Skip to end of metadata
Go to start of metadata

1. Melding

Deze vraag betreft de melding van de verwerking van persoonsgegevens bij de Autoriteit Persoonsgegevens (AP). De vraag is of er binnen uw organisatie maatregelen en procedures getroffen zijn vanaf het voornemen om persoonsgegevens te gaan verwerken tot en met het melden van de verwerking en het verstrekken van inlichtingen. Kies uit de volgende opties:

A Er zijn geen procedures vastgelegd en de verplichte melding bij de AP of de functionaris van gegevensbescherming vond niet plaats.
B Er zijn geen procedures vastgelegd maar de verplichte melding bij de AP of de functionaris van gegevensbescherming vond wel plaats.
C Er zijn procedures vastgelegd en de verplichte melding bij de AP of de functionaris van gegevensbescherming vond plaats.
D Er zijn procedures vastgelegd en de verplichte melding bij de AP of de functionaris van gegevensbescherming vond plaats. Voorzien is het doorvoeren van wijzigingen in procedures en aanmeldingen. Aan de medewerkers worden instructies gegeven en dit wordt periodiek herhaald.
E Er zijn procedures vastgelegd en de verplichte melding bij de AP of de functionaris van gegevensbescherming vond plaats. Voorzien is het doorvoeren van wijzigingen in procedures en aanmeldingen. Aan de medewerkers worden instructies gegeven en dit wordt periodiek herhaald. Er wordt gecontroleerd of de individuele medewerkers de maatregelen en procedures naleven.

2. Transparantie

Deze vraag betreft de transparantie van de verwerking van persoonsgegevens voor de betrokkene. De vraag is of er binnen uw organisatie voor gezorgd wordt dat de verwerking van de persoonsgegevens voor de betrokkene transparant is en of aan de informatieverplichting wordt voldaan. Kies uit de volgende opties:

A Er zijn geen procedures vastgelegd en de verplichting tot informeren van de betrokkene is niet in de organisatie bekend.
B Er zijn geen procedures vastgelegd maar de verplichting tot informeren van de betrokkene is in de organisatie bekend.
C Er zijn geen procedures vastgelegd maar de betrokkenen worden wel geïnformeerd.
D Er zijn procedures vastgelegd en de verplichte melding bij de AP of de functionaris van gegevensbescherming vond plaats. Voorzien is het doorvoeren van wijzigingen in procedures en aanmeldingen. Aan de medewerkers worden instructies gegeven en dit wordt periodiek herhaald.
E Er zijn procedures vastgelegd en de verplichte melding bij de AP of de functionaris van gegevensbescherming vond plaats. Voorzien is het doorvoeren van wijzigingen in procedures en aanmeldingen. Aan de medewerkers worden instructies gegeven en dit wordt periodiek herhaald. Er wordt gecontroleerd of de individuele medewerkers de maatregelen en procedures naleven.

3. Doelbinding

Deze vraag betreft het doel van de verwerking van persoonsgegevens. De vraag is of binnen uw organisatie persoonsgegevens voor een specifiek doel worden verzameld en of (eventuele) verdere verwerking verenigbaar is met dit doel. Kies uit de volgende opties:

A Er zijn geen procedures voor het verzamelen en verder verwerken vastgelegd en de regels voor het verzamelen en verder verwerken zijn in de organisatie niet bekend.
B Er zijn geen procedures voor het verzamelen en verder verwerken vastgelegd en de regels voor het verzamelen en verder verwerken zijn in de organisatie wel bekend.
C Er zijn procedures voor het verzamelen en verder verwerken vastgelegd en de regels voor het verzamelen en verder verwerken zijn in de organisatie bekend.
D Er zijn procedures voor het verzamelen en verder verwerken vastgelegd en de regels voor het verzamelen en verder verwerken zijn in de organisatie bekend en worden nageleefd.
E Er zijn procedures voor het verzamelen en verder verwerken vastgelegd en de regels voor het verzamelen en verder verwerken zijn in de organisatie bekend en worden nageleefd. Deze naleving wordt gecontroleerd.

4. Grondslag

Deze vraag betreft de rechtmatige grondslag van de verwerking. De vraag is of binnen uw organisatie persoonsgegevens op grond van de in de Wet bescherming persoonsgegevens genoemde grondslagen worden verwerkt. Kies uit de volgende opties:

A Er zijn geen procedures voor het bepalen van de rechtmatige grondslag van verwerking vastgelegd en de regels zijn niet in de organisatie bekend.
B Er zijn geen procedures voor het bepalen van de rechtmatige grondslag van verwerking vastgelegd maar de regels zijn wel in de organisatie bekend.
C Er zijn procedures voor het bepalen van de rechtmatige grondslag van verwerking vastgelegd en de regels zijn in de organisatie bekend.
D Er zijn procedures voor het bepalen van de rechtmatige grondslag van verwerking vastgelegd en de regels zijn in de organisatie bekend en worden nageleefd.
E Er zijn procedures voor het bepalen van de rechtmatige grondslag van verwerking vastgelegd en de regels zijn in de organisatie bekend en worden nageleefd. Deze naleving wordt gecontroleerd.

5. Kwaliteit

Deze vraag betreft de kwaliteit van de gegevensverwerking. Voor een verwerking mogen er niet meer persoonsgegevens verzameld worden dan nodig is en moeten de persoonsgegevens juist en nauwkeurig zijn. De vraag is of binnen uw organisatie persoonsgegevens procedures bestaan waarin de kwaliteit van de verwerking van persoonsgegevens wordt gewaarborgd. Kies uit de volgende opties:

A Er zijn geen procedures vastgelegd en de regels voor de kwaliteit van persoonsgegevens zijn binnen de organisatie niet bekend.
B Er zijn geen procedures vastgelegd maar de regels voor de kwaliteit van persoonsgegevens zijn binnen de organisatie wel bekend.
C Er zijn procedures vastgelegd en de regels voor de kwaliteit van persoonsgegevens zijn binnen de organisatie bekend.
D Er zijn procedures vastgelegd en de regels voor de kwaliteit van persoonsgegevens zijn binnen de organisatie bekend en worden nageleefd.
E Er zijn procedures vastgelegd en de regels voor de kwaliteit van persoonsgegevens zijn binnen de organisatie bekend en worden nageleefd. Deze naleving wordt gecontroleerd.

6. Rechten betrokkenen

Deze vraag betreft de rechten van betrokkenen. Betrokkenen hebben het recht op inzage, verbetering, verwijdering of afscherming van hun persoonsgegevens. De vraag is of binnen uw organisatie de rechten van betrokkenen worden gegarandeerd. Kies uit de volgende opties:

A Er zijn geen procedures vastgelegd en de regels voor de rechten van betrokkenen zijn binnen de organisatie niet bekend.
B Er zijn geen procedures vastgelegd maar de regels voor de rechten van betrokkenen zijn binnen de organisatie wel bekend.
C Er zijn procedures vastgelegd en de regels voor de rechten van betrokkenen zijn binnen de organisatie bekend.
D Er zijn procedures vastgelegd en de regels voor de rechten van betrokkenen zijn binnen de organisatie bekend en worden nageleefd.
E Er zijn procedures vastgelegd en de regels voor de rechten van betrokkenen zijn binnen de organisatie bekend en worden nageleefd. Deze naleving wordt gecontroleerd.

7. Beveiliging / bewustzijn medewerkers

Deze vraag betreft het beveiligingsbewustzijn van medewerkers. De vraag is of binnen uw organisatie het beveiligingsbewustzijn van de medewerkers actief wordt bevorderd. Kies uit de volgende opties:

A Er wordt hiervoor geen inspanning geleverd. Er zijn geen procedures voor het vaststellen van de mate waarin de Wet bescherming persoonsgegevens begrepen is en of er behoefte is aan opleiding en training op dit terrein.
B Medewerkers worden geïnformeerd over informatiebeveiliging. Dit onderwerp komt reeds tijdens de sollicitatieprocedure ter sprake. Er zijn aanzetten voor de vaststelling van de mate waarin de Wbp begrepen is en of er behoefte is aan opleiding en training op dit terrein.
C Medewerkers worden geïnformeerd over informatiebeveiliging en zij ontvangen instructies. Het komt er sprake tijdens de sollicitatieprocedure en er worden gerichte vragen gesteld aan sollicitanten. Er is een systeem voor de bepaling van de mate waarin de Wbp begrepen is en of behoefte is aan opleiding en training op dit terrein.
D Medewerkers worden geïnformeerd over informatiebeveiliging en zij ontvangen instructies. Er wordt regelmatig gecontroleerd of de medewerkers de maatregelen naleven. Beveiliging wordt ter sprake gebracht tijdens de sollicitatieprocedure en daarover worden gerichte vragen gesteld aan sollicitanten. De antwoorden van de sollicitanten worden nagetrokken. De naleving van het systeem van meting en opleiding wordt bewaakt.
E Medewerkers worden geïnformeerd over informatiebeveiliging en zij ontvangen instructies. Er wordt regelmatig gecontroleerd of de medewerkers de maatregelen naleven. Bij niet-naleving worden maatregelen getroffen tegen de betreffende medewerkers. Beveiliging wordt ter sprake gebracht tijdens de sollicitatieprocedure en daarover worden gerichte vragen gesteld aan sollicitanten. Beveiligingsbewustzijn is een selectiecriterium.

8. Beveiliging / IT voorzieningen

Deze vraag betreft het beheer van de IT-voorzieningen. De vraag is of binnen uw organisatie afspraken gemaakt zijn over het beheer van de informatietechnologie. Kies uit de volgende opties:

A Er zijn hier geen afspraken over gemaakt.
B Er zijn formele afspraken over het beheer van IT.
C Er zijn gestandaardiseerde en gedocumenteerde procedures voor het beheer van IT.
D Er zijn gestandaardiseerde en gedocumenteerde procedures voor het beheer van IT en deze worden regelmatig herzien.
E Er zijn gestandaardiseerde en gedocumenteerde procedures voor het beheer van IT en deze worden regelmatig herzien. Het beheer van IT wordt als een essentieel kwaliteitsmerk van de organisatie gezien.

9. Beveiliging / Toegangsbeveiliging

Deze vraag betreft de toegang tot persoonsgegevens. De vraag is of binnen uw organisatie maatregelen en procedures zijn getroffen om te voorkomen dat onbevoegden toegang krijgen tot locaties, informatiesystemen en gegevensbestanden. Kies uit de volgende opties:

A Er zijn geen procedures en er wordt volstaan met standaard beveiligingsmaatregelen.
B Er zijn procedures en maatregelen vastgelegd. De beveiliging van locaties, informatiesystemen en gegevensbestanden wordt daarin beschreven.
C Er zijn procedures en maatregelen vastgelegd en deze worden regelmatig herzien.
D Er zijn procedures en maatregelen vastgelegd en deze worden regelmatig herzien. Aan de medewerkers worden instructies gegeven en dit wordt periodiek herhaald.
E Er zijn procedures en maatregelen vastgelegd en deze worden regelmatig herzien. Aan de medewerkers worden instructies gegeven en dit wordt periodiek herhaald. Er wordt gecontroleerd of de individuele medewerkers de maatregelen en procedures naleven.

10. Beveiliging / Netwerken

Deze vraag betreft de beveiliging van het transport van persoonsgegevens via netwerken. De vraag is of binnen uw organisatie maatregelen en procedures zijn getroffen om te voorkomen dat onbevoegden toegang krijgen tot persoonsgegevens bij datacommunicatie. Kies uit de volgende opties:

A Er zijn hiervoor geen maatregelen en procedures.
B Er zijn procedures en maatregelen vastgelegd voor het verzenden en ontvangen van berichten.
C Er zijn procedures en maatregelen vastgelegd voor het verzenden en ontvangen van berichten. Deze worden regelmatig geactualiseerd.
D Er zijn procedures en maatregelen vastgelegd voor het verzenden en ontvangen van berichten. Deze worden regelmatig geactualiseerd en de naleving ervan wordt gecontroleerd.
E Er zijn procedures en maatregelen vastgelegd voor het verzenden en ontvangen van berichten. Deze worden regelmatig geactualiseerd en de naleving ervan wordt gecontroleerd. Er is een toereikend niveau van beveiliging van het gegevensverkeer.

11. Bewaring en vernietiging

Deze vraag betreft de beveiliging van de bewaring van persoonsgegevens en de wijze waarop zij vernietigd worden. De vraag is of binnen uw organisatie procedures zijn getroffen voor het bewaren en vernietigen van persoonsgegevens. Kies uit de volgende opties:

A Er zijn hiervoor geen procedures.
B Er zijn informele procedures voor het bewaren en vernietigen van gegevens.
C Er zijn formele procedures vastgelegd voor het bewaren en vernietigen van gegevens.
D Er zijn formele procedures vastgelegd voor het bewaren en vernietigen van gegevens en de werknemers worden regelmatig geïnstrueerd.
E Er zijn formele procedures vastgelegd voor het bewaren en vernietigen van gegevens en de werknemers worden regelmatig geïnstrueerd. De naleving ervan wordt regelmatig gecontroleerd.

12. Calamiteitenplan

Deze vraag betreft het calamiteitenplan. Calamiteiten kunnen namelijk ook ernstige gevolgen voor persoonsgegevens hebben. De vraag is of binnen uw organisatie voorzorgsmaatregelen zijn getroffen in het geval zich calamiteiten voordoen. Kies uit de volgende opties:

A Er zijn geen bijzondere voorzorgen genomen.
B Er is een calamiteitenplan opgesteld.
C Er is een calamiteitenplan opgesteld. Dit plan wordt regelmatig geactualiseerd.
D Er is een calamiteitenplan opgesteld. Dit plan wordt regelmatig geactualiseerd. De medewerkers worden regelmatig geïnstrueerd.
E Er is een calamiteitenplan opgesteld. Dit plan wordt regelmatig geactualiseerd. De medewerkers worden regelmatig geïnstrueerd. Er vinden regelmatig oefeningen plaats.

13. Bewerker

Deze vraag betreft het uitbesteden van de verwerking van persoonsgegevens aan derden (opdrachtnemers). Ook opdrachtnemers dienen aan de verplichtingen omtrent de beveiliging van persoonsgegevens te voldoen. De vraag is of uw organisatie (delen van de) gegevensverwerking heeft uitbesteed en of hiervoor een contract is opgesteld. Kies uit de volgende opties:

A Er is gegevensverwerking uitbesteed, maar er is geen contract opgesteld met de opdrachtnemer(s).
B Er is gegevensverwerking uitbesteed, en er is een contract opgesteld met de opdrachtnemer(s).
C Er is gegevensverwerking uitbesteed, en er is een contract opgesteld met de opdrachtnemer(s). Hierin is een clausule opgenomen over de verplichting tot informatiebeveiliging.
D Er is gegevensverwerking uitbesteed, en er is een contract opgesteld met de opdrachtnemer(s). Hierin is een clausule opgenomen over de verplichting tot informatiebeveiliging. Er is ook een geheimhoudingsverklaring.
E Er is gegevensverwerking uitbesteed, en er is een contract opgesteld met de opdrachtnemer(s). Hierin is een clausule opgenomen over de verplichting tot informatiebeveiliging. Er is ook een geheimhoudingsverklaring. Periodiek wordt dit in overleg met de opdrachtnemer getoetst en aangepast.

14. Niet EU-landen

Deze vraag betreft het (verder) laten verwerken van persoonsgegevens in een land buiten de EU. Dit is niet zonder meer toegestaan. De vraag is of uw organisatie zich realiseert dat het verwerken van persoonsgegevens in een land buiten de EU aan aanvullende en bijzondere regels is gebonden en zo ja, of persoonsgegevens conform die regels worden verwerkt. Kies uit de volgende opties:

A Er zijn geen procedures vastgelegd en de regels voor het verwerken van persoonsgegevens in landen buiten de EU zijn niet in de organisatie bekend.
B Er zijn geen procedures vastgelegd maar de regels voor het verwerken van persoonsgegevens in landen buiten de EU zijn wel in de organisatie bekend.
C Er zijn procedures vastgelegd en de regels voor het verwerken van persoonsgegevens in landen buiten de EU zijn in de organisatie bekend.
D Er zijn procedures vastgelegd en de regels voor het verwerken van persoonsgegevens in landen buiten de EU zijn in de organisatie bekend en worden nageleefd.
E Er zijn procedures vastgelegd en de regels voor het verwerken van persoonsgegevens in landen buiten de EU zijn in de organisatie bekend en worden nageleefd. De naleving wordt gecontroleerd.

  • No labels