betrokkene - id: wettelijke_plicht term: Wettelijke plicht voorkeur_id: rechtsgrond_wettelijke_verplichting - id: noodzakelijk_om_te_voldoen_aan_een_wettelijke_verplichting term: Noodzakelijk om te voldoen aan een wettelijke verplichting voorkeur_id: rechtsgrond_wettelijke_verplichting - id: uitsluitend_geautomatiseerde_besluitvorming term: Uitsluitend geautomatiseerde besluitvorming voorkeur_id: geautomatiseerde_besluitvorming - id: recht_op_vergetelheid term: Recht op vergetelheid voorkeur_id: recht_op_gegevenswissing - id: betrokken_partijen_bij_gegevensverwerking term: Betrokken partijen bij gegevensverwerking voorkeur_id: betrokken_partij_bij_gegevensverwerking - id: betrokken_partij term: Betrokken partij voorkeur_id: betrokken_partij_bij_gegevensverwerking - id: gegevensverwerkingen term: Gegevensverwerkingen voorkeur_id: gegevensverwerking_persoonsgegevens - id: verwerking term: Verwerking voorkeur_id: gegevensverwerking_persoonsgegevens - id: gegevensverwerking term: Gegevensverwerking voorkeur_id: gegevensverwerking_persoonsgegevens - id: laag_risiconiveau term: Laag risiconiveau voorkeur_id: laag_risico - id: gegevenstypen term: Gegevenstypen voorkeur_id: gegevenstype - id: taken_van_algemeen_belang term: Taken van algemeen belang voorkeur_id: taak_van_algemeen_belang - id: publiekrechtelijke_taak term: Publiekrechtelijke taak voorkeur_id: taak_van_algemeen_belang - id: publieke_taak term: publieke taak voorkeur_id: taak_van_algemeen_belang - id: functionaris_voor_de_gegevensbescherming term: Functionaris voor de Gegevensbescherming voorkeur_id: functionaris_voor_gegevensbescherming - id: functionaris_gegevensbescherming term: Functionaris Gegevensbescherming voorkeur_id: functionaris_voor_gegevensbescherming - id: procedure_ter_uitvoering term: Procedure ter uitvoering voorkeur_id: procedure_ter_invulling_van_het_recht_van_de_betrokkene - id: recht_om_bezwaar_te_maken term: Recht om bezwaar te maken voorkeur_id: recht_van_bezwaar - id: bron term: Bron voorkeur_id: bron_persoonsgegevens - id: risico's_voor_betrokkenen term: Risico's voor betrokkenen voorkeur_id: risico_voor_betrokkenen - id: gemiddeld_risiconiveau term: Gemiddeld risiconiveau voorkeur_id: gemiddeld_risico - id: bijzondere_persoonsgegevens term: Bijzondere persoonsgegevens voorkeur_id: bijzonder_persoonsgegeven - id: strafrechtelijke_persoonsgegevens term: Strafrechtelijke persoonsgegevens voorkeur_id: strafrechtelijk_persoonsgegeven - id: afdelingen term: Afdelingen voorkeur_id: afdeling - id: verwerkingsverantwoordelijken term: Verwerkingsverantwoordelijken voorkeur_id: verwerkingsverantwoordelijke - id: kans term: kans voorkeur_id: kans_op_optreden_risico_voor_betrokkenen - id: bewaartermijnen term: Bewaartermijnen voorkeur_id: bewaartermijn - id: recht_op_duidelijke_informatie term: Recht op duidelijke informatie voorkeur_id: recht_op_informatie - id: toelaatbaarheid_hergebruik term: toelaatbaarheid hergebruik voorkeur_id: toelaatbaar - id: status term: Status voorkeur_id: dpia_status - id: recht_op_dataportabiliteit term: Recht op dataportabiliteit voorkeur_id: recht_op_overdraagbaarheid_van_gegevens - id: rol term: Rol voorkeur_id: avg-rol - id: betrokkenen term: Betrokkenen voorkeur_id: betrokkene - id: oorspronkelijke_verwerkingsdoeleinden term: Oorspronkelijke verwerkingsdoeleinden voorkeur_id: oorspronkelijk_verwerkingsdoeleinde - id: oorspronkelijk_doeleinde term: Oorspronkelijk doeleinde voorkeur_id: oorspronkelijk_verwerkingsdoeleinde - id: oorspronkelijke_doel term: oorspronkelijke doel voorkeur_id: oorspronkelijk_verwerkingsdoeleinde - id: oorspronkelijk_verwerkingsdoeleinde_persoonsgegeven term: oorspronkelijk verwerkingsdoeleinde persoonsgegeven voorkeur_id: oorspronkelijk_verwerkingsdoeleinde - id: algoritmes term: Algoritmes voorkeur_id: algoritme - id: gevoelige_persoonsgegevens term: Gevoelige persoonsgegevens voorkeur_id: gevoelig_persoonsgegeven - id: mechanisme_voor_doorgifte term: Mechanisme voor doorgifte voorkeur_id: doorgiftemechanisme - id: passende_waarborg term: passende waarborg voorkeur_id: doorgiftemechanisme - id: risicobeheersingsmaatregel term: Risicobeheersingsmaatregel voorkeur_id: maatregel_doorgifte - id: kwetsbare_groepen term: Kwetsbare groepen voorkeur_id: kwetsbare_groep - id: verwerkingslocaties term: Verwerkingslocaties voorkeur_id: verwerkingslocatie - id: documenten term: Documenten voorkeur_id: document - id: resterende_risico's_voor_betrokkenen term: Resterende risico's voor betrokkenen voorkeur_id: resterend_risico_voor_betrokkenen - id: restrisico term: Restrisico voorkeur_id: resterend_risico_voor_betrokkenen - id: resterend_risico term: resterend risico voorkeur_id: resterend_risico_voor_betrokkenen - id: noodzakelijk_voor_overeenkomst term: Noodzakelijk voor overeenkomst voorkeur_id: rechtsgrond_noodzakelijk_voor_de_uitvoering_van_een_overeenkomst - id: recht_niet_onderworpen_te_worden_aan_geautomatiseerde_besluitvorming term: Recht niet onderworpen te worden aan geautomatiseerde besluitvorming voorkeur_id: recht_om_niet_onderworpen_te_worden_aan_een_uitsluitend_op_geautomatiseerde_verwerking_gebaseerd_besluit - id: maatregelen term: Maatregelen voorkeur_id: maatregel - id: risicobeheersingsmaatregel term: Risicobeheersingsmaatregel voorkeur_id: maatregel - id: natuurlijke_personen term: Natuurlijke personen voorkeur_id: natuurlijk_persoon - id: persoon term: persoon voorkeur_id: natuurlijk_persoon - id: persoonsgegevens term: Persoonsgegevens voorkeur_id: persoonsgegeven - id: persoonsgegevenstype term: Persoonsgegevenstype voorkeur_id: persoonsgegeven - id: kunstmatige_intelligentiesysteem term: Kunstmatige Intelligentiesysteem voorkeur_id: ai-systeem - id: informatieobjecten term: Informatieobjecten voorkeur_id: informatieobject - id: vitale_belangen term: Vitale belangen voorkeur_id: vitaal_belang - id: gewone_persoonsgegevens term: Gewone persoonsgegevens voorkeur_id: gewoon_persoonsgegeven