richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Vault restructure

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-23 11:51:51 +02:00
parent d45797d121
commit ff77508bd1
1433 changed files with 415450 additions and 1201 deletions
Download patch file Download diff file Expand all files Collapse all files

28
Corpus/Standards/BC 5701/BC5701_H4_Context.md Normal file
View file

@ -0,0 +1,28 @@
---
Version: "2022"
---
# 4 Context van de verwerkingen
- Documentatie van de context (§4.1)
- hoofdvestiging
- interne organisatie
- externe organisatie / omgeving
- goedkeuring door de directie (§4.2.h)
- Inzicht in de eisen (§4.2)
- belanghebbenden en hun eisen (§4.2.d-e)
- relevante wet- en regelgeving irt deze (§4.2.b)
- van toepassing zijnde gedragscodes (§4.2.c)
- toepasselijkheid / uitsluiting van AVG artikelen (§4.2.a)
- interne bedrijfseisen (§4.2.f)
- betekenis geven (§4.2.g[^1]): waar en hoe zijn eisen van toepassing, vertaling naar bedrijfsregels [^2]
- Verklaring van Toepasselijkheid (§4.2.j)
- aantoonbaar implementeren (§4.2.i)
- Toepassingsgebied (§4.3)
- Object van Certificering (§4.3.a) zie [Cursusmap Tab 1](BC5701_Training_Tab_01_OvC.md#Object%20van%20Certificering)
- Afbakening (§4.3.b) zie [Cursusmap Tab 1](BC5701_Training_Tab_01_OvC.md#Toepassingsgebied%20(Scope))
- Goedkeuring door directie en management (§4.3.c)
- Communicatie over de certificering (§4.3.d)
[^1]: is niet langer een criterium maar een advies
[^2]: zie [BC5701_Training_Tab_02_JV](BC5701_Training_Tab_02_JV.md#Uitwerking%20aanvullende%20eisen)

15
Corpus/Standards/BC 5701/BC5701_H5_Gegevensbescherming.md Normal file
View file

@ -0,0 +1,15 @@
---
Version: "2022"
---
# 5 Organiseren van de gegevensbescherming
*Zie ook [Cursusmap tab 7](BC5701_Training_Tab_07_O.md)*
- Betrokkenheid van de directie (§5.1)
- Uitdragen van commitment (§5.1.a)
- Beschikbaarstellen van resources (§5.1.b)
- Actieve ondersteuning (§5.1.c)
- Directiebesluiten (§5.1.d)

71
Corpus/Standards/BC 5701/BC5701_H6_Verwerkingen.md Normal file
View file

@ -0,0 +1,71 @@
---
Version: "2022"
---
Zie ook: [Cursusmap tab 4](BC5701_Training_Tab_04_DV.md)
# 6 Uitgangspunten van de verwerkingen
## 6.1 Beginselen
- Uitsluitend in overeenstemming met de beginselen van de AVG (§6.1)
- beleid dat de FG hierover geconsulteerd moet worden (§6.1.a)
- verwerkingsdoelen, en beperking daartoe, met uitzonderingen (§6.1.1)
- doelformulering en perceptie van de doelgroep (§6.1.1a)
- doelbinding (§6.1.1.e) en verenigbaarheid van secundaire verwerking (§6.1.1.b)
- proportionaliteit (§6.1.1.c) en subsidiariteit (§6.1.1.d)
- doorgifte aan derden (§6.1.1.1)
- beleid (§6.1.1.1a)
- uitwerking als separate verwerking (§6.1.1.1b)
- overeenkomst met de derde partij (§6.1.1.1c)
- informeren van de betrokkene (§6.1.1.1.d)
- loggen van de doorgifte (§6.1.1.1e)
- Rechtmatigheid van de verwerking (§6.1.2)
- analyse (§6.1.2.a)
- eisen bij de verschillende rechtsgronden:
- toestemming van de betrokkene (§6.1.2.b)
- noodzakelijkheid voor de uitvoering van een overeenkomst (§6.1.2.c)
- wettelijke verplichting (§6.1.2.d)
- vitaal belang (§6.1.2.e)
- algemeen belang (§6.1.2.f)
- gerechtvaardigd belang (§6.1.2.g)
- ontheffing verwerkingsverbod (§6.1.2.h)
- Minimalisatie (§6.1.3)
- vaststellen van de noodzakelijkheid (§6.1.3.a)
- beperken van de intake (§6.1.3.b)
- archivering, onderzoek en statistische doeleinden (§6.1.3.c)
- Juistheid van de (verwerking van) gegevens (§6.1.4)
- bij verkrijging (§6.1.4.a)
- bij herhaald gebruik (§6.1.4.b)
- staking bij onjuistheid (§6.1.4.c)
- Opslagbeperking en identificeerbaarheid (§6.1.5)
- Bewaartermijn / retentie (§6.1.5.a)
- vernietiging en anonimiseren (§6.1.5.b)
## 6.2 Eisen aan de verwerker
- beoordelen verwerkingsinstructies (§6.2.a)
- doelbinding (§6.2.b)
- doorgifte bij wettelijke verplichting of bevel (§6.2.c)
- vernietiging (§6.2.d)
## 6.3 Documenteren van verwerkingen
Zie ook:
- [Norm Inleiding -> Woordgebruik -> "Vastleggen"](BC5701_Inleiding_en_achtergrond.md)
- documenteren van de uitgangspunten (§6.3.a)
- documenteren van de verwerking (§6.3.b)
- procedures en werkinstructies (§6.3.c)
## 6.4 Rolbepaling in de keten van verwerkingen
Zie [Cursusmap tab 9](BC5701_Training_Tab_09_VW.md)
- Uitwerken van de verwerkingsketen (§6.4.a)
- analyseren van de rollen (§6.4.b)
- gezamenlijke verwerkingsverantwoordelijken (§6.4.1)
- opstellen overeenkomst (§6.4.1.a)
- borgen nakomen overeenkomst (§6.4.1.b)
- evalueren van de afspraken (§6.4.1.c)

66
Corpus/Standards/BC 5701/BC5701_H7_Bescherming.md Normal file
View file

@ -0,0 +1,66 @@
---
Version: "2022"
---
# 7 Technische en organisatorische bescherming
Zie ook [Cursusmap tab 5](BC5701_Training_Tab_05_RM.md)
## 7.1 Algemeen
Vaststellen benodigde middelen voor de bescherming:
- Beleid (§7.1.a)
- Standaard voor informatiebeveiliging (§7.1.b)
## 7.2 Risicomanagement
Risicomanagementproces opzetten, implementeren en onderhouden:
- Beleid (§7.2.a)
- Procedure (§7.2.b)
- Identificeren van bedreigingen (§7.2.c)
- Vaststellen van risico's (§7.2.d)
- Evalueren van risico's (§7.2.e)
- Vaststellen van de behandeling (§7.2.f)
- Implementeren van maatregelen (§7.2.g)
- Monitoren en testen (§7.2.h)
## 7.3 DPIA
Zie ook [BC5701_Training_Tab_05_RM](BC5701_Training_Tab_05_RM.md#Het%20risicomanagementproces)
- Wanneer vereist? (§7.3)
- analyse (§7.3.a)
- uitvoering (§7.3.b)
- wanneer voorafgaande raadpleging? (§7.3.1)
- indien voorafgaande raadpleging (§7.3.1.a)
- opvolging van de adviezen voorafgaande raadpleging (§7.3.1.b)
## 7.4 DPIA en raadpleging voor verwerkers
De verwerker moet de verwerkingsverantwoordelijke op verzoek bijstaan bij het uitvoeren van de eisen uit §7.3.
## 7.5 Privacy by design & by default
Ontwerp- en ontwikkelproces om bescherming in de verwerkingen in te bouwen
- beleid om bescherming vanaf de ontwerpfase in te bouwen (§7.5.a)
- procedure (§7.5.b)
- ontwikkelproces (§7.5.c)
## 7.6 Personeel
Bepalen welk personeel nodig is voor implementatie en uitvoering van de AVG, de BC 5701, gedragscode en standaard voor informatiebeveiliging, en het onderhoud van de implementatie.
- verwerkingspersoneel in kaart brengen (§7.6.a)
- vaststellen dat de verwerking aan die personen kan worden toevertrouwd (§7.6.b) zie ook (§7.6.1.b-c)
- geheimhouding (§7.6.c)
- benodigde competenties (§7.6.1)
- functieprofielen (§7.6.1.a)
- aanstelling van medewerkers (§7.6.1.b)
- bewijs (§7.6.1.c)
- evalueren van het functioneren van medewerkers (§7.6.1.d)
- training en bewustwording m.b.t. beleid, AVG en BC 5701 (§7.6.2)
- beleid (§7.6.2.a)
- trainingsprogramma (§7.6.2.b)
- bewustwordingsactiviteiten (§7.6.2.c)
- deelname en registratie (§7.6.2.d)
- evalueren van de effectiviteit (§7.6.2.e)

166
Corpus/Standards/BC 5701/BC5701_H8_Uitvoeren.md Normal file
View file

@ -0,0 +1,166 @@
---
Version: "2022"
---
# 8 Operationele uitvoering
## 8.1 Inzicht in de verwerkte persoonsgegevens / gegevensbestanden
- methode voor volgen / traceren van persoonsgegevens (§8.1.a)
## 8.2 Interactie met de betrokkene
- de betrokkene moet passende informatie en communicatie over de verwerking ontvangen (§8.2.1)
- taal (§8.2.1.a)
- taalgebruik (§8.2.1.b)
- verantwoordelijkheid voor de informatie (§8.2.1.c)
- voorafgaande informatieverstrekking (§8.2.2)
- informatieverstrekking meenemen in de ontwerpfase / informatie by design (§8.2.2.a)
- eisen aan de informatie (§8.2.2.b)
- proces van verstrekking (§8.2.2.c)
- vastleggen van uitzonderingen (§8.2.2.d)
- openbaarmaking (§8.2.2.e)
- archiveren van de verstrekte informatie (§8.2.2.f)
- informatieverstrekking door een verwerker (§8.2.2.1)
- ondersteunen van de verwerkingsverantwoordelijke (§8.2.2.1.a)
- Klachtenprocedure (§8.2.3)
- eisen aan de procedure (§8.2.3.a)
- klachtenregeling: uitleg van de klachtenprocedure aan de betrokkenen (§8.2.3.b)
## 8.3 Aantoonbaarheid van toestemming
### 8.3.1 Borgen van de rechtmatigheid bij toestemming
- verkrijgen van toestemming (§8.3.1.1)
- proces voor voorafgaand informeren (§8.3.1.1.a)
- proces voor toestemmingsverzoek en verlening (§8.3.1.1.b)
- in bijzondere situaties (§8.3.1.1.c)
- vastleggen van de toestemming (§8.3.1.1.d)
- verlengen van de toestemming (verifiëren)(§8.3.1.1.e)
- proces waarmee de betrokkene de toestemming kan beheren (§8.3.1.1.f)
- proces voor doorvoeren van wijziging toestemming (§8.3.1.1.g)
- toestemming bij jongeren (§8.3.1.2)
- leeftijdscheck (§8.3.1.2.a)
- machtiging door een vertegenwoordiger (§8.3.1.2.b)
- hernieuwing na passeren leeftijdsgrens (§8.3.1.2.c)
### 8.3.2 Borgen van de rechtmatigheid bij andere rechtsgronden
- uitvoering van een overeenkomst (§8.3.2.a)
- wettelijke verplichting (§8.3.2.b)
- vitaal belang (§8.3.2.c)
- algemeen belang (§8.3.2.d)
- gerechtvaardigd belang (§8.3.2.e)
- audittrail (§8.3.2.f)
## 8.4 Uitoefening Rechten van de betrokkenen
De organisatie moet zorgen dat ieder beroep van een betrokkene op zijn rechten adequaat wordt gehonoreerd.
- interne borging: aantoonbaar correct afhandelen (§8.4.1)
- beleid (§8.4.1.a)
- contactpunt (§8.4.1.b)
- proces voor afhandeling (§8.4.1.c)
- evalueren van de performance van de afhandeling (§8.4.1.d)
- voor Verwerkers:
- ondersteuning van de verwerkingsverantwoordelijke (§8.4.1.1, §8.4.1.1.a)
- Recht van inzage (§8.4.2)
- proces van verstrekking (§8.4.2.a)
- Recht op rectificatie (§8.4.3)
- onderzoeken onjuistheid (§8.4.3.a)
- proces voor uitvoering (§8.4.3.b)
- aanvullende verklaring bij niet inwilligen (§8.4.3.c)
- Recht op wissing (§8.4.4)
- toepasselijkheid (§8.4.4.a)
- proces voor uitvoering (§8.4.4.b)
- Recht op beperking (§8.4.5)
- toepasselijkheid (§8.4.5.a)
- proces voor uitvoering (§8.4.5.b)
- proces voor informeren over terugdraaien beperking (§8.4.5.c)
- Recht op overdraagbaarheid (§8.4.6)
- toepasselijkheid (§8.4.6.a)
- proces voor uitvoering (§8.4.6.b)
- Recht van bezwaar tegen verwerking (§8.4.7)
- toepasselijkheid (§8.4.7.a)
- beoordeling (§8.4.7.b)
- voorzieningen voor indienen beroep (§8.4.7.c)
- proces voor uitvoering bezwaar (§8.4.7.d)
- proces voor informeren betrokkene over uitvoering (§8.4.7.e)
- Recht op uitsluiting van geautomatiseerde besluitvorming (§8.4.8)
- toepasselijkheid (§8.4.8.a)
- beleid voor bescherming betrokkenen (§8.4.8.b)
- proces voor informeren betrokkenen over geautomatiseerd besluit (§8.4.8.c)
- proces voor verzoek tot menselijke interventie (§8.4.8.d)
- proces voor uitvoering van menselijke interventie (§8.4.8.e)
- check op bias (§8.4.8.f)
- Kennisgeving aan ontvangers (§8.4.9)
- proces voor doorgeven aan ontvangers (§8.4.9.a)
- proces voor informeren van betrokkenen over doorgifte (§8.4.9.b)
- Buitensporige verzoeken (§8.4.10)
- beleid (§8.4.10.a)
## 8.5 Uitbesteden van verwerkingen
In te schakelen verwerkers moeten voldoen aan de AVG en de BC 5701
- beleid voor het aangaan en onderhouden van verwerkingsrelaties (§8.5.a)
- vaststellen van eisen aan de verwerkers (§8.5.b)
- voorafgaand onderzoek van de verwerker (§8.5.c)
- overeenkomen van meetwaarden (§8.5.d)
- verwerkersovereenkomsten en inhoud (§8.5.e)
- beheer van verwerkersovereenkomsten (§8.5.f)
- toestemming voor inschakelen subverwerkers (§8.5.g)
Borging van conformiteit aan eisen door verwerkers (§8.5.1)
- monitoren (§8.5.1.a)
- toetsen (§8.5.1.b)
## 8.6 Verwerking onder gezag van de VVW
Verwerkers moeten zorgen dat de verwerking wordt uitgevoerd cf. de instructies van de opdrachtgever.
- vaststellen rechtmatigheid van de verwerking (§8.6.a)
- op basis van overeenkomsten, en die overeenkomsten ook beheren (§8.6.b)
- informeren van de VVW over wettelijke verplichtingen (§8.6.c)
- processen om te borgen dat de instructies van de opdrachtgever worden gevolgd (§8.6.d)
- borgen dat de opdrachtgever heldere instructies geeft over terugbezorgen of vernietiging bij beëindiging van de opdracht (§8.6.e)
- uitvoering van de vernietiging bij beëindiging van de opdracht (§8.6.f)
- beleid en procedure voor uitbesteding aan subverwerker (§8.6.g)
## 8.7 Internationale doorgifte
Beschrijft voorwaarden waaronder doorgifte van persoonsgegevens is toegestaan (zonder toestemming van de autoriteiten).
- beleid voor overdracht naar landen buiten de EER (§8.7.a)
- borging van een passend beschermingsniveau (§8.7.b)
- verkrijgen van toestemming voor doorgifte van VVW's (§8.7.c)
## 8.8 Inbreuk en incidenten
- monitoren op incidenten, inbreuken en kwetsbaarheden (§8.8.1)
- beleid voor detecteren, opleiden van medewerkers, escaleren, afhandelen en leren (§8.8.1.a)
- procedure voor doeltreffende behandeling van incidenten, inbreuken en kwetsbaarheden (§8.8.1.b)
- incidentenregister bijhouden incidenten, inbreuken en kwetsbaarheden (§8.8.1.c)
- Melding aan de toezichthoudende autoriteit (§8.8.2)
- procedure melding datalekken (§8.8.2.a)
- Mededeling aan de betrokkene: wanneer? (§8.8.3)
- proces (§8.8.3.a)
- Melding aan de verwerkingsverantwoordelijke (§8.8.4)
- proces (§8.8.4.a)
## 8.9 Wijzigingen in de context van het OvC
Wijzigingen in de context van het Object van Certificering moeten planmatig geïmplementeerd worden, rekening houdend met de principes van privacy by design en privacy by default ([zie §7.5](BC5701_H7_Bescherming.md#7.5%20Privacy%20by%20design%20&%20by%20default)).
Bepaald moet worden:
a) doel en mogelijke gevolgen van de wijziging
b) invloed op de inzet van middelen
c) toewijzing van verantwoordelijkheden en bevoegdheden
d) communicatie aan de betrokkenen, verwerkers en VVW's
- monitoren omgeving van het OvC (§8.9.a)
- monitoren van interne ontwikkelingen (§8.9.b)
- beoordelen impact van veranderingen (§8.9.c)
- wijzigingsprocedure voor verwerkingen (§8.9.d)
- proces voor communiceren aan de betrokkenen (§8.9.e)
- proces voor communiceren aan de opdrachtgevers (§8.9.f)

108
Corpus/Standards/BC 5701/BC5701_H9_Managementsysteem.md Normal file
View file

@ -0,0 +1,108 @@
---
Version: "2022"
---
# 9 Managementsysteem
Zie:
- [Cursusmap tab 3](BC5701_Training_Tab_03_MS.md) - Managementsysteem
- [Cursusmap tab 5](BC5701_Training_Tab_05_RM.md) - Risicomanagement
**Algemeen**
Privacy Information Management System (PIMS) opzetten, documenteren, implementeren en onderhouden (§9.1)
- mechanisme voor borging van conformiteit (PDCA cyclus) (§9.1.a)
## 9.2 Gedocumenteerde informatie
Algemeen (§9.2.1):
- informatie vereist door de BC 5701
- informatie de de organisatie nodig acht voor de doeltreffendheid van het PIMS.
- beleid, procedures, processen en werkinstructies (§9.2.1.a)
- registers (§9.2.1.b)
- logbestanden (§9.2.1.c)
- verslagen (§9.2.1.d)
**Creëren en actualiseren** (§9.2.2)
Documentatie moet geschikt zijn, d.w.z. toereikend en aantoonbaar actueel, en beheerd.
- verantwoordelijkheden (§9.2.2.a)
- eisen aan de documentatie (§9.2.2.b)
- consulteren van de FG (§9.2.2.c)
- goedkeuring door vastgestelde verantwoordelijken (§9.2.2.d)
- onderhouden: actueel houden en minimaal eens per jaar beoordelen, versiebeheer, archivering (§9.2.2.e)
- communiceren: informeren, trainen en instrueren m.b.t. de documentatie (§9.2.2.f)
**Beheersing van gedocumenteerde informatie** (§9.2.3)
Informatie moet beschikbaar en afdoende beveiligd zijn.
- Documentmanagementsysteem (§9.2.3.a)
- identificeren en opnemen van externe informatie (§9.2.3.b)
## 9.3 Monitoren, meten, analyseren en evalueren
De organisatie moet bepalen:
a. wat moet worden gemonitord en gemeten;
b. wie de doelwaarden vaststelt;
c. welke methodes nodig zijn voor monitoren, meten, analyseren en evalueren om valide resultaten te bewerkstelligen;
d. wanneer moet worden gemonitord en gemeten;
e. wie moet monitoren en meten;
f. wanneer de resultaten van het monitoren en meten moeten worden geanalyseerd en geëvalueerd;
g. wie deze resultaten moet analyseren en evalueren.
- beleid (§9.3.a)
- performance indicatoren (§9.3.b)
- controleren van logbestanden (§9.3.c)
- analyseren van afwijkingen (§9.3.d)
- rapporteren en evalueren (§9.3.e)
## 9.4 Interne audit
*Zie ook [Cursusmap tab 6](BC5701_Training_Tab_06_BI.md#Beoordelen%20van%20de%20implementatie%20(audit))*
De organisatie moet gepland interne audits uitvoeren om vast te stellen dat verwerking, bescherming en PIMS voldoen aan:
a. de eisen van de verordening;
b. de eigen eisen van de organisatie;
c. de eisen van deze standaard;
d. het PIMS doeltreffend is en wordt onderhouden.
- auditbeleid (§9.4.a)
- auditprogramma (§9.4.b)
- competentie auditoren (§9.4.c)
- uitvoering audits (§9.4.d)
- rapporteren (§9.4.e)
- archiveren rapportages (§9.4.f)
## 9.5 Directiebeoordeling
De verwerking en bescherming van persoonsgegevens en het PIMS moeten met geplande tussenpozen door de directie beoordeeld worden.
- informeren van de directie over incidenten, belangentegenstellingen en effectiviteit (§9.5.a)
- elementen van de directiebeoordeling (§9.5.b)
- verslaglegging (§9.5.c)
## 9.6 Afwijkingen en corrigerende maatregelen
Afwijkingen ten opzichte van de verordening, deze standaard en haar eigen doelstellingen moeten worden behandeld.
- procedure voor behandeling van afwijkingen (§9.6.a)
## 9.7 Continue verbetering
Beleid voor het stelselmatig benutten van afwijkingen en kansen voor verbetering (§9.7.a).
Verbeteractiviteiten moeten ten minste worden geïnitieerd vanuit:
a. incidenten;
b. klachten;
c. monitoring;
d. audits;
e. leveranciersevaluaties;
f. implementatie- en evaluatietests;
g. evaluatie van de rechten van betrokkenen;
h. beleid- en procedure evaluaties;
i. FG-rapportages;
j. directiebeoordeling.

28
Corpus/Standards/BC 5701/BC5701_Inleiding_en_achtergrond.md Normal file
View file

@ -0,0 +1,28 @@
---
Version: "2022"
---
# Inleiding
## Woordgebruik
- **moeten**: een eis van de standaard
- **vaststellen**: door de organisatie te bepalen (maar wel beargumenteerd o.b.v. analyse)
- **vastleggen**: beschrijft algemene eisen aan documentatie; nader uitgewerkt in [§6.3](BC5701_H6_Verwerkingen.md#6.3%20Documenteren%20van%20verwerkingen)
- **implementeren**: beschrijft algemene eisen aan de implementatie
- **juiste toepassing van wet- en regelgeving**: onderscheid tussen enkel onrechtmatig handelen, en doorwerking in andere activiteiten
- **toepasselijkheid van de eisen**: aan alle eisen moet worden voldaan, tenzij de organisatie kan aantonen dat uitsluitingen geen invloed hebben op het kunnen voldoen aan AVG en standaard
- **passende uitwerking**: beschrijft aandachtspunten voor de uitwerking van de implementatierichtlijnen
# 1 Onderwerp
Beschrijft het waarom van deze standaard, beredeneerd vanuit de AVG.
# 2 Normatieve verwijzingen
Aldus.
# 3 Termen en definities
Aldus.

92
Corpus/Standards/BC 5701/BC5701_Training_Tab_01_OvC.md Normal file
View file

@ -0,0 +1,92 @@
---
Version: "2022"
---
Normreferentie: [§4.3](BC5701_H4_Context.md)
Zie ook [§8.9 Wijzigingen in de context van het OvC](BC5701_H8_Uitvoeren.md#8.9%20Wijzigingen%20in%20de%20context%20van%20het%20OvC)
# Object van Certificering
Het onderwerp van de AVG is de verwerking van persoonsgegevens. AVG-certificering kan daarom alleen worden toegepast op verwerkingen (i.e. processen), en niet op organisaties, producten of diensten.
Op grond van [Art. 43](../AVG/AVG-OST/AVG2018-Art-43.md) moet certificering plaatsvinden op basis van de ISO 17065 (Conformity Assessments). Lidstaten zorgen ervoor dat de certificeringsorganen worden geaccrediteerd in overeenstemming met die norm.
Het Object van Certificering is de verzameling verwerkingen waarvoor de organisatie gecertificeerd wil worden. Wat een verwerking is, is gedefinieerd in [AVG art. 4.2](https://gdpr-text.com/nl/read/article-4/)
Principes achter het vaststellen van het OvC:
1. het perspectief van de **belanghebbenden** is leidend
2. uitgangspunt van certificering is het **verwerkingsdoel** (niet de verwerkingen)
3. de verwerkingen moeten **zelfstandig** zijn om betekenisvol te zijn
De EDPB stelt:
- De certificering moet **betekenisvol** zijn voor de betrokkenen, d.w.z. **zelfstandig**
- De certificering mag **niet misleiden**
De belanghebbende is de partij voor wie het certificaat betekenis moet hebben: de persoon of partij die aan de hand van het certificaat wil vaststellen dat de verwerkingen 'correct' gebeuren.
Bij certificering van een **verwerkingsverantwoordelijke** is de betrokkene de primair belanghebbende (daarom kom je op Sheet 10 principe 1 ook tegen als "de betrokkenen staan centraal"). Bij certificering van een **verwerker** is dat de verwerkingsverantwoordelijke/opdrachtgever.
Het OvC wordt verwoord als:
`De verwerking van persoonsgegevens ten behoeve van <het zelfstandige verwerkingsdoel van de doelgroep>.`
***IS DIT WEL ZO???? ZIE OOK TOEPASSINGSGEBIED***
Het zelfstandig verwerkingsdoel moet betekenis hebben voor de **betrokkenen**, het Object van Certificering moet betekenis hebben voor de **organisatie**.
Daarmee moet het abstracte verwerkingsdoel heel precies vertaald worden naar eenduidige verwerkingen.
**ZOU MOETEN ZIJN, WS.** Het Object van Certificering is de verzameling verwerkingen waarvoor de organisatie gecertificeerd wil worden. Dit heeft betekenis voor de belanghebbende.
Het Toepassingsgebied is de organisationele scope van het OvC: de Processen, Partijen en Middelen die de verwerkingen ondersteunen. Dit heeft betekenis voor de organisatie.
Deze samenstellende verwerkingen van het OvC moeten terug te vinden zijn in het verwerkingsregister.
## Checklist voor vaststellen van het Object van Certificering
A. Vaststellen zelfstandig verwerkingsdoel
1. Bepaal de verwerking
2. bepaal de primair belanghebbende van de verwerking
3. Bepaal door welk doel de verwerking in gang wordt gezet
4. Bepaal of dat doel zelfstandig is zo niet dan uitzoomen en terug naar 1.
B. Vaststellen van verwerkingen met relatie tot het OvC
- herkomst en transfer gegevens, ondersteuning, afgeleide doelen zie ook Scope
C. Valideren van het OvC / Toetsing
1. Stel een representatieve doelgroep samen
2. Leg het doel van certificering uit (voor de organisatie)
3. Leg het belang van de perceptie van de doelgroep uit
4. Geef inzicht in de verwerkingen
5. Laat ze zelf hun verwerkingsdoel bepalen
6. Laat de doelgroep bepalen wat tot het OvC behoort
M.b.t. de toetsing:
- in een bijeenkomst met ca. 10-15 personen per (sub)doelgroep, met als doel consensus (Kwalitatieve toetsing)
- een deelnemerslijst met contactgegevens en een getekende vragenlijst gelden als bewijs.
*(zie Tab 1, pp. 2-6; Sheets 16-28 digitaal)*
§4.3.a stelt dat het OvC **eenduidig** moet zijn:
- wat in de ogen van de doelgroep samenhangende verwerkingen zijn, moet voor de BC 5701 als **ondeelbaar** worden aangemerkt.
- binnen de doelgroep moet consensus zijn over de omschrijving van het zelfstandig verwerkingsdoel en de daartoe behorende verwerkingen.
De check van de omschrijving van het OvC gebeurt dus op Juistheid (in de perceptie van de doelgroep) en Volledigheid (geautomatiseerde besluitvorming, afgeleid gebruik, gezamenlijke verwerkingsverantwoordelijkheid, etc.)
Verwoording:
- niet moeilijker dan ERK-niveau B1
- geen loze toevoegingen
# Toepassingsgebied (Scope)
Het toepassingsgebied is de organisationele scope van het OvC: de Processen, Partijen en Middelen die de verwerkingen ondersteunen.
Het toepassingsgebied behelst:
- de **Processen** die de verwerking ondersteunen (ontwikkelproces; wijzigingsbeheer; risicomanagement, etc.)
- De **Partijen** die de verwerking en de processen ondersteunen (medewerkers; afdelingen; externen; verwerkers, etc.)
- De **Middelen** die de verwerking, de processen en de partijen ondersteunen (software; hardware; infrastructuur; etc. )
N.b.: Het zelfstandig verwerkingsdoel heeft betekenis voor de belanghebbende. Het toepassingsgebied heeft betekenis voor de organisatie.
Bij de inventarisatie van verwerkingen, processen, partijen en middelen kunnen de levenscycli worden gebruikt:
- Voor de verwerkingen zelf: verzamelen, opslaan, verwerken, delen, vernietigen
- Voor de bedrijfsprocessen: Ontwerpen, ontwikkelen, uitvoeren, wijzigen, beëindigen
- Voor de betrokken partijen: selecteren, contracteren, evalueren, beëindigen
- Voor de middelen: aanschaffen, gebruiken, onderhouden, buiten gebruik stellen

62
Corpus/Standards/BC 5701/BC5701_Training_Tab_02_JV.md Normal file
View file

@ -0,0 +1,62 @@
---
Version: "2022"
---
Normreferentie: Inleiding bij de standaard
# Juridische vaststellingen en eisen
De juridische vaststelling is de bepaling hoe de AVG van toepassing is op onze organisatie. Bijvoorbeeld: welke onderdelen van de AVG hebben betrekking op ons, of: wat is de juiste grondslag voor de verwerkingen.
De organisatie moet de juridische vaststelling laten uitwerken. De juridische vaststellingen moeten worden gedaan door juristen. Die identificeren ook de criteria die voor een goede analyse van belang zijn.
Het gaat hierbij niet om het zoeken naar waarheid, maar om de verdedigbaarheid: een navolgbare argumentatie op basis van feiten en rechtsregels.
De certificatiestandaard kijkt naar een juiste en consistente *uitvoering* van de juridische vaststelling. Hierbij help een goede structuur (zie hieronder).
## Juridische vaststelling en de certificering
De juiste toepassing van de wettelijke eisen is een belangrijk aspect. Daarbij. gaat het om (1) de rechtmatigheid van de verwerkingsactiviteiten en (2) welke AVG bepalingen van toepassing zijn en onder welke omstandigheden.
De organisatie is zelf verantwoordelijk voor de borging van deze uitwerking.
Binnen het certificatieproces wordt dit opgelost door de samenstelling van het auditteam, waarin een ter zake kundig jurist is opgenomen.
## Structuur juridische vaststelling
Een goed navolgbare analyse:
- beschrijving van de feiten en omstandigheden
- analyse en interpretatie van relevante rechtsregels
- argumentatie op basis van de feiten en het recht
- gemotiveerd oordeel
Gebaseerd op gedegen onderzoek: zie sheet 81.
## Uitwerking aanvullende eisen
De EDPB heeft aangegeven dat een organisatie ook aan aanvullende eisen moet voldoen, zoals sectorale wetgeving, eisen van leveranciers, etc.
In de cursus zijn met name genoemd: de AVG, de UAVG, sectorale wet- en regelgeving, jurisprudentie, guidelines, recommendations & best practices van de EDPB, en besluiten, richtlijnen en adviezen van de AP ( slide 81 van Cursusmap tab 2).
Bij het bepalen van de aanvullende eisen is ook weer de *navolgbaarheid* essentieel, en wel op 3 aspecten:
- volledigheid van de **inventarisatie** (Art. 4.2.b-f)[^1]
- juistheid van de **toewijzing** (i.e. de betrekking van eisen op specifieke verwerkingen of aspecten daarvan zie ook [scope](BC5701_Training_Tab_01_OvC.md#Toepassingsgebied%20(Scope)))
- eenduidigheid van de **betekenisgeving**: wat betekent deze eis voor de organisatie
Organisaties moeten dus aantoonbaar voldoen aan de aanvullende eisen; ze moeten laten zien dat ze in control zijn op deze eisen.
Een hulpmiddel hierbij is de **Traceability Matrix** (zie p.5 van deze tab). Hierin staan op 2 assen de eisen uit de verschillende wetgevingen, en de aspecten van de verwerkingen in het object van certificering. In de cellen kun je dan verwijzen naar specifiek opgestelde bedrijfsregels.
Zonder verband tussen eisen en verwerkingen is een statement over de volledigheid van toewijzing niet navolgbaar.
Een auditor zal als steekproef een eis pakken, en kijken waar die wel en niet adequaat in de organisatie wordt toegepast.
**Eisen aan navolgbaarheid** worden gegeven in sheet 88.
## Stappenplan: van eisen naar bedrijfsregels
Zie tab 2, pp. 3-6
1. Inventariseer alle van toepassing zijnde eisen
2. Bepaal waar de eisen van invloed zijn (Traceability Matrix)
3. Stel bedrijfsregels op om de betekenis van de eis concreet te maken voor betreffende aspecten (zie p.6 voor uitwerking)
[^1]: §4.2g 'Betekenis geven aan de eisen' is niet langer een criterium maar een advies

86
Corpus/Standards/BC 5701/BC5701_Training_Tab_03_MS.md Normal file
View file

@ -0,0 +1,86 @@
---
Version: "2022"
---
Normreferentie: Hoofdstuk 9
# Managementsysteem en Beleid
## Managementsysteem
### Procescertificering vs. Productcertificering
ISO 17065 maakt een onderscheid tussen procescertificering en productcertificering.
- Procescertificering: je mag zelf je doelen stellen en moet dan aantonen dat je voor die doelen 'in control' bent. Het proces moet onder controle zijn, de kwaliteit van de output is relatief. Het gaat om risicobeheersing.
- Productcertificering: je moet kunnen aantonen dat je aan vastgestelde eisen voldoet in dit geval de AVG. Er geldt een absolute kwaliteitsgrens: bij alle verwerkingen moet voldaan worden aan de wettelijke eisen. Het proces is niet van belang, als de (absolute) kwaliteit maar aantoonbaar gehaald wordt.
Een ander verschil is: systeembenadering/input gestuurd vs. individuele producten/output gestuurd.
### Waarom een managementsysteem?
**Definitie Managementsysteem** in BC 5701: Een geheel van samenhangende afspraken, al dan niet vastgelegd in methodes, procedures, werkinstructies, formats, et cetera, om beleid en doelstellingen op te stellen en deze te realiseren.
Ofwel: alle activiteiten die nodig zijn om te **borgen** dat de **doelen** van de organisatie (t.a.v. een bepaald onderwerp) worden behaald.
De AVG stelt dat certificering gebaseerd moet zijn op productcertificering cf. ISO 17065, en noemt nergens het implementeren van een managementsysteem als eis.
De BC 5701 noemt dat wel, en het is daarmee een normspecifieke eis. Het doel is het wekken van vertrouwen bij de stakeholders.
Een audit is altijd retrospect, het heeft een historisch perspectief: het *was* goed. De belanghebbende wil weten of het in de toekomst ook goed zal gaan, zelfs als de omstandigheden wijzigen. Het gaat dus om borging en continuïteit.
Het managementsysteem is erop gericht om alle activiteiten m.b.t. het Object van Certificering **beheerst** te laten plaatsvinden en op continue basis te **verbeteren**.
Het managementsysteem moet **op alle niveaus** in de organisatie worden toegepast.
## Beleid
Essentie van beleid volgend uit de definitie in BC 5701:
- doelen en kaders
- borging op consistente en passende wijze
- vastgesteld door het verantwoordelijke management, en ook door hen actief uitgedragen, ondersteund en gemonitord
Bedenk:
- voor wie is het beleid bestemd?
- wat betekent het dan voor hen?
- wanneer is het succesvol uitgevoerd?
Toets: Snapt de doelgroep wat er van het verwacht wordt?
### Beleidsinhoud
*Sheets 73-75*
*Tab 3 Bijlage pp.7-10*
- Waarom dit beleid? Wat is de noodzaak? M.n. voor principegedreven beleid van belang
- SMART en positieve doelformulering ('we willen bereiken dat' i.p.v. 'we willen voorkómen dat')
- Indien nodig: definitie van begrippen
- Afbakening (scope): voor wie, of wanneer
- Door de organisatie gestelde beleidskaders waarbinnen dit specifieke beleid betekenis heeft
- Taken, bevoegdheden, verantwoordelijkheden
- Bepaling effectiviteit
- Borging (compliance): hoe zorgen we dat het beleid gevolgd wordt, en hoe tonen we dat aan
- Advies van de Functionaris Gegevensbescherming:
- is het onderwerp adequaat afgedekt
- is het en juiste en volledige weergave van de situatie
- is het adequaat m.b.t. de AVG
- advies
### Aandachtspunten
Het meeste beleid zit op het spectrum tussen **Regelgedreven** (zoals de verkeerswet) en **Principegedreven** (doe wat goed is).
*Tab 3 Bijlage p.7*
Principegedreven beleid:
- past bij kennisgedreven organisaties met professionals
- effectiviteitsmeting is een uitdaging voor zowel de beleidsfase als voor training van medewerkers als meting niet in de beleidsfase geadresseerd wordt gaat de PDCA-cyclus niet draaien
- opleiding medewerkers is cruciaal
Regelgedreven beleid:
- past bij productie-organisaties
- uitwerking beleid kost veel tijd
- consistentie tussen afdelingen is een aandachtspunt
- gevoelig voor veranderingen in de context
Uitdagingen:
- wazige formulering als excuus op voorhand, meer een intentie er is veel ruimte om dingen *niet* te doen
- een concrete formulering past vooral bij een 'blauwe' managementstijl.
Als beleid niet voldoende concreet is om eenduidig te kunnen uitvoeren, kan de voortgang/effectiviteit niet goed worden vastgesteld, en komt de PDCA cyclus niet op gang.

12
Corpus/Standards/BC 5701/BC5701_Training_Tab_04_DV.md Normal file
View file

@ -0,0 +1,12 @@
---
Version: "2022"
---
Geen handouts of sheets voor dit onderwerp.
# Documenteren van verwerkingen
Zie:
- [Norm §6.3](BC5701_H6_Verwerkingen.md#6.3%20Documenteren%20van%20verwerkingen)
- [Cursusmap tab 5](BC5701_Training_Tab_05_RM.md#Verwerkingen%20in%20kaart%20brengen)
- Documentatie van de RM-uitvoeringsfase: bijlage 5 van Tab 5

189
Corpus/Standards/BC 5701/BC5701_Training_Tab_05_RM.md Normal file
View file

@ -0,0 +1,189 @@
---
Version: "2022"
---
Normreferentie: §7.1 en §7.2
# Risicomanagement
*Nieuwe paragraaf 7.2.1 Risicomanagement: de risicoinschatting van de verwerkingsverantwoordelijke is leidend, de verwerker moet de verwerkingsverantwoordelijke bijstaan om een goede inschatting te maken* zie sheet 96.
Er zijn 3 soorten risico's m.b.t. de AVG:
- IB-risico's
- Compliance risico's
- Inherente verwerkingsrisico's
IB-risico's zijn "risico's verbonden aan inbreuken op de beschikbaarheid, integriteit en vertrouwelijkheid" (§7.2)
Bij compliance risico's gaat het om compliance aan de AVG, zoals bijv. onrechtmatige verwerking, en *niet* om compliance aan de BC 5701.
Inherente verwerkingsrisico's zijn risico's verbonden aan de verwerking zèlf. De verwerking geschiedt dus in principe cf. de AVG, maar creëert toch privacy risico's[^1].
De norm is het *instrument* om compliance risico's te managen, daarom worden alleen de IB-risico's en de inherente verwerkingsrisico's *inhoudelijk behandeld* in de norm. Compliance risico's worden dus niet besproken, omdat het dan in feite gaat op het risico dat de norm zèlf niet correct en volledig geïmplementeerd wordt.
## Borging risico's
- IB-risico's worden geborgd door standaarden voor informatiebeveiliging
- Compliance risico's worden geborgd door de implementatiecriteria
- Inherente verwerkingsrisico's worden geborgd door het risicomanagementproces van de BC 5701
## Standaard voor informatiebeveiliging
In §7.1 staat dat de organisatie zich moet *conformeren* aan passende standaarden voor informatiebeveiliging. *Certificering* daarop is geen eis, maar als je niet gecertificeerd bent wordt je informatiebeveiliging óók onderwerp van de BC 5701 certificeringsaudit (dus in de praktijk is het een verplichting; adequate informatiebeveiliging moet kunnen worden vastgesteld).
De ISO 27701 gaat over controle van het proces, en is agnostisch voor specifieke wetgeving. De BC 5701 gaat over compliance aan de AVG.
Als er geen passende standaard is (denk aan anonimiseren of privacy by design), dan moet de organisatie zich baseren op wetenschappelijke publicaties.
## Het risicomanagementproces
Zie sheet 104 voor de stappen (groot diagram in bijlage p. 4).
De PDCA cyclus speelt zich af op 2 niveaus:
- in het risicomanagementproces zèlf, van beleid tot evaluatie
- voor specifieke maatregelen, van behandelplan tot het verbeteren van de effectiviteit.
De te hanteren methode voor risicomanagement moet in het beleid worden vastgelegd (§7.2a).
Een goede methode voorkómt willekeur (zie sheet 106), draagt bij aan kwaliteit en heeft bewijskracht.
Herhaalbaarheid is niet de essentie, want een methode is per definitie herhaalbaar.
Voor privacy risicomanagement baseer je bij voorkeur op een (D)PIA-methode zoals de CNIL-(D)PIA, ISO 29134 of LINDDUN; deze laatste is meer systeemgericht.
Generieke methodes als de ISO 31000 zijn minder geschikt omdat ze een organisatieperspectief hanteren (ipv het perspectief van de betrokkenen/belanghebbenden) en gaan voorbij aan de inherente verwerkingsrisico's (ze nemen de verwerking als gegeven).
Je zult altijd zelf moeten zorgen voor het managen van de inherente verwerkingsrisico's en de informatiebeveiligingsrisico's.
Overigens richten ook (D)PIA-methodes zich op BIV-risico's en compliance risico's, en onderkennen geen inherente verwerkingsrisico's.
### Verwerkingen in kaart brengen
(in deze context om risico's te identificeren)
Methodes:
- data flow diagrams
- processchema's
- IPO schema's (Input Proces Output)
- workflow diagrams
- use cases
Dit hoeft geen aparte activiteit te zijn, maar kan gecombineerd worden met §6.3.b Documenteren van het verwerkingsproces [(Tab 4)](BC5701_Training_Tab_04_DV.md).
Je moet in ieder geval de volgende **aspecten** in beeld hebben (sheet 113-114):
- actoren
- gegevens(stromen)
- gegevensopslag
- verwerkingsfuncties
### Risicomanagement team
Bestaat uit een **verantwoordelijke** en tenminste de volgende **perspectieven** zijn vertegenwoordigd: betrokkenen, verwerking, privacy en techniek.
Om het proces af te stemmen moeten de **uitgangspunten** duidelijk zijn (i.e. beleid en procedure) en de **aanpak** (vaststellen en borgen van de perspectieven).
### Overleg met de doelgroep
Twee zaken moeten worden vastgesteld:
1. Hoe is de interactie van de doelgroep met de verwerking gebruiksdoel, gebruik, gebruikers, gebruikscontext
2. Wat is de risicoperceptie van de doelgroep welke risico's zien ze wel/niet, en hoe waarderen ze die.
## Het echte werk start hier
### Identificatie van verwerkingsrisico's
- Input: (1) het in kaart gebrachte verwerkingsproces, en (2) risico checklijsten[^2][^4].
- Proces: met een multidisciplinair team alle aspecten (zie hierboven) langslopen en mogelijke privacyrisico's bedenken
- Output: lijst met mogelijke privacyrisico's
Zoom hierbij in op kleine, specifieke processen: te ver uitzoomen levert alleen generieke risico's op.
### Analyseren van (privacy) risico's
Doelstelling: de gevolgen van de geïdentificeerde verwerkingsrisico's en potentiële bedreigingen analyseren, en hun kans en impact inschatten.
*Zie sheet 123*
Risico = Kans * Impact:
- kans wordt bepaald door de waarschijnlijkheid dat een actor (evt. onbedoeld) succesvol is in het exploiteren van een kwetsbaarheid.
- impact wordt bepaald door de (mogelijke) negatieve gevolgen voor het individu, àls de actie (exploitatie) uitgevoerd wordt met of op persoonsgegevens.
*Zie sheet 124 voor invulling met voorbeeld*
Om kans en impact te bepalen moet je eerst een kwalitatieve normering hebben.
Bij het vaststellen moet je zorgen voor:
- een multidisciplinair team
- een methode van vaststelling/analyse
- vastlegging van de methode in de RM-procedure
Om de relatieve impact te bepalen, moet je altijd het perspectief van één individu kiezen.
### Evalueren van risico's
Met de risicoscore (kans * impact) kun je een 'heatmap' voor behandeling maken. Daarbij beïnvloeden keuzes en perceptie van de organisatie de kwalificering van kans en impact (maar niet de acceptatie, zie hieronder).
### Herbeoordelen van de IB-risico's
Aansluiten van de IB-risico's op de AVG:
1. Matchen van de scope (qua OvC en Toepassingsgebied)
2. Herbeoordelen van de impact[^3] van bedreigignen vanuit het perspectief van de betrokkenen
3. Opnieuw die risico's evalueren
### Beheersmaatregelen bepalen
Als de organisatie centraal staat, zijn de generieke risicostrategieën:
- Vermijden
- Mitigeren / afzwakken
- Accepteren
- Overdragen / delen
Die laatste is niet passend vanuit het belang van de betrokkene, omdat zij het belang van de organisatie centraal stelt (voor de betrokkene blijft het risico bestaan).
**M.b.t. acceptatie**
BC 5701 §7.2.a bepaalt dat *alle* privacyrisico's teruggebracht moeten worden tot het niveau 'verwaarloosbaar of beperkt' pas dan mogen ze geaccepteerd worden.
Acceptatie van een risico *groter dan beperkt* vereist een onderbouwing waaruit blijkt dat:
- het risico niet met redelijke middelen verder verlaagd kan worden
- de belangen van de verwerking (sic) evident zwaarder wegen dan de belangen van de betrokkenen.
Voor risico's met een CNIL risicoscore >= 8 moet een *voorafgaande* raadpleging worden gedaan. *Zie sheet 142, en Bijlage 6 voor normering*.
Het belangrijkste criterium voor de selectie van beheersmaatregelen is de effectiviteit m.b.t. het terugdringen van de privacyrisico's.
### Risicobehandelplan opstellen
Twee doelen:
- goedkeuring voor uitvoering verkrijgen van het verantwoordelijke management
- voorbereiden van effectieve risicobeheersing
Het behandelplan bestaat uit een risico-deel en een maatregel-deel.
Het doel van het **risico-deel** is het operationeel managen van het risico. Dit deel bevat:
1. Risicodoelstelling
2. De ratio tussen risico en maatregelen
3. Monitoring en evaluatie van het (rest)risico
4. Verantwoordelijkheden m.b.t. het risico
5. Goedkeuring risicobehandeling
Het doel van het **maatregel-deel** is het operationeel managen van de maatregel. Dit deel bevat:
1. Maatregeldoelstelling
2. Eventuele nieuwe risico's
3. Uit te voeren activiteiten
4. Benodigde mensen en middelen
5. Planning van de activiteiten
6. Monitoring en evaluatie van de beheersmaatregel
7. Verantwoordelijkheden t.a.v. de activiteiten
### Documentatie van de RM-uitvoeringsfase
Zie Bijlage 5.
### Categorieën van privacy impact
Zie Bijlage 7.
[^1]: Als je persoonsgegevens verwerkt creëer je *altijd* risico's. Voorbeelden zijn de casus van fitness apps in gebruik bij militairen in een conflictgebied, en publiceren op social media (secundaire verwerking is een inherent risico).
[^2]: zie bijlagen 2 t/m 4 van Tab 5: Privacy schendingen van Daniel Solove, Kwetsbaarheden van ondersteunende bedrijfsmiddelen van de CNIL, Onvoorzien eigenlijk gebruik van Piims.
[^3]: de kans wordt niet gewijzigd door de verandering van perspectief
[^4]: bestaande checklists hebben twee beperkingen: ze beschouwen de verwerking als een gegeven, en zijn niet gericht op inherente privacy risico's

55
Corpus/Standards/BC 5701/BC5701_Training_Tab_06_BI.md Normal file
View file

@ -0,0 +1,55 @@
---
Version: "2022"
---
# Beoordelen van de implementatie (audit)
De standaard heeft 3 bouwblokken:
- **het managementsysteem**: focus op procesbeheersing moet passend zijn bij de organisatie
- **de AVG**: focus op rechtmatigheid goed of fout
- **de IB-norm**: focus op bescherming risicogebaseerd, technisch
*Zie: sheet op p.3, 'Ieder bouwblok zijn eigen benadering'.*
## Opzet, bestaan en werking
Implementaties worden beoordeeld op opzet, bestaan en werking.
- Opzet: is de uitwerking van de implementatiecriteria passend bij de organisatie? *-> zie sheet p. 4*
- Bestaan: is de opzet goed geïmplementeerd? Is duidelijk wat er moet gebeuren? Zijn er templates, registers en stappenplannen? *-> zie eerste sheet p. 5*
- Werking: is de implementatie goed geoperationaliseerd? Wordt het ook uitgevoerd? Is er verslaglegging? Zijn de registers up-to-date? *-> Zie tweede sheet p. 5*
*Zie ook de Checklist op p.6*
### Focus bij beoordelingen
- Bij de **Implementatie** ligt de focus op Werking
- Bij de **interne audit** ligt de focus op Bestaan en Werking
- Bij de **certificatie audit** ligt de focus op Opzet, Bestaan en Werking.
De certificatie audit bestaat uit twee fasen. In Fase 1 wordt vooral gekeken naar de Opzet. In Fase 2 wordt gekeken naar Bestaan en Werking.
Als Fase 1 teveel fouten laat zien, wordt niet gestart met Fase 2.
*Zie ook sheets p.8*
### Twee niveaus van fouten
Fout-A: handelen of nalaten in strijd met de AVG of andere van toepassing zijnde wet- en regelgeving, en direct van invloed op rechten en vrijheden van betrokkenen
Fout-B: idem, maar *niet* direct van invloed op ...
### Twee niveaus van afwijkingen
NC-A: afwijking is van invloed op het vermogen van de organisatie om de beoogde resultaten te behalen.
NC-B: een afwijking die *niet* van invloed is op ...
## Productcertificering
*Sheets op pp. 12 en 13*
Dat de BC 5701 een productcertificering is, heeft gevolgen voor de audit.
De wetgever wil een hoge mate van zekerheid m.b.t. compliance t.a.v. alle uitvoeringseisen, in alle gevallen. Hiervoor is een statistisch onderbouwde steekproef nodig.
Als de Opzet (de uitwerking van de implementatiecriteria) van hoge kwaliteit is, d.w.z. aan alle wettelijke eisen voldoet, kan de steekproef kleiner zijn. Bij een perfecte opzet is n=1 theoretisch voldoende.

16
Corpus/Standards/BC 5701/BC5701_Training_Tab_07_O.md Normal file
View file

@ -0,0 +1,16 @@
---
Version: "2022"
---
# Organisatorische aspecten van de implementatie
*Zie ook document Organisatorische succes- en faalfactoren*
Sheets in de cursusmap behandelen:
- samenstelling leidende coalitie (p.2)
- impact op de organisatie (p.2)
- veranderen / [Theory of planned behavior](../../📚️%20Literature%20notes/Theory%20of%20planned%20behavior.md) [^1] (p.3)
- borging in de organisatie (p.4)
[^1]: Icek Ajzen

8
Corpus/Standards/BC 5701/BC5701_Training_Tab_08_PD.md Normal file
View file

@ -0,0 +1,8 @@
---
Version: "2022"
---
# Tab 8. Privacy by design
Zie [§7.5 Privacy by design & by default](BC5701_H7_Bescherming.md#7.5%20Privacy%20by%20design%20&%20by%20default)

11
Corpus/Standards/BC 5701/BC5701_Training_Tab_09_VW.md Normal file
View file

@ -0,0 +1,11 @@
---
Version: "2022"
---
# Verwerkingsketen
Zie [§6.3](BC5701_H6_Verwerkingen.md#6.3%20Documenteren%20van%20verwerkingen) en [§6.4](BC5701_H6_Verwerkingen.md#6.4%20Rolbepaling%20in%20de%20keten%20van%20verwerkingen).
Let op bij het uitwerken van de verwerkingsketen:
- partijen die géén persoonsgegevens ontvangen zijn buiten scope!
- rollen zijn: Betrokkene, Verwerker, Verwerkingsverantwoordelijke, Gezamenlijk verwerkingsverantwoordelijke, en Derde partij.
- als het verwerkingsscenario wijzigt, kunnen de partijen en hun rollen wijzigingen: dat moet dan als een aparte verwerkingsketen worden beschouwd. Werk de keten dus per verwerkingsscenario uit.

16
Corpus/Standards/BC 5701/BC_5701_Hoofstukken_Normtekst.md Normal file
View file

@ -0,0 +1,16 @@
---
Version: "2022"
---
# Hoofstukken Normtekst
[Inleiding en achtergrond](BC5701_Inleiding_en_achtergrond.md)
**Inhoudelijke eisen op hoofdlijnen (H4-9):**
- [Hoofdstuk 4](BC5701_H4_Context.md) - vaststellen van de context waarbinnen de standaard wordt toegepast;
- [Hoofdstuk 5](BC5701_H5_Gegevensbescherming.md) - eisen op organisatieniveau m.b.t. de toepassing van de AVG en deze standaard;
- [Hoofdstuk 6](BC5701_H6_Verwerkingen.md) - eisen m.b.t. het initieel opzetten van verwerkingen;
- [Hoofdstuk 7](BC5701_H7_Bescherming.md) - eisen m.b.t. technische en organisatorische maatregelen ter bescherming van de rechten en vrijheden van de betrokkenen;
- [Hoofdstuk 8](BC5701_H8_Uitvoeren.md) - eisen m.b.t. het uitvoeren en wijzigen van de verwerkingen;
- [Hoofdstuk 9](BC5701_H9_Managementsysteem.md) - eisen m.b.t. het managementsysteem.

25
Corpus/Standards/BC 5701/BC_5701_Lead_Implementer_Training.md Normal file
View file

@ -0,0 +1,25 @@
---
Version: "2022"
---
# Cursusmap
[Tab 1. Object van certificering en toepassingsgebied](BC5701_Training_Tab_01_OvC.md)
[Tab 2. Juridische vaststellingen en eisen](BC5701_Training_Tab_02_JV.md)
[Tab 3. Managementsysteem en beleid](BC5701_Training_Tab_03_MS.md)
[Tab 4. Documenteren van de verwerking](BC5701_Training_Tab_04_DV.md)
[Tab 5. Risicomanagement](BC5701_Training_Tab_05_RM.md)
[Tab 6. Beoordelen van de implementatie](BC5701_Training_Tab_06_BI.md)
[Tab 7. Organisatorische aspecten van de implementatie](BC5701_Training_Tab_07_O.md)
[Tab 8. Privacy by design](BC5701_Training_Tab_08_PD.md)
[Tab 9. Verwerkers](BC5701_Training_Tab_09_VW.md)
[[BC5701_Training_Tab_10_EB|Tab 10. Eigen bijlagen]]