Vault restructure

AuditGlue/GIS-content-map.md

@@ -22,7 +22,7 @@
 	- m400s040: [[iso27diy-m300s510|m300s510]]:  **SWOT analysis** ([C4.1](../Corpus/Standards/MoCs/ISO_27001_2022_4.1_MoC%20Understanding%20the%20organization%20and%20its%20context.md))
 	- m400s050: Stakeholder Analysis ([C4.2](../Corpus/Standards/MoCs/ISO_27001_2022_4.2_MoC%20Understanding%20the%20needs%20and%20expectations%20of%20interested%20parties.md))
 	- **m410:Organizational Structures**
-		- [Introduction for Organizational Structures](../../🎇%20Sparks/Introduction%20for%20Organizational%20Structures.md)
+		- [Introduction for Organizational Structures](../Corpus/🎇%20Sparks/Introduction%20for%20Organizational%20Structures.md)
 		- Organizational processes ([C4.1](../Corpus/Standards/MoCs/ISO_27001_2022_4.1_MoC%20Understanding%20the%20organization%20and%20its%20context.md))
 		- Organization Chart ([C4.1](../Corpus/Standards/MoCs/ISO_27001_2022_4.1_MoC%20Understanding%20the%20organization%20and%20its%20context.md))
 		- Job architecture ([C4.1](../Corpus/Standards/MoCs/ISO_27001_2022_4.1_MoC%20Understanding%20the%20organization%20and%20its%20context.md))
@@ -47,7 +47,7 @@
 	- Resources ([C7.1](../Corpus/Standards/MoCs/ISO_27001_2022_7.1_MoC%20Resources.md)) 
 	- Competencies ([C7.2](../Corpus/Standards/MoCs/ISO_27001_2022_7.2_MoC%20Competence.md))
 	- Documentation ([A5.33](../Corpus/Standards/MoCs/ISO_27002_2022_5.33_MoC%20Protection%20of%20records.md), [C7.5.2](../Corpus/Standards/MoCs/ISO_27001_2022_7.5.2_MoC%20Creating%20and%20updating.md))
-	- Policies ([A5.1](../../🧱%20Projects/iso27DIY%20mk%20I/ISO_27002_2022_5.1_MoC%20Policies%20for%20information%20security.md))
+	- Policies ([A5.1](../Corpus/Standards/ISO27x/archive/iso27DIY%20mk%20I/ISO_27002_2022_5.1_MoC%20Policies%20for%20information%20security.md))
 	- Review calendar ([A5.35](../Corpus/Standards/MoCs/ISO_27002_2022_5.35_MoC%20Independent%20review%20of%20information%20security.md), [C7.5.2](../Corpus/Standards/MoCs/ISO_27001_2022_7.5.2_MoC%20Creating%20and%20updating.md))
 	- Communication and Awareness ([C7.3](../Corpus/Standards/MoCs/ISO_27001_2022_7.3_MoC%20Awareness.md), [C7.4](../Corpus/Standards/MoCs/ISO_27001_2022_7.4_MoC%20Communication.md))
 - **m700: Securing the Business**

AuditGlue/System alternative/Using AI to create policies.md

@@ -22,7 +22,7 @@ Examples:
 4. develop interventions based on these differences
 
 **Threat analysis**
-- do a threat analysis, see [Create a threat analysis chatbot](../../Drafts%20and%20Ideas/Controls/Create%20a%20threat%20analysis%20chatbot.md)
+- do a threat analysis, see [Create a threat analysis chatbot](../../Corpus/💡Drafts%20and%20Ideas/Controls/Create%20a%20threat%20analysis%20chatbot.md)
 
 
 **Policy drafting**

AuditGlue/iso27DIY content modules.canvas

@@ -429,7 +429,7 @@
 			"width":340,
 			"height":80
 		},
-		{"id":"6c394a4088d586b3","type":"file","file":"📎 Attachments/Canvas Cyclus.png","x":382,"y":620,"width":278,"height":200},
+		{"id":"6c394a4088d586b3","type":"file","file":"iso27diy-corp/Corpus/📎 Attachments/Canvas Cyclus.png","x":382,"y":620,"width":278,"height":200},
 		{
 			"id":"1e6b25bf6dcb833e",
 			"type":"text",
@@ -470,8 +470,8 @@
 			"width":1068,
 			"height":60
 		},
-		{"id":"ddfc9917c2c7fc66","type":"file","file":"📎 Attachments/Canvas Cyclus.png","x":-408,"y":620,"width":278,"height":200},
+		{"id":"ddfc9917c2c7fc66","type":"file","file":"iso27diy-corp/Corpus/📎 Attachments/Canvas Cyclus.png","x":-408,"y":620,"width":278,"height":200},
-		{"id":"27d02011ccccb4c0","type":"file","file":"📎 Attachments/Canvas Cyclus.png","x":-19,"y":620,"width":278,"height":200}
+		{"id":"27d02011ccccb4c0","type":"file","file":"iso27diy-corp/Corpus/📎 Attachments/Canvas Cyclus.png","x":-19,"y":620,"width":278,"height":200}
 	],
 	"edges":[],
 	"metadata":{

Canvas Method/Blogpost - NIS 2 en de Canvas Methode.md

@@ -0,0 +1,14 @@
+# Is jouw organisatie klaar voor NIS-2? Een slimmere manier van risicomanagement
+Concept, 22 september 2025 
+
+Op 16 januari 2023 is de NIS 2, de Europese richtlijn voor de veiligheid van netwerken en informatie, in werking getreden. Het voorstel voor de Nederlandse omzettingswet (de Cyberbeveiligingswet, Cbw) is in juni 2025 ingediend bij de Tweede Kamer, met de bedoeling deze in het tweede kwartaal van 2026 in werking te laten treden.
+
+De Cbw bevat een lijst met verplichte technische, personele en beleidsmatige maatregelen, waarvan de allereerste is: *beleid inzake risicoanalyse en beveiliging van informatiesystemen*. De Cbw verwacht daarbij "een benadering die alle gevaren omvat" (Art. 21.3), met beveiligingsmaatregelen die zijn "afgestemd op de risico's".
+
+Hiermee wordt de kern van de NIS 2 benadrukt, namelijk dat de organisatie een 'robuust' proces voor risicomanagement inricht, waarin de cyclus van risico-identificatie, -analyse, treffen van maatregelen, beoordeling van de effectiviteit, en het aanbrengen van verbetering periodiek doorlopen wordt (een PDCA-cyclus).
+
+De Canvas Methode biedt een laagdrempelige en aantrekkelijke aanpak om risico's in kaart te brengen, te prioriseren, maatregelen vast te stellen en de effectiviteit daarvan te beoordelen. De Canvas Methode gebruikt daarbij een workshop benadering, waardoor een dialoog ontstaat over risico's en maatregelen, waarbij medewerkers uit verschillende organisatieonderdelen betrokken worden. Dat zorgt er voor dat niet alleen de 'bekende risico's' besproken worden (phishing, ransomware, hacking, etc.) maar ook de risico's die aanwezig zijn in de bedrijfsprocessen en de informatieverwerkende ketens.
+Zo wordt ook bijgedragen aan een cultuur van risicobewustzijn en veiligheid.
+
+TrustBound heeft deze Canvas Methode geïntegreerd in de XYZ-module, waardoor de workshops nu ook digitaal gegeven kunnen worden, waarbij de risico's, maatregelen en effectiviteitsbepaling ook meteen doorvloeien naar ABC.
+

Canvas Method/Canvas Method Index.md

@@ -0,0 +1 @@
+[Blogpost - NIS 2 en de Canvas Methode](Blogpost%20-%20NIS%202%20en%20de%20Canvas%20Methode.md)

Canvas Method/Polls voor Marketing Canvas Methode.md

@@ -0,0 +1,109 @@
+# Polls voor Marketing Canvas Methode
+
+## Suggesties Suzanne Snoeijink, Trustbound, 22 september 2025
+
+**Awareness-fase: maak doelgroep bewust van blinde vlek:** 
+“Wat is volgens jou de grootste blinde vlek in risico-analyses?”
+- [ ] Menselijk handelen
+- [ ] IT-risico’s
+- [ ] Procesfouten
+- [ ] Iets anders
+
+**Waar zit precies het probleem:**
+“Wat is voor jou de grootste uitdaging bij het uitvoeren van een risico-analyse?”
+- [ ] Risico’s concreet maken
+- [ ] De juiste mensen betrekken
+- [ ] Maatregelen kiezen
+- [ ] Resultaten opvolgen
+--> Hopelijk levert dit wat comments op.
+
+
+**Wat is de gewenste oplossing:**
+“Wat zou jou het meest helpen bij risico-analyses?”
+- [ ] Workshop met team
+- [ ] Praktische tool
+- [ ] Checklist/stappenplan
+- [ ] Anders
+ --> Kan jij kijken of de antwoorden in deze laatste poll beter kunnen? 
+
+## Suggesties Gemini
+
+Om inzicht te krijgen in de grootste uitdagingen van professionals die werken met risicoanalyses binnen frameworks als NIS 2 en ISO 27001, zijn hier enkele meerkeuzevragen. Elke vraag richt zich op een specifiek pijnpunt, en één van de antwoorden verwijst naar een oplossing die past bij de **Canvas Methode voor Risicomanagement**.
+
+**Vraag 1: Over de betrokkenheid van collega's**
+
+Welke van de volgende uitdagingen ervaart u het meest met betrekking tot de betrokkenheid van collega’s bij risicoanalyses?
+
+A. Het is moeilijk om input te krijgen van andere afdelingen; risicoanalyse wordt vaak gezien als een taak van de compliance- of IT-afdeling.
+
+B. Er is een gebrek aan eigenaarschap en opvolging van de risico's die zijn geïdentificeerd.
+
+C. De focus ligt op het afvinken van de checklist, in plaats van op een betekenisvolle discussie.
+
+D. Het is een uitdaging om van een statische analyse over te stappen naar een gedeelde dialoog waar iedereen bij betrokken is.
+
+
+**Vraag 2: Over de complexiteit en het nut van risicoanalyses**
+
+Wat is uw grootste zorg over de toegevoegde waarde van risicoanalyses binnen de organisatie?
+
+A. Het management ziet de analyse als een verplicht nummer en heeft weinig interesse in de resultaten.
+
+B. De resultaten worden niet of nauwelijks gebruikt om strategische beslissingen te ondersteunen.
+
+C. De analyse is een tijdrovend proces met veel administratieve overhead en spreadsheets.
+
+D. De analyse staat los van de bredere bedrijfsdoelstellingen en draagt niet zichtbaar bij aan het beschermen van bedrijfswaarde.
+
+
+**Vraag 3: Over de communicatie en visualisatie van risico's**
+
+Welk aspect van de communicatie van risico's naar stakeholders (management, directie) vindt u het meest problematisch?
+
+A. Het is lastig om de complexiteit van risico's uit te leggen in begrijpelijke, niet-technische taal.
+
+B. De rapporten en presentaties zorgen voor "glazige ogen" en verliezen snel de aandacht.
+
+C. Er is geen eenduidige manier om de status van risico's en de effectiviteit van maatregelen te visualiseren.
+
+D. Ik heb behoefte aan een visueel, interactief instrument dat de risicoanalyse omzet in een heldere, strategische dialoog.
+
+
+**Vraag 4: Over de methodologie en aanpak**
+
+Welke van de volgende methodologische problemen ervaart u het meest?
+
+A. De kwantificering van risico's (kans versus impact) voelt vaak willekeurig en subjectief aan.
+
+B. Er is geen duidelijke, systematische aanpak om te zorgen dat alle relevante risico’s worden geïdentificeerd.
+
+C. De risicoanalyse wordt gezien als een eenmalige gebeurtenis in plaats van een continu proces.
+
+D. Ik zou graag willen werken met een methode die risico's direct koppelt aan de strategische doelen en activiteiten van de organisatie.
+
+## Mijn suggesties
+
+**Welke problemen herken je bij het identificeren van risico’s?**
+
+- afdelingen zien het als een verplichte oefening
+- Er is te weinig bewustzijn van risico’s
+- Het blijft hangen in cliché’s als ‘klikken op verkeerde links’ en ‘briefjes met wachtwoorden’
+- Het wordt gezien als eenmalige gebeurtenis, niet als proces
+- Het ontbreekt aan een systematische aanpak
+
+**Wat zijn de grootste manco's van risicomanagement binnen uw organisatie?**
+
+- Weinig aandacht voor de resultaten
+- Te weinig sturing op de opvolging van de uitkomsten
+- Te weinig terugkoppeling over de effectiviteit van maatregelen
+- Er wordt geen capaciteit voor vrijgemaakt
+- De meerwaarde is niet duidelijk voor management en werkvloer
+- Risico’s worden ‘over de schutting gegooid’, het is een probleem voor de compliance- of IT-afdeling.
+
+**Welke problemen ervaar je met het overbrengen van de resultaten?**
+
+- De risicoscores voelen willekeurig en subjectief aan
+- Een lijst met risico’s en getallen geeft geen gedragsverandering
+- Het is lastig risico’s te koppelen aan organisatiedoelen
+- Afdelingen nemen geen verantwoordelijkheid over de maatregelen
+

Canvas Method/RM WP Betrekken lijn.md

@@ -0,0 +1,73 @@
+# Hoe betrek je de Lijn bij Risicomanagement
+*Doelgroep: middle management, m.n. IT en Compliance*
+
+Organisaties worstelen met eigenaarschap van informatieveiligheid. Vaak blijft het een zorg voor de bestuurder en de verantwoordelijkheid van de IT manager. - hoe vaak is informatievei onderwerp van gesprek en beoordeling bij andere managers dan IT?
+
+Wetgeving en normenkaders als de NIS 2, de Cyberbeveiligingswet, de ISO 27001/NEN 7510, de IBP-FO, de NIS 2 en de AVG: Het managen van deze risico's is uiteindelijk een verantwoordelijkheid van de bestuurder. 
+
+
+
+Een van de meest bekende is het periodiek laten uitvoeren van een 'Pen-test', of penetratietest, door een gespecialiseerd bureau. Met technische middelen wordt getracht kwetsbaarheden te vinden in de technische infrastructuur van de organisatie. Het resultaat is een rapportage waarin de gevonden (technische) kwetsbaarheden benoemd worden, met een prioriteitsindicatie en een aanbeveling voor het verhelpen van de kwetsbaarheid in kwestie.
+
+We kunnen ook audits laten uitvoeren op de organisatie van de IT functie. We kunnen daartoe interne auditors trainen, of externe auditors inhuren, en die laten onderzoeken in hoeverre er adequaat beleid voorhanden is, en of de dagelijkse praktijk strookt met het beleid. Dat gebeurt meestal door het onderzoeken van documentatie en het houden van interviews met bij de beleidsvorming en uitvoering betrokken medewerkers. Aan het eind is er een rapport waarin lacunes in beleid behandeld worden, en gevallen waarin de uitvoering van het werk niet overeenkomt met wat in het beleid beschreven is, en situaties waarin de controle op navolging van het beleid tekortschiet. 
+
+Een ander middel is de inzet van zogenaamde mystery guests: personen die zich voordoen als een ander, meestal een medewerker, klant of leverancier, en zo proberen informatie los te krijgen, of toegang te krijgen tot fysieke locaties, om op deze manier zwakke plekken in de beveiliging te vinden. Ook hier volgt een rapportage met tekortkomingen en aanbevelingen.
+
+Al deze instrumenten hebben één ding gemeen: ze zetten de organisatie, en haar medewerkers, in een passieve rol. Er komt een deskundige, met meer verstand van zaken dan wijzelf, de boel eens goed doorlichten. We onderwerpen ons daaraan, geven de gevraagde toegang, antwoorden als we gevraagd worden. Misschien zijn we een beetje zenuwachtig, de deskundige gaat tenslotte oordelen over onze prestaties, misschien halen we de scherpe randjes er een beetje af voor we antwoorden. Dan trekt de deskundige zich terug, en komt na enige tijd met zijn/haar conclusies. We voeren verbeteringen door en halen opgelucht adem: dat was 't dan weer, terug aan het werk, blij dat het ons vak niet is.
+
+
+Risico's voor informatieveiligheid vormen een zorgpunt voor het bestuur van de organisatie
+
+Voor de bestuurder van een organisatie zijn risico's . Niet voor niets is risicomanagement het kernproces van frameworks en normenkaders als de ISO 27001/NEN 7510, de IBP-FO, de NIS 2 en de AVG. Het procesmatig beheersen van risico's betekent dat je risico's identificeert, passende maatregelen implementeert, de effectiviteit daarvan bewaakt, en indien nodig verbeteringen aanbrengt: de bekende PDCA cyclus. In alle fasen is het belangrijk om grondig te werk te gaan, en dat geldt zeker voor de eerste fase: het identificeren van risico's. De grootste verrassingen in negatieve zin komen voort uit onbekende of onbelichte risico's.
+
+Er zijn drie manieren waarop we ervoor kunnen zorgen dat ook de onbelichte risico's de juiste aandacht krijgen, die in gezamenlijkheid zorgen voor een Cultuur van Informatieveiligheid: (1) bevorder het bespreken en melden van risico's, (2) bevorder eigenaarschap van risico's en risicomanagement, en (3) zorg voor cyclisch risicomanagement, dan in de organisatie geborgd is.
+
+## Bevorder bespreken en melden van risico's
+Het is belangrijk dat medewerkers weten dat het melden van risico's gewaardeerd wordt, en dat ze ook duidelijk terugkoppeling krijgen over wat er aan het risico gedaan wordt. Dat laatste liefst specifiek: een algemene dooddoener als 'bedankt voor het melden, we gaan er mee aan de slag' is onvoldoende. Maak duidelijk hoe het risico verder bekeken gaat worden, en op een later moment wat de eventuele maatregel wordt, en waarom daarvoor gekozen is. Het is ook belangrijk dat de medewerker hierin betrokken wordt; dit komt verder aan de orde onder Eigenaarschap.
+
+We kunnen hiervoor dingen gebruiken 
+
+Om te zorgen dat risico's besproken en gemeld worden,
+- cultuur
+- communicatie
+- petrochemische industrie, bouw
+- zorg: LEAN
+
+https://www.rie.nl
+https://business.gov.nl/staff/health-and-safety/drawing-up-a-risk-assessment-and-evaluation-rie-a-step-by-step-plan/
+## Bevorder eigenaarschap van risico's en risicomanagement
+
+
+## Zorg voor cyclisch risicomanagement
+
+
+**Oorzaak 1: 'Risicomanagement is een zaak van professionals' – cultuur probleem**
+
+- Scans (zoals een Pen-test) en Audits zijn traditionele instrumenten om risico's in kaart te brengen. Ze zijn echter kostbaar en hebben ook andere nadelen
+- De deskundige onderzoekt en observeert, en produceert een rapport met acties en aanbevelingen, meestal aangeboden aan de IT manager, die dan de schone taak krijgt om het op te pakken. Het zet de organisatie in een reactieve rol. Mgrs en medewerkers voelen zich geen eigenaar van het probleem.
+
+- Een externe beschouwer 'steekt de thermometer erin' en ziet de symptomen, maar de patient wordt niets gevraagd. (deze analogie kan beter)
+- dit maakt de organisatie en medewerkers reactief t.o.v. risicobeheersing (zaak van professionals)
+- krijgen geen verantwoordelijkheid
+- gevolgen:
+	- herkennen eigen agency niet
+	- kennis van mensen die 'in de processen zelf' zitten wordt niet meegenomen – alleen de door de professionals gesignaleerde risico's
+-> grote blinde vlek
+
+Naast het onbelicht blijven van risico's zien we in veel organisaties het probleem van 'not my problem' ook doordat managers risicomanagement op informatieveiligheid niet 'binnen hun scope' zien. Ze worden er niet op afgerekend, en krijgen er geen budget voor. Terwijl ze wel worden aangesproken op bijv. een veilige werksfeer, inzetbaarheid van medewerkers, en commerciele of financiele resultaten. Zo niet voor informatieveiligheid: De verantwoordelijkheid is immers geparkeerd bij een staffunctie. En waar het puur technische risico's betreft is dat logisch: de IT afdelinng heeft de kennis en de middelen. Maar we hebben juist gezien, dat risico's (en datalekken!) ontstaan uit processen. En die vallen wel degelijk binnen de management scope.
+
+**Oorzaak 2: project-denken (we hebben een AVG project gedaan )**
+Nieuwe regulering -> project -> maatregelen -> risico's gemanaged
+niet-cyclisch, nieuwe risico's blijven liggen tot het volgende project
+Maar: dag-dagelijkse realiteit van continue improvisatie. 
+De resultaten van de pen test en de audits vinden kwetsbaarheden in de techniek en de beschreven organisatiestructuur en -processen. Ze vinden afwijkingen van eerder beschreven  procedures, waar ze niet worden uitgevoerd zoals beschreven, maar niet welke handelswijzen er op de werkvloer zijn ontstaan, doordat mensen moeten improviseren. 
+
+
+
+## Oplossingen
+- zorg voor cyclisch
+- betrek de smedewerkers, bijv in workshop sessies waarin ze actief participeren in het herkennen van risico's en het zoeken naar maatregelen.
+- zorg voor de structuur waarin dat gebeurt
+- maak het gesprek over risico's en de (effectieve) behandeling ervan onderdeel van de management cyclus. (zie maicrosoft )
+
+Uioteraard blijft d3 harde techniek voor de IT en securituy professionals, maar zet mensen in hun kracht.

Canvas Method/RW WP NIS 2 Blinde vlek.md

@@ -0,0 +1,59 @@
+
+
+# Hoe voorkom je dat je risico's mist?
+
+*Ondanks forse investeringen in informatiebeveiliging zien organisaties zich geconfronteerd met datalekken en cyberaanvallen, meestal door onbelichte kwetsbaarheden. De gangbare manieren om risico's te identificeren hebben blijkbaar blinde vlekken. Hoe komt dat, en wat is eraan te doen?*
+
+Verstandige organisaties richten hun informatiebeveiliging in, om zich te beschermen tegen relevante risico's. Er zullen weinig organisaties van omvang zijn die ransomware, phishing en social engineering niet op het netvlies hebben. Naast deze bedreigingen door steeds professioneler handelende externe partijen, ontstaan er ook risico's door onzorgvuldig handelen en 'insider threats', bijv. door (ex-) medewerkers die hun gram willen halen. Al deze risico's hebben gemeen dat er, bewust of onbewust, gebruik wordt gemaakt van kwetsbaarheden in de bedrijfsvoering, met mogelijk schade als gevolg. 
+
+Om de risico's beheersbaar te maken, moeten we de kwetsbaarheden in kaart hebben. Organisaties kunnen daarvoor verschillende middelen inzetten.
+
+Een van de meest bekende is het periodiek laten uitvoeren van een 'Pen-test', of penetratietest, door een gespecialiseerd bureau. Hier trachten specialisten kwetsbaarheden te vinden in de technische infrastructuur van de organisatie. In pentest-rapportages vinden we kwetsbaarheden als verouderde softwareversies, verkeerd geconfigureerde database-toegang, en systeemwachtwoorden in configuratiebestanden. Hiermee hebben we de technische kwetsbaarheden in beeld.
+
+We kunnen ook audits laten uitvoeren op het managementsysteem voor de informatiebeveiliging. Daarbij wordt gekeken naar lacunes in de beleidsvorming m.b.t. informatiebeveiliging, gevallen waarin de implementatie van de maatregelen niet overeenkomt met wat in het beleid beschreven is, en situaties waarin de controle op naleving van het beleid tekortschiet. Hiermee vinden we organisatorische kwetsbaarheden en afwijkingen ten opzichte van de beschreven werkelijkheid.
+
+Maar in iedere organisatie zijn er processen en incidentele verwerkingen die de beschreven werkelijkheid nooit halen. Zowel in de IT organisatie als in het primaire proces. In alle delen van de organisatie. Dat komt omdat ze organisch ontstaan, meestal als gevolg van veranderende of onverwachte omstandigheden, soms als gevolg van onwerkbare procedures. Enkele voorbeelden:
+- Een kinderopvang-organisatie moet de opvang-uren per kind rapporteren aan verschillende gemeentes in de regio. Volgens beleid moet dit met versleutelde bestanden. Een deel van de gemeentes lukt het structureel niet om de bestanden te openen, de deadline nadert. De bestanden worden naar die gemeentes onversleuteld verstuurd, om problemen met toeslagen te voorkomen. Dit wordt de gangbare werkwijze. 
+- De Nederlandse Zorgautoriteit (NZa) haalt de landelijke pers als blijkt dat een voor iedereen toegankelijke netwerkschijf vol staat met vertrouwelijke dossiers. De schijf, ooit bedoeld als vrije plek om bijv. foto's van bedrijfsuitjes te delen, werd al snel gebruikt als noodoplossing om gemakkelijk omvangrijke werkbestanden te delen met collega's.
+- De röntgenscanner van een zelfstandig behandelcentrum koppelt, na een door de fabrikant uitgevoerde software-update, niet meer met het EPD. De patiëntnummers worden handmatig overgenomen om de relatie tussen dossier en foto's te behouden.
+- Omdat de werkstations in de Operatiekamers zeer traag opstarten, logt de secretaresse iedere ochtend alvast alle artsen in, zodat ze meteen aan het werk kunnen. Daarvoor heeft ze alle wachtwoorden in haar agenda geschreven.
+
+Al deze kwetsbaarheden hebben iets gemeen, namelijk dat ze voortkomen uit improvisatie. Die improvisatie is nodig, omdat het werk doorgang moet vinden, en de omstandigheden doorgaans sneller veranderen dan systemen aankunnen. 
+
+Hoe kunnen we ook deze risico's in beeld krijgen en beheersen?
+
+## Participatief risicomanagement
+
+De oplossing ligt in het actief betrekken van medewerkers bij het risicomanagement, door hen 'in hun kracht te zetten', zoals dat in de gezondheidszorg genoemd wordt. Medewerkers moeten zich bewust worden van hun actieve rol bij het identificeren van risico's, het wegen van de ernst ervan (kans x mogelijke impact), en het samen met collega's bedenken van oplossingen – of dit nu binnen het eigen team kan, of met hulp van de IT-afdeling, leveranciers of ketenpartners.
+
+Een effectieve manier om dit te bereiken is door gestructureerde workshops te organiseren. In deze workshops doorlopen de deelnemers een aantal stappen die hen helpen om risico's systematisch in kaart te brengen.
+
+Allereerst worden de doelen van de organisatie en de doelen van de informatiebeveiliging besproken. Die kunnen verschillen per organisatie of per team. Een organisatie die sterk gericht is op marketing, zal het vrijelijk combineren van bestanden (beschikbaarheid en toegankelijkheid) mogelijk een hogere prioriteit geven dan vertrouwelijkheid. Voor een scholengemeenschap zal vertrouwelijkheid mogelijk op één staan, terwijl voor de verwerking van stemmen in de Tweede Kamerverkiezingen integriteit van gegevens het belangrijkste aspect is.
+
+Vervolgens komt de context van de afdeling of het team aan bod. Wie zijn de belangrijkste belanghebbenden? Welke veranderingen in de organisatie of de maatschappij hebben invloed op het werk? Is er nieuwe wet- en regelgeving, of veranderende organisatorische kaders, die invloed hebben op de informatieverwerking?
+
+Dan worden de belangrijkste werkzaamheden van het team besproken, voor wat betreft informatieverwerking. Waar komen gegevens vandaan, waar moeten ze naar toe, en welke systemen worden er gebruikt om de gegevens te bewerken?
+
+Nu de basis voor de dialoog is gelegd, kunnen de deelnemers aan de slag met de kern van de workshop: wat zijn de zaken waar men zich zorgen over maakt, betreffende informatieverwerking in relatie tot de doelen en de context? De risico's en de daaronder liggende kwetsbaarheden worden besproken, geclusterd en gewogen op kans en impact. Vervolgens worden de risico's gerangschikt op prioriteit.
+
+Tot slot bespreken de deelnemers wat er met die risico's moet gebeuren. Moeten er maatregelen op gezet worden? Kunnen ze vermeden worden door het werk anders in te richten? Of zijn ze acceptabel?
+
+De uitkomst van zo'n workshop is een inventarisatie van actuele risico's binnen de bedrijfsprocessen, ongeacht of dit formeel gemandateerde processen zijn, of improvisaties uit noodzaak. Naast de risico's zijn er concrete maatregelen benoemd, die geïmplementeerd kunnen worden en daarna op hun effectiviteit beoordeeld moeten worden.
+
+Door medewerkers op deze manier te activeren, worden ze 'eigenaar' van de risico's binnen hun eigen team. Ze gaan zich bewuster gedragen bij veranderingen: introduceer ik hier een nieuw risico? Is het nodig om anderen hierbij te betrekken? Wat kan ik hier zelf doen om de boel veilig te houden?
+
+Van belang is een goede verslaglegging van wat besproken is, en het delen van de resultaten met degenen die verantwoordelijk zijn voor de portefeuille informatiebeveiliging op organisatieniveau. Wanneer het implementeren van maatregelen moet gebeuren door, of met behulp van, andere afdelingen, moet het voor de deelnemers aan de workshop helder zijn, wat er met hun inbreng gebeurt. Daarvoor is het ook belangrijk dat het succes meetbaar wordt gemaakt.
+
+## Conclusie
+
+Pentests en audits zijn waardevolle instrumenten om technische en organisatorische kwetsbaarheden te identificeren, maar ze hebben een blinde vlek: de informele werkelijkheid op de werkvloer. Deze blinde vlek kan ingevuld worden door medewerkers actief te betrekken in het managen van risico's binnen hun eigen team of afdeling. Dit kan met gestructureerde workshops waarin een dialoog ontstaat over context, proces, risico's en maatregelen. 
+
+## Participatief risicomanagement in Trustbound GRC
+
+Trustbound heeft de door Thinking Security Works ontwikkelde Canvas Methode gedigitaliseerd binnen haar GRC-oplossing. Daarmee is het mogelijk om de workshops op een scherm te faciliteren, op een digibord in een workshopruimte of remote via Teams. Deelnemers kunnen hun inbreng delen via digitale post-its, terwijl de verslaglegging automatisch plaatsvindt. De afgesproken acties en actiehouders vloeien direct in het projectmanagement van TrustBound GRC, zodat de opvolging en voortgang gemonitord kunnen worden.
+
+## Voorbeelden en quotes
+Voorbeelden en quotes:
+- Het Haga-ziekenhuis haalt in september 2019 de pers, als dienstoverdrachten gevonden worden in een winkelwagentje: ze waren gebruikt als boodschappenbriefje.
+- "Het is voor onze gebruikers heel gemakkelijk om kwetsbaarheden in het proces te introduceren. Wij komen dat pas te weten als het fout gaat." – CISO van de Belastingdienst
+- "Oh, u bent van de automatisering? Als u wat wilt weten komt u maar bij mij hoor! Ik heb alle wachtwoorden van de chirurgen in mijn agenda staan." – Secretaresse van de OK.

Canvas Method/Zorgen en onzekerheden risicomanagement.md

@@ -0,0 +1,50 @@
+# Zorgen en onzekerheden m.b.t. risicomanagement
+
+- angst voor het missen/niet identificeren van risico’s, mede door continu wijzigende regelgeving
+- onzeker over juiste kwantificering (kans vs. impact)
+- onzekerheid over juiste aanpak
+- angst voor gebrek aan buy-in van management en werkvloer
+- angst dat het door het management gezien wordt als een af te vinken, verplicht nummer, zonder aandacht voor de resultaten, gezien als ‘cost center’
+- Angst voor een ’culture of complacency’: we benoemen de risico’s, maar er gebeurt toch niets mee – de risk professionals als Don Quixote
+- geen verbinding met de management cyclus.
+- geen inzichtelijkheid in het proces en de effectiviteit
+- angst voor complexe spreadsheets
+- versimpeling van het probleem (hoog/midden/laag)
+- zorgen over administratieve overhead
+- een spreadsheet met benoemde risico’s en getallen voor kans en impact is geen communicatief instrument, mensen krijgen er glazige ogen van.
+
+- Effectiviteit: leiden de resultaten tot acties?
+
+## Gemini AI suggestie voor de verlichting van deze zorgen m.b.v. de Canvas Methode
+De Canvas Methode voor Risicomanagement is, op basis van de analyse, een methode die direct bijdraagt aan het verlichten van de door u genoemde angsten, onzekerheden en pijnpunten. Hieronder wordt per punt uitgelegd hoe de methode een oplossing kan bieden.
+
+1. Angst voor het missen/niet identificeren van risico’s, mede door continu wijzigende regelgeving.
+De Canvas Methode biedt een gestructureerde aanpak die is gebaseerd op het Business Model Canvas. Door de negen bouwstenen van de organisatie te doorlopen, wordt een systematische risicoanalyse afgedwongen. Dit minimaliseert de kans dat een risico, zoals een datalek of een verandering in regelgeving, over het hoofd wordt gezien. Bovendien maakt de methode gebruik van een continue ‘Plan-Do-Check-Act’ (PDCA) cyclus, wat helpt om risico's die ontstaan door veranderingen in de regelgeving op te vangen.
+
+2. Onzeker over juiste kwantificering (kans vs. impact) & versimpeling van het probleem.
+De methode richt zich op het objectiveren van het 'onderbuikgevoel' van het management. In plaats van te verzanden in complexe numerieke berekeningen, wordt er een gestructureerde dialoog op gang gebracht over risico's en de effectiviteit van de controles. De methode stimuleert het creëren van prioriteiten op basis van reële risico's en hun impact op de bedrijfsdoelstellingen. Dit biedt een pragmatisch alternatief voor overdreven versimpelde kwantificering (zoals hoog/midden/laag) en helpt een gemeenschappelijk begrip te creëren.
+
+3. Onzekerheid over juiste aanpak.
+De Canvas Methode is een beproefde en gestructureerde aanpak. Het biedt een helder kader met vier canvassen (Risico-identificatie, Maatregelen, Volwassenheidsbord en Prestatie-evaluatie) die de verschillende fasen van risicobeheer begeleiden. Deze stappen zorgen voor een duidelijke routekaart, waardoor de onzekerheid over 'wat de volgende stap moet zijn' wordt weggenomen.
+
+4. Angst voor gebrek aan buy-in van management en werkvloer & angst voor een ‘culture of complacency’.
+Dit is een van de grootste troeven van de methode. Het is ontworpen als een workshop-gebaseerde aanpak die teams en leidinggevenden actief betrekt bij het identificeren en behandelen van risico's. Door gebruik te maken van een visueel canvas, worden abstracte concepten concreet en relevant voor iedereen, van de werkvloer tot het management. Dit leidt tot een verhoogd risicobewustzijn, eigenaarschap en het internaliseren van beleid, waardoor het risicomanagement niet als een opgelegd nummertje wordt gezien, maar als een gezamenlijke verantwoordelijkheid. Het verkleint de kans dat risico's worden benoemd maar er vervolgens niets mee wordt gedaan, omdat de verantwoordelijkheid breed wordt gedragen.
+
+ 5. Angst dat het door het management gezien wordt als een af te vinken, verplicht nummer, zonder aandacht voor de resultaten, gezien als ‘cost center’.
+Door de methode te verankeren in het Business Model Canvas, wordt risicomanagement direct verbonden met de strategische doelen van de organisatie. De focus verschuift van puur voldoen aan regelgeving naar het beschermen van bedrijfswaarde en het benutten van kansen. Dit helpt de perceptie van risicomanagement als een "cost center" te veranderen in een strategische business enabler.
+
+ 6. Geen verbinding met de managementcyclus.
+
+De methode is gebouwd rond de PDCA-cyclus, een erkend model voor continue verbetering dat naadloos aansluit bij de managementcyclus. De canvassen voor evaluatie en verbetering zorgen ervoor dat risicomanagement een continu proces is dat is geïntegreerd in de bedrijfsvoering, in plaats van een jaarlijkse of project-specifieke activiteit.
+
+ 7. Geen inzichtelijkheid in het proces en de effectiviteit.
+
+De visuele canvassen zorgen voor inzicht en transparantie. Het is direct zichtbaar welke risico’s zijn geïdentificeerd, welke maatregelen van toepassing zijn en wie de eigenaar is. De methode vereist ook het meten van de effectiviteit van de controles, waardoor het inzicht in de prestaties van het risicomanagement wordt vergroot.
+
+ 8. Angst voor complexe spreadsheets & zorgen over administratieve overhead.
+
+De Canvas Methode vervangt de complexe, onoverzichtelijke spreadsheets door een visueel en interactief hulpmiddel. Dit vermindert de administratieve overhead aanzienlijk en maakt het proces efficiënter en minder intimiderend.
+
+ 9. Een spreadsheet is geen communicatief instrument, mensen krijgen er glazige ogen van.
+
+Het visuele en collaboratieve karakter van de methode maakt het een krachtig communicatiemiddel. De canvassen zijn ontworpen om in teams te worden ingevuld, wat zorgt voor een dynamische en productieve dialoog. Dit staat in schril contrast met een statische spreadsheet, en helpt de informatie levendig en relevant te maken voor alle betrokkenen.

Corpus/MoCs/ISO_27001_2022_00_MoC Index EXT.md

@@ -15,7 +15,7 @@
 | 4.2     | [[ISO_27002_OT_4.2 Themes and attributes                                                         \| Themes and attributes                                                ]] |                                |
 | 4.3     | [[ISO_27002_OT_4.3 Control layout                                                                \| Control layout                                                       ]] |                                |
 | **5**   | **Organizational controls**                                                                                                                                                 |                                |
-| 5.1     | [Policies for information security                                     ](../../../../🧱%20Projects/iso27DIY%20mk%20I/ISO_27002_2022_5.1_MoC%20Policies%20for%20information%20security.md) | 05.1.1, 05.1.2                 |
+| 5.1     | [Policies for information security                                     ](../Standards/ISO27x/archive/iso27DIY%20mk%20I/ISO_27002_2022_5.1_MoC%20Policies%20for%20information%20security.md) | 05.1.1, 05.1.2                 |
 | 5.2     | [Information security roles and responsibilities                       ](ISO_27002_2022_5.2_MoC%20Information%20security%20roles%20and%20responsibilities.md) | 06.1.1                         |
 | 5.3     | [Segregation of duties                                                 ](ISO_27002_2022_5.3_MoC%20Segregation%20of%20duties.md) | 06.1.2                         |
 | 5.4     | [Management responsibilities                                           ](ISO_27002_2022_5.4_MoC%20Management%20responsibilities.md) | 07.2.1                         |

Corpus/MoCs/ISO_27001_2022_4.2_MoC Understanding the needs and expectations of interested parties.md

@@ -5,4 +5,4 @@
 [[ISO_27001_PE 4.2 Understanding the needs and expectations of interested parties\|Plain English]]
 
  
-[PECB Auditor training: Context of the organization](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/ISO%2027K/PECB%20Lead%20Auditor%20Training%2027001/PECB%2027001%20LA%20S05%20E01a%20-%20Context%20of%20the%20organization.md)
+[PECB Auditor training: Context of the organization](../Standards/ISO27x/PECB-Lead-Auditor-Training/PECB%2027001%20LA%20S05%20E01a%20-%20Context%20of%20the%20organization.md)

Corpus/MoCs/ISO_27001_2022_4.3_MoC Determining the scope of the information security management system.md

@@ -4,6 +4,6 @@
 
 [[ISO_27001_PE 4.3 Determining the scope of the information security management system\|Plain English]]
 
-[About the Statement of Applicability](../../../Drafts%20and%20Ideas/ISMS/About%20the%20Statement%20of%20Applicability.md)
+[About the Statement of Applicability](../💡Drafts%20and%20Ideas/ISMS/About%20the%20Statement%20of%20Applicability.md)
 
-[PECB Auditor training: Context of the organization](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/ISO%2027K/PECB%20Lead%20Auditor%20Training%2027001/PECB%2027001%20LA%20S05%20E01a%20-%20Context%20of%20the%20organization.md)
+[PECB Auditor training: Context of the organization](../Standards/ISO27x/PECB-Lead-Auditor-Training/PECB%2027001%20LA%20S05%20E01a%20-%20Context%20of%20the%20organization.md)

Corpus/MoCs/ISO_27001_2022_4.4_MoC Information security management system.md

@@ -4,4 +4,4 @@
 
 [[ISO_27001_PE 4.4 Information security management system\|Plain English]]
 
-[PECB Auditor training: Context of the organization](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/ISO%2027K/PECB%20Lead%20Auditor%20Training%2027001/PECB%2027001%20LA%20S05%20E01a%20-%20Context%20of%20the%20organization.md)
+[PECB Auditor training: Context of the organization](../Standards/ISO27x/PECB-Lead-Auditor-Training/PECB%2027001%20LA%20S05%20E01a%20-%20Context%20of%20the%20organization.md)

Corpus/MoCs/ISO_27001_2022_5.2_MoC Policy.md

@@ -6,5 +6,5 @@ The  information security policy as established by top management
 
 [[ISO_27001_PE 5.2 Policy\|Plain English]]
 
-[PECB Auditor training: Leadership](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/ISO%2027K/PECB%20Lead%20Auditor%20Training%2027001/PECB%2027001%20LA%20S05%20E01b%20-%20Leadership.md)
+[PECB Auditor training: Leadership](../Standards/ISO27x/PECB-Lead-Auditor-Training/PECB%2027001%20LA%20S05%20E01b%20-%20Leadership.md)
 

Corpus/MoCs/ISO_27001_2022_5.3_MoC Organizational roles, responsibilities and authorities.md

@@ -8,7 +8,7 @@ Top management specifically needs to assign responsibility and authority for ens
 
 [[ISO_27001_PE 5.3 Organizational roles, responsibilities and authorities\|Plain English]]
 
-[PECB Auditor training: Leadership](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/ISO%2027K/PECB%20Lead%20Auditor%20Training%2027001/PECB%2027001%20LA%20S05%20E01b%20-%20Leadership.md)
+[PECB Auditor training: Leadership](../Standards/ISO27x/PECB-Lead-Auditor-Training/PECB%2027001%20LA%20S05%20E01b%20-%20Leadership.md)
 
 
 

Corpus/MoCs/ISO_27001_2022_5_MoC Leadership.md

@@ -6,6 +6,6 @@
 | 5.2         | [Policy                                                                       ](ISO_27001_2022_5.2_MoC%20Policy.md) |
 | 5.3         | [Organizational roles, responsibilities and authorities                       ](ISO_27001_2022_5.3_MoC%20Organizational%20roles,%20responsibilities%20and%20authorities.md) |
 
-[Context of the organization](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/ISO%2027K/PECB%20Lead%20Auditor%20Training%2027001/PECB%2027001%20LA%20S05%20E01a%20-%20Context%20of%20the%20organization.md) from the PECB Auditor training
+[Context of the organization](../Standards/ISO27x/PECB-Lead-Auditor-Training/PECB%2027001%20LA%20S05%20E01a%20-%20Context%20of%20the%20organization.md) from the PECB Auditor training
-[Leadership](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/ISO%2027K/PECB%20Lead%20Auditor%20Training%2027001/PECB%2027001%20LA%20S05%20E01b%20-%20Leadership.md) from the PECB Auditor training
+[Leadership](../Standards/ISO27x/PECB-Lead-Auditor-Training/PECB%2027001%20LA%20S05%20E01b%20-%20Leadership.md) from the PECB Auditor training
 

Corpus/MoCs/ISO_27001_2022_6.1.3_MoC Information security risk treatment.md

@@ -3,4 +3,4 @@
 - [Original Text](../ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT%206.1.3%20Information%20security%20risk%20treatment.md)
 - [[ISO_27001_PE 6.1.3 Information security risk treatment\|Plain English]]
 
-[About the Statement of Applicability](../../../Drafts%20and%20Ideas/ISMS/About%20the%20Statement%20of%20Applicability.md)
+[About the Statement of Applicability](../💡Drafts%20and%20Ideas/ISMS/About%20the%20Statement%20of%20Applicability.md)

Corpus/MoCs/ISO_27002_2022_5.17_MoC Authentication information.md

@@ -11,12 +11,12 @@ ISO 27002:2013: 09.2.4, 09.3.1, 09.4.3
 
 
 
-[Sterke wachtwoorden in 2024](../../../../🎇%20Sparks/Sterke%20wachtwoorden%20in%202024.md)
+[Sterke wachtwoorden in 2024](../🎇%20Sparks/Sterke%20wachtwoorden%20in%202024.md)
 
 **NCSC over authenticeren**
 - [Authenticatie als onderdeel van Digitale Weerbaarheid](https://www.ncsc.nl/wat-kun-je-zelf-doen/weerbaarheid/beschermen/authenticatie)
-- [NCSC Infosheet Volwassen Authenticeren](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/NCSC/NCSC%20Infosheet%20Volwassen%20Authenticeren.md)
+- [NCSC Infosheet Volwassen Authenticeren](../Standards/NCSC/NCSC%20Infosheet%20Volwassen%20Authenticeren.md)
-- [NCSC_Factsheet_Volwassen_Authenticeren](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/NCSC/NCSC_Factsheet_Volwassen_Authenticeren.md)
+- [NCSC_Factsheet_Volwassen_Authenticeren](../Standards/NCSC/NCSC_Factsheet_Volwassen_Authenticeren.md)
-- [NCSC Factsheet Gebruik Tweefactorauthenticatie](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/NCSC/NCSC%20Factsheet%20Gebruik%20Tweefactorauthenticatie.md)
+- [NCSC Factsheet Gebruik Tweefactorauthenticatie](../Standards/NCSC/NCSC%20Factsheet%20Gebruik%20Tweefactorauthenticatie.md)
 - [Choosing the right type](https://www.ncsc.gov.uk/guidance/authentication-methods-choosing-the-right-type)
 

Corpus/MoCs/ISO_27002_2022_5.29_MoC Information security during disruption.md

@@ -4,5 +4,5 @@
 [[ISO_27002_2022_5.29_PE Information security during disruption \|Plain English]]
 ISO 27002:2013: 17.1.1, 17.1.2, 17.1.3
 
-[Business Impact Analysis (BIA)](../../../../🎇%20Sparks/Business%20Impact%20Analysis%20(BIA).md)
+[Business Impact Analysis (BIA)](../🎇%20Sparks/Business%20Impact%20Analysis%20(BIA).md)
 

Corpus/MoCs/ISO_27002_2022_5.30_MoC ICT readiness for business continuity.md

@@ -6,7 +6,7 @@ ISO 27002:2013: n/a
 
 
 See also:
-- [BCP_Bedrijfscontinuïteitsplanning](../../../../📚️%20Literature%20notes/BCP_Bedrijfscontinuïteitsplanning.md)
+- [BCP_Bedrijfscontinuïteitsplanning](../📚️%20Literature%20notes/BCP_Bedrijfscontinuïteitsplanning.md)
-- [Business Impact Analysis (BIA)](../../../../🎇%20Sparks/Business%20Impact%20Analysis%20(BIA).md)
+- [Business Impact Analysis (BIA)](../🎇%20Sparks/Business%20Impact%20Analysis%20(BIA).md)
-- [Disaster Recovery Planning](../../../../🎇%20Sparks/Disaster%20Recovery%20Planning.md)
+- [Disaster Recovery Planning](../🎇%20Sparks/Disaster%20Recovery%20Planning.md)
 

Corpus/MoCs/ISO_27002_2022_5.9_MoC Inventory of information and other associated assets.md

@@ -6,5 +6,5 @@ ISO 27002:2013: 08.1.1, 08.1.2
 
 [Brontekst](../ISO-27002-OST/ISO27002-NL-2022/a-5.9-Inventarisatie-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md)
 
-The inventory serves as input for the [Business Impact Analysis (BIA)](../../../../🎇%20Sparks/Business%20Impact%20Analysis%20(BIA).md)
+The inventory serves as input for the [Business Impact Analysis (BIA)](../🎇%20Sparks/Business%20Impact%20Analysis%20(BIA).md)
 [ISO_27001_2022_00_MoC Index EXT](ISO_27001_2022_00_MoC%20Index%20EXT.md)

Corpus/MoCs/ISO_27002_2022_7.1_MoC Physical security perimeters.md

@@ -4,4 +4,4 @@
 [[ISO_27002_2022_7.1_PE Physical security perimeters \|Plain English]]
 ISO 27002:2013: 11.1.1
 
-[Physical security in ISO 27001](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/ISO%2027K/Physical%20security%20in%20ISO%2027001.md)
+[Physical security in ISO 27001](../Standards/ISO27x/Physical%20security%20in%20ISO%2027001.md)

Corpus/MoCs/ISO_27002_2022_8.15_MoC Logging.md

@@ -2,6 +2,6 @@
 [[ISO_27002_2022_8.15_PE Logging\|Plain English]]
 
 ISO 27002:2013: 
-- [12.4.1](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/ISO%2027K/ISO%2027001%202013/ISO%2027001%20A%2012.4.1%20Event%20logging.md)
+- [12.4.1](../Standards/ISO27x/archive/ISO%2027001%202013/ISO%2027001%20A%2012.4.1%20Event%20logging.md)
-- [12.4.2](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/ISO%2027K/ISO%2027001%202013/ISO%2027001%20A%2012.4.2%20Protection%20of%20log%20information.md)
+- [12.4.2](../Standards/ISO27x/archive/ISO%2027001%202013/ISO%2027001%20A%2012.4.2%20Protection%20of%20log%20information.md)
-- [12.4.3](../../../../👩🏼‍⚖️%20Standards%20and%20Regulations/ISO%2027K/ISO%2027001%202013/ISO%2027001%20A%2012.4.3%20Administrator%20and%20operator%20logs.md)
+- [12.4.3](../Standards/ISO27x/archive/ISO%2027001%202013/ISO%2027001%20A%2012.4.3%20Administrator%20and%20operator%20logs.md)

Corpus/MoCs/iso27DIY-MoC.md

@@ -5,7 +5,7 @@ tags:
 ---
 ## Marketing source material
 [ISO27DIY Solution and Components](marketing/campaigns/ISO27DIY%20Solution%20and%20Components.md)
-[Value Proposition Canvas for iso27DIY](About/Value%20Proposition%20Canvas%20for%20iso27DIY.md)
+[Value Proposition Canvas for iso27DIY](../../marketing/Value%20Proposition%20Canvas%20for%20iso27DIY.md)
 [Brand Values](marketing/campaigns/Brand%20Values.md)
 [FUD with Certification](marketing/campaigns/FUD%20with%20Certification.md)
 [PRD Product Requirements Document for iso27DYI](AuditGlue/PRD%20Product%20Requirements%20Document%20for%20iso27DYI.md)
@@ -22,7 +22,7 @@ tags:
 
 ## Method
 [Samenhang tussen producten](../🎇%20Sparks/Samenhang%20tussen%20producten.md)
-[ISO 27001 2023 Processen en Artefacten](Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO%2027001%202023%20Processen%20en%20Artefacten.md)
+[ISO 27001 2023 Processen en Artefacten](../Standards/ISO27x/OST/27001/NL/ISO%2027001%202023%20Processen%20en%20Artefacten.md)
 [Advised Documents for ISO 27001](../iso27DIY-gis/reference/Advised%20Documents%20for%20ISO%2027001.md)
 [Examples of Proof for auditors](../🎇%20Sparks/Examples%20of%20Proof%20for%20auditors.md)
 [About ISO27DIY Policy Cards](../💡Permanent%20ideas/About%20ISO27DIY%20Policy%20Cards.md)
@@ -30,14 +30,14 @@ tags:
 ## Design
 [[ISO27DIY als LMS]]
 [Modules Canvas](../../AuditGlue/iso27DIY%20content%20modules.canvas)
-[About the flow](Drafts%20and%20Ideas/About/About%20the%20flow.md)
+[About the flow](../💡Drafts%20and%20Ideas/About%20iso27diy/About%20the%20flow.md)
 [UI ideas](AuditGlue/System%20alternative/iso27DIY%20UI%20ideas.md)
 
 ### Agents
 [Create a proactive conversational agent](../🎇%20Sparks/Create%20a%20proactive%20conversational%20agent.md)
 [Create an interview agent](../🎇%20Sparks/Create%20an%20interview%20agent.md)
 	[Agent Design Intent Card](AuditGlue/System%20alternative/Agent%20Design%20Intent%20Card.md)
-[Create a threat analysis chatbot](Drafts%20and%20Ideas/Controls/Create%20a%20threat%20analysis%20chatbot.md)
+[Create a threat analysis chatbot](../💡Drafts%20and%20Ideas/Controls/Create%20a%20threat%20analysis%20chatbot.md)
 [Instruct an LLM on available tools](../🎇%20Sparks/Instruct%20an%20LLM%20on%20available%20tools.md)
 [LLM Prompt types](../🎇%20Sparks/LLM%20Prompt%20types.md)
 

Corpus/Standards/AVG/AVG GDPR resources.md

@@ -0,0 +1,22 @@
+
+## GDPR
+
+### Resources
+[EN text GDPR](https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679) Regulation EU 2016/679
+[GDPR with Recitals](https://GDPR-info.eu)
+[Special categories of Data and Data Subjects](Special%20categories%20of%20Data%20and%20Data%20Subjects.md) (Art. 6, 35, WP248)
+
+## AVG
+
+### Resources
+[NL tekst AVG](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679)  Verordening EU 2016/679
+[AVG met Overwegingen](https://gdpr-text.com/nl/) met vertalingen, richtlijnen en case law, koppeling naar ISO 27701
+
+## Eigen producten
+[AVG lijst artikelen](AVG%20lijst%20artikelen.md)
+[AVG kernartikelen](AVG%20kernartikelen.md)
+[Verplichte documenten AVG](Verplichte%20documenten%20AVG.md) met artikelvermelding
+[Graph data structure for GDPR processing registry](Graph%20data%20structure%20for%20GDPR%20processing%20registry.md)
+
+### Externe artikelen
+[De AVG en informatiebeveiliging | Privacyweb.nl](https://privacy-web.nl/artikelen/de-avg-en-informatiebeveiliging/)

Corpus/Standards/AVG/AVG lijst artikelen.md

@@ -2,170 +2,170 @@ Zie ook [AVG lijst artikelnummers](AVG%20lijst%20artikelnummers.md)
 
 # HOOFDSTUK I - Algemene bepalingen
 
-- [Artikel 1 Onderwerp en doelstellingen](../AVG-OST/AVG2018-Art-1.md)
+- [Artikel 1 Onderwerp en doelstellingen](AVG-OST/AVG2018-Art-1.md)
-- [Artikel 2 Materieel toepassingsgebied](../AVG-OST/AVG2018-Art-2.md)
+- [Artikel 2 Materieel toepassingsgebied](AVG-OST/AVG2018-Art-2.md)
-- [Artikel 3 Territoriaal toepassingsgebied](../AVG-OST/AVG2018-Art-3.md)
+- [Artikel 3 Territoriaal toepassingsgebied](AVG-OST/AVG2018-Art-3.md)
-- [Artikel 4 Definities](../AVG-OST/AVG2018-Art-4.md)
+- [Artikel 4 Definities](AVG-OST/AVG2018-Art-4.md)
 
 # HOOFDSTUK II - Beginselen
 
-- [Artikel 5 Beginselen inzake verwerking van persoonsgegevens](../AVG-OST/AVG2018-Art-5.md)
+- [Artikel 5 Beginselen inzake verwerking van persoonsgegevens](AVG-OST/AVG2018-Art-5.md)
-- [Artikel 6 Rechtmatigheid van de verwerking](../AVG-OST/AVG2018-Art-6.md)
+- [Artikel 6 Rechtmatigheid van de verwerking](AVG-OST/AVG2018-Art-6.md)
-- [Artikel 7 Voorwaarden voor toestemming](../AVG-OST/AVG2018-Art-7.md)
+- [Artikel 7 Voorwaarden voor toestemming](AVG-OST/AVG2018-Art-7.md)
-- [Artikel 8 Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij](../AVG-OST/AVG2018-Art-8.md)
+- [Artikel 8 Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij](AVG-OST/AVG2018-Art-8.md)
-- [Artikel 9 Verwerking van bijzondere categorieën van persoonsgegevens](../AVG-OST/AVG2018-Art-9.md)
+- [Artikel 9 Verwerking van bijzondere categorieën van persoonsgegevens](AVG-OST/AVG2018-Art-9.md)
-- [Artikel 10 Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten](../AVG-OST/AVG2018-Art-10.md)
+- [Artikel 10 Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten](AVG-OST/AVG2018-Art-10.md)
-- [Artikel 11 Verwerking waarvoor identificatie niet is vereist](../AVG-OST/AVG2018-Art-11.md)
+- [Artikel 11 Verwerking waarvoor identificatie niet is vereist](AVG-OST/AVG2018-Art-11.md)
 
 # HOOFDSTUK III - Rechten van de betrokkene
 
 ## Afdeling 1 - Transparantie en regelingen
 
-- [Artikel 12 Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene](../AVG-OST/AVG2018-Art-12.md)
+- [Artikel 12 Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene](AVG-OST/AVG2018-Art-12.md)
 
 ## Afdeling 2 - Informatie en toegang tot persoonsgegevens
 
-- [Artikel 13 Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld](../AVG-OST/AVG2018-Art-13.md)
+- [Artikel 13 Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld](AVG-OST/AVG2018-Art-13.md)
-- [Artikel 14 Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen](../AVG-OST/AVG2018-Art-14.md)
+- [Artikel 14 Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen](AVG-OST/AVG2018-Art-14.md)
-- [Artikel 15 Recht van inzage van de betrokkene](../AVG-OST/AVG2018-Art-15.md)
+- [Artikel 15 Recht van inzage van de betrokkene](AVG-OST/AVG2018-Art-15.md)
 
 ## Afdeling 3 - Rectificatie en wissing van gegevens
 
-- [Artikel 16 Recht op rectificatie](../AVG-OST/AVG2018-Art-16.md)
+- [Artikel 16 Recht op rectificatie](AVG-OST/AVG2018-Art-16.md)
-- [Artikel 17 Recht op gegevenswissing („recht op vergetelheid”)](../AVG-OST/AVG2018-Art-17.md)
+- [Artikel 17 Recht op gegevenswissing („recht op vergetelheid”)](AVG-OST/AVG2018-Art-17.md)
-- [Artikel 18 Recht op beperking van de verwerking](../AVG-OST/AVG2018-Art-18.md)
+- [Artikel 18 Recht op beperking van de verwerking](AVG-OST/AVG2018-Art-18.md)
-- [Artikel 19 Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking](../AVG-OST/AVG2018-Art-19.md)
+- [Artikel 19 Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking](AVG-OST/AVG2018-Art-19.md)
-- [Artikel 20 Recht op overdraagbaarheid van gegevens](../AVG-OST/AVG2018-Art-20.md)
+- [Artikel 20 Recht op overdraagbaarheid van gegevens](AVG-OST/AVG2018-Art-20.md)
 
 ## Afdeling 4 - Recht van bezwaar en geautomatiseerde individuele besluitvorming
 
-- [Artikel 21 Recht van bezwaar](../AVG-OST/AVG2018-Art-21.md)
+- [Artikel 21 Recht van bezwaar](AVG-OST/AVG2018-Art-21.md)
-- [Artikel 22 Geautomatiseerde individuele besluitvorming, waaronder profilering](../AVG-OST/AVG2018-Art-22.md)
+- [Artikel 22 Geautomatiseerde individuele besluitvorming, waaronder profilering](AVG-OST/AVG2018-Art-22.md)
 
 ## Afdeling 5 Beperkingen
 
-- [Artikel 23 Beperkingen](../AVG-OST/AVG2018-Art-23.md)
+- [Artikel 23 Beperkingen](AVG-OST/AVG2018-Art-23.md)
 
 # HOOFDSTUK IV - Verwerkingsverantwoordelijke en verwerker
 
 ## Afdeling 1 - Algemene verplichtingen
 
-- [Artikel 24 Verantwoordelijkheid van de verwerkingsverantwoordelijke](../AVG-OST/AVG2018-Art-24.md)
+- [Artikel 24 Verantwoordelijkheid van de verwerkingsverantwoordelijke](AVG-OST/AVG2018-Art-24.md)
-- [Artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen](../AVG-OST/AVG2018-Art-25.md)
+- [Artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen](AVG-OST/AVG2018-Art-25.md)
-- [Artikel 26 Gezamenlijke verwerkingsverantwoordelijken](../AVG-OST/AVG2018-Art-26.md)
+- [Artikel 26 Gezamenlijke verwerkingsverantwoordelijken](AVG-OST/AVG2018-Art-26.md)
-- [Artikel 27 Vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers](../AVG-OST/AVG2018-Art-27.md)
+- [Artikel 27 Vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers](AVG-OST/AVG2018-Art-27.md)
-- [Artikel 28 Verwerker](../AVG-OST/AVG2018-Art-28.md)
+- [Artikel 28 Verwerker](AVG-OST/AVG2018-Art-28.md)
-- [Artikel 29 Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker](../AVG-OST/AVG2018-Art-29.md)
+- [Artikel 29 Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker](AVG-OST/AVG2018-Art-29.md)
-- [Artikel 30 Register van de verwerkingsactiviteiten](../AVG-OST/AVG2018-Art-30.md)
+- [Artikel 30 Register van de verwerkingsactiviteiten](AVG-OST/AVG2018-Art-30.md)
-- [Artikel 31 Medewerking met de toezichthoudende autoriteit](../AVG-OST/AVG2018-Art-31.md)
+- [Artikel 31 Medewerking met de toezichthoudende autoriteit](AVG-OST/AVG2018-Art-31.md)
 
 ## Afdeling 2 - Persoonsgegevensbeveiliging
 
-- [Artikel 32 Beveiliging van de verwerking](../AVG-OST/AVG2018-Art-32.md)
+- [Artikel 32 Beveiliging van de verwerking](AVG-OST/AVG2018-Art-32.md)
-- [Artikel 33 Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit](../AVG-OST/AVG2018-Art-33.md)
+- [Artikel 33 Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit](AVG-OST/AVG2018-Art-33.md)
-- [Artikel 34 Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene](../AVG-OST/AVG2018-Art-34.md)
+- [Artikel 34 Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene](AVG-OST/AVG2018-Art-34.md)
 
 ## Afdeling 3 - Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
 
-- [Artikel 35 Gegevensbeschermingseffectbeoordeling](../AVG-OST/AVG2018-Art-35.md)
+- [Artikel 35 Gegevensbeschermingseffectbeoordeling](AVG-OST/AVG2018-Art-35.md)
-- [Artikel 36 Voorafgaande raadpleging](../AVG-OST/AVG2018-Art-36.md)
+- [Artikel 36 Voorafgaande raadpleging](AVG-OST/AVG2018-Art-36.md)
 
 ## Afdeling 4 - Functionaris voor gegevensbescherming
 
-- [Artikel 37 Aanwijzing van de functionaris voor gegevensbescherming](../AVG-OST/AVG2018-Art-37.md)
+- [Artikel 37 Aanwijzing van de functionaris voor gegevensbescherming](AVG-OST/AVG2018-Art-37.md)
-- [Artikel 38 Positie van de functionaris voor gegevensbescherming](../AVG-OST/AVG2018-Art-38.md)
+- [Artikel 38 Positie van de functionaris voor gegevensbescherming](AVG-OST/AVG2018-Art-38.md)
-- [Artikel 39 Taken van de functionaris voor gegevensbescherming](../../../../🎇%20Sparks/Artikel%2039%20Taken%20van%20de%20functionaris%20voor%20gegevensbescherming.md)
+- [Artikel 39 Taken van de functionaris voor gegevensbescherming](../../🎇%20Sparks/Artikel%2039%20Taken%20van%20de%20functionaris%20voor%20gegevensbescherming.md)
 
 ## Afdeling 5 - Gedragscodes en certificering
 
-- [Artikel 40 Gedragscodes](../AVG-OST/AVG2018-Art-40.md)
+- [Artikel 40 Gedragscodes](AVG-OST/AVG2018-Art-40.md)
-- [Artikel 41 Toezicht op goedgekeurde gedragscodes](../AVG-OST/AVG2018-Art-41.md)
+- [Artikel 41 Toezicht op goedgekeurde gedragscodes](AVG-OST/AVG2018-Art-41.md)
-- [Artikel 42 Certificering](../AVG-OST/AVG2018-Art-42.md)
+- [Artikel 42 Certificering](AVG-OST/AVG2018-Art-42.md)
-- [Artikel 43 Certificeringsorganen](../AVG-OST/AVG2018-Art-43.md)
+- [Artikel 43 Certificeringsorganen](AVG-OST/AVG2018-Art-43.md)
 
 # HOOFDSTUK V Doorgiften van persoonsgegevens aan derde landen of internationale organisaties
 
-- [Artikel 44 Algemeen beginsel inzake doorgiften](../AVG-OST/AVG2018-Art-44.md)
+- [Artikel 44 Algemeen beginsel inzake doorgiften](AVG-OST/AVG2018-Art-44.md)
-- [Artikel 45 Doorgiften op basis van adequaatheidsbesluiten](../AVG-OST/AVG2018-Art-45.md)
+- [Artikel 45 Doorgiften op basis van adequaatheidsbesluiten](AVG-OST/AVG2018-Art-45.md)
-- [Artikel 46 Doorgiften op basis van passende waarborgen](../AVG-OST/AVG2018-Art-46.md)
+- [Artikel 46 Doorgiften op basis van passende waarborgen](AVG-OST/AVG2018-Art-46.md)
-- [Artikel 47 Bindende bedrijfsvoorschriften](../AVG-OST/AVG2018-Art-47.md)
+- [Artikel 47 Bindende bedrijfsvoorschriften](AVG-OST/AVG2018-Art-47.md)
-- [Artikel 48 Niet bij Unierecht toegestane doorgiften of verstrekkingen](../AVG-OST/AVG2018-Art-48.md)
+- [Artikel 48 Niet bij Unierecht toegestane doorgiften of verstrekkingen](AVG-OST/AVG2018-Art-48.md)
-- [Artikel 49 Afwijkingen voor specifieke situaties](../AVG-OST/AVG2018-Art-49.md)
+- [Artikel 49 Afwijkingen voor specifieke situaties](AVG-OST/AVG2018-Art-49.md)
-- [Artikel 50 Internationale samenwerking voor de bescherming van persoonsgegevens](../AVG-OST/AVG2018-Art-50.md)
+- [Artikel 50 Internationale samenwerking voor de bescherming van persoonsgegevens](AVG-OST/AVG2018-Art-50.md)
 
 # HOOFDSTUK VI Onafhankelijke toezichthoudende autoriteiten
 
 ## Afdeling 1 Onafhankelijkheid
 
-- [Artikel 51 Toezichthoudende autoriteit](../AVG-OST/AVG2018-Art-51.md)
+- [Artikel 51 Toezichthoudende autoriteit](AVG-OST/AVG2018-Art-51.md)
-- [Artikel 52 Onafhankelijkheid](../AVG-OST/AVG2018-Art-52.md)
+- [Artikel 52 Onafhankelijkheid](AVG-OST/AVG2018-Art-52.md)
-- [Artikel 53 Algemene voorwaarden voor de leden van de toezichthoudende autoriteit](../AVG-OST/AVG2018-Art-53.md)
+- [Artikel 53 Algemene voorwaarden voor de leden van de toezichthoudende autoriteit](AVG-OST/AVG2018-Art-53.md)
-- [Artikel 54 Regels inzake de oprichting van de toezichthoudende autoriteit](../AVG-OST/AVG2018-Art-54.md)
+- [Artikel 54 Regels inzake de oprichting van de toezichthoudende autoriteit](AVG-OST/AVG2018-Art-54.md)
 
 ## Afdeling 2 Competentie, taken en bevoegdheden
 
-- [Artikel 55 Competentie](../AVG-OST/AVG2018-Art-55.md)
+- [Artikel 55 Competentie](AVG-OST/AVG2018-Art-55.md)
-- [Artikel 56 Competentie van de leidende toezichthoudende autoriteit](../AVG-OST/AVG2018-Art-56.md)
+- [Artikel 56 Competentie van de leidende toezichthoudende autoriteit](AVG-OST/AVG2018-Art-56.md)
-- [Artikel 57 Taken](../AVG-OST/AVG2018-Art-57.md)
+- [Artikel 57 Taken](AVG-OST/AVG2018-Art-57.md)
-- [Artikel 58 Bevoegdheden](../AVG-OST/AVG2018-Art-58.md)
+- [Artikel 58 Bevoegdheden](AVG-OST/AVG2018-Art-58.md)
-- [Artikel 59 Activiteitenverslagen](../AVG-OST/AVG2018-Art-59.md)
+- [Artikel 59 Activiteitenverslagen](AVG-OST/AVG2018-Art-59.md)
 
 # HOOFDSTUK VII Samenwerking en coherentie
 
 ## Afdeling 1 Samenwerking
 
-- [Artikel 60 Samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten](../AVG-OST/AVG2018-Art-60.md)
+- [Artikel 60 Samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten](AVG-OST/AVG2018-Art-60.md)
-- [Artikel 61 Wederzijdse bijstand](../AVG-OST/AVG2018-Art-61.md)
+- [Artikel 61 Wederzijdse bijstand](AVG-OST/AVG2018-Art-61.md)
-- [Artikel 62 Gezamenlijke werkzaamheden van toezichthoudende autoriteiten](../AVG-OST/AVG2018-Art-62.md)
+- [Artikel 62 Gezamenlijke werkzaamheden van toezichthoudende autoriteiten](AVG-OST/AVG2018-Art-62.md)
 
 ## Afdeling 2 Coherentie
 
-- [Artikel 63 Coherentiemechanisme](../AVG-OST/AVG2018-Art-63.md)
+- [Artikel 63 Coherentiemechanisme](AVG-OST/AVG2018-Art-63.md)
-- [Artikel 64 Advies van het Comité](../AVG-OST/AVG2018-Art-64.md)
+- [Artikel 64 Advies van het Comité](AVG-OST/AVG2018-Art-64.md)
-- [Artikel 65 Geschillenbeslechting door het Comité](../AVG-OST/AVG2018-Art-65.md)
+- [Artikel 65 Geschillenbeslechting door het Comité](AVG-OST/AVG2018-Art-65.md)
-- [Artikel 66 Spoedprocedure](../AVG-OST/AVG2018-Art-66.md)
+- [Artikel 66 Spoedprocedure](AVG-OST/AVG2018-Art-66.md)
-- [Artikel 67 Uitwisseling van informatie](../AVG-OST/AVG2018-Art-67.md)
+- [Artikel 67 Uitwisseling van informatie](AVG-OST/AVG2018-Art-67.md)
 
 ## Afdeling 3 Europees Comité voor gegevensbescherming
 
-- [Artikel 68 Europees Comité voor gegevensbescherming](../AVG-OST/AVG2018-Art-68.md)
+- [Artikel 68 Europees Comité voor gegevensbescherming](AVG-OST/AVG2018-Art-68.md)
-- [Artikel 69 Onafhankelijkheid](../AVG-OST/AVG2018-Art-69.md)
+- [Artikel 69 Onafhankelijkheid](AVG-OST/AVG2018-Art-69.md)
-- [Artikel 70 Taken van het Comité](../AVG-OST/AVG2018-Art-70.md)
+- [Artikel 70 Taken van het Comité](AVG-OST/AVG2018-Art-70.md)
-- [Artikel 71 Rapportage](../AVG-OST/AVG2018-Art-71.md)
+- [Artikel 71 Rapportage](AVG-OST/AVG2018-Art-71.md)
-- [Artikel 72 Procedure](../AVG-OST/AVG2018-Art-72.md)
+- [Artikel 72 Procedure](AVG-OST/AVG2018-Art-72.md)
-- [Artikel 73 Voorzitter](../AVG-OST/AVG2018-Art-73.md)
+- [Artikel 73 Voorzitter](AVG-OST/AVG2018-Art-73.md)
-- [Artikel 74 Taken van de voorzitter](../AVG-OST/AVG2018-Art-74.md)
+- [Artikel 74 Taken van de voorzitter](AVG-OST/AVG2018-Art-74.md)
-- [Artikel 75 Secretariaat](../AVG-OST/AVG2018-Art-75.md)
+- [Artikel 75 Secretariaat](AVG-OST/AVG2018-Art-75.md)
-- [Artikel 76 Vertrouwelijkheid](../AVG-OST/AVG2018-Art-76.md)
+- [Artikel 76 Vertrouwelijkheid](AVG-OST/AVG2018-Art-76.md)
 
 # HOOFDSTUK VIII Beroep, aansprakelijkheid en sancties
 
-- [Artikel 77 Recht om klacht in te dienen bij een toezichthoudende autoriteit](../AVG-OST/AVG2018-Art-77.md)
+- [Artikel 77 Recht om klacht in te dienen bij een toezichthoudende autoriteit](AVG-OST/AVG2018-Art-77.md)
-- [Artikel 78 Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit](../AVG-OST/AVG2018-Art-78.md)
+- [Artikel 78 Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit](AVG-OST/AVG2018-Art-78.md)
-- [Artikel 79 Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoor- delijke of een verwerker](../AVG-OST/AVG2018-Art-79.md)
+- [Artikel 79 Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoor- delijke of een verwerker](AVG-OST/AVG2018-Art-79.md)
-- [Artikel 80 Vertegenwoordiging van betrokkenen](../AVG-OST/AVG2018-Art-80.md)
+- [Artikel 80 Vertegenwoordiging van betrokkenen](AVG-OST/AVG2018-Art-80.md)
-- [Artikel 81 Schorsing van de procedure](../AVG-OST/AVG2018-Art-81.md)
+- [Artikel 81 Schorsing van de procedure](AVG-OST/AVG2018-Art-81.md)
-- [Artikel 82 Recht op schadevergoeding en aansprakelijkheid](../AVG-OST/AVG2018-Art-82.md)
+- [Artikel 82 Recht op schadevergoeding en aansprakelijkheid](AVG-OST/AVG2018-Art-82.md)
-- [Artikel 83 Algemene voorwaarden voor het opleggen van administratieve geldboeten](../AVG-OST/AVG2018-Art-83.md)
+- [Artikel 83 Algemene voorwaarden voor het opleggen van administratieve geldboeten](AVG-OST/AVG2018-Art-83.md)
-- [Artikel 84 Sancties](../AVG-OST/AVG2018-Art-84.md)
+- [Artikel 84 Sancties](AVG-OST/AVG2018-Art-84.md)
-- [Artikel 85 Verwerking en vrijheid van meningsuiting en van informatie](../AVG-OST/AVG2018-Art-85.md)
+- [Artikel 85 Verwerking en vrijheid van meningsuiting en van informatie](AVG-OST/AVG2018-Art-85.md)
-- [Artikel 86 Verwerking en recht van toegang van het publiek tot officiële documenten](../AVG-OST/AVG2018-Art-86.md)
+- [Artikel 86 Verwerking en recht van toegang van het publiek tot officiële documenten](AVG-OST/AVG2018-Art-86.md)
-- [Artikel 87 Verwerking van het nationaal identificatienummer](../AVG-OST/AVG2018-Art-87.md)
+- [Artikel 87 Verwerking van het nationaal identificatienummer](AVG-OST/AVG2018-Art-87.md)
-- [Artikel 88 Verwerking in het kader van de arbeidsverhouding](../AVG-OST/AVG2018-Art-88.md)
+- [Artikel 88 Verwerking in het kader van de arbeidsverhouding](AVG-OST/AVG2018-Art-88.md)
-- [Artikel 89 Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden](../AVG-OST/AVG2018-Art-89.md)
+- [Artikel 89 Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden](AVG-OST/AVG2018-Art-89.md)
-- [Artikel 90 Geheimhoudingsplicht](../AVG-OST/AVG2018-Art-90.md)
+- [Artikel 90 Geheimhoudingsplicht](AVG-OST/AVG2018-Art-90.md)
-- [Artikel 91 Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen](../AVG-OST/AVG2018-Art-91.md)
+- [Artikel 91 Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen](AVG-OST/AVG2018-Art-91.md)
 
 # HOOFDSTUK X Gedelegeerde handelingen en uitvoeringshandelingen
 
-- [Artikel 92 Uitoefening van de bevoegdheidsdelegatie](../AVG-OST/AVG2018-Art-92.md)
+- [Artikel 92 Uitoefening van de bevoegdheidsdelegatie](AVG-OST/AVG2018-Art-92.md)
-- [Artikel 93 Comitéprocedure](../AVG-OST/AVG2018-Art-93.md)
+- [Artikel 93 Comitéprocedure](AVG-OST/AVG2018-Art-93.md)
 
 # HOOFDSTUK XI Slotbepalingen
 
-- [Artikel 94 Intrekking van Richtlijn 95/46/EG](../AVG-OST/AVG2018-Art-94.md)
+- [Artikel 94 Intrekking van Richtlijn 95/46/EG](AVG-OST/AVG2018-Art-94.md)
-- [Artikel 95 Verhouding tot Richtlijn 2002/58/EG](../AVG-OST/AVG2018-Art-95.md)
+- [Artikel 95 Verhouding tot Richtlijn 2002/58/EG](AVG-OST/AVG2018-Art-95.md)
-- [Artikel 96 Verhouding tot eerder gesloten overeenkomsten](../AVG-OST/AVG2018-Art-96.md)
+- [Artikel 96 Verhouding tot eerder gesloten overeenkomsten](AVG-OST/AVG2018-Art-96.md)
-- [Artikel 97 Commissieverslagen](../AVG-OST/AVG2018-Art-97.md)
+- [Artikel 97 Commissieverslagen](AVG-OST/AVG2018-Art-97.md)
-- [Artikel 98 Toetsing van andere Unierechtshandelingen inzake gegevensbescherming](../AVG-OST/AVG2018-Art-98.md)
+- [Artikel 98 Toetsing van andere Unierechtshandelingen inzake gegevensbescherming](AVG-OST/AVG2018-Art-98.md)
-- [Artikel 99 Inwerkingtreding en toepassing](../AVG-OST/AVG2018-Art-99.md)
+- [Artikel 99 Inwerkingtreding en toepassing](AVG-OST/AVG2018-Art-99.md)

Corpus/Standards/AVG/AVG lijst artikelnummers.md

@@ -1,101 +1,101 @@
 Zie ook [AVG lijst artikelen](AVG%20lijst%20artikelen.md)
 
-[Art. 1](../AVG-OST/AVG2018-Art-1.md)
+[Art. 1](AVG-OST/AVG2018-Art-1.md)
-[Art. 2](../AVG-OST/AVG2018-Art-2.md)
+[Art. 2](AVG-OST/AVG2018-Art-2.md)
-[Art. 3](../AVG-OST/AVG2018-Art-3.md)
+[Art. 3](AVG-OST/AVG2018-Art-3.md)
-[Art. 4](../AVG-OST/AVG2018-Art-4.md)
+[Art. 4](AVG-OST/AVG2018-Art-4.md)
-[Art. 5](../AVG-OST/AVG2018-Art-5.md)
+[Art. 5](AVG-OST/AVG2018-Art-5.md)
-[Art. 6](../AVG-OST/AVG2018-Art-6.md)
+[Art. 6](AVG-OST/AVG2018-Art-6.md)
-[Art. 7](../AVG-OST/AVG2018-Art-7.md)
+[Art. 7](AVG-OST/AVG2018-Art-7.md)
-[Art. 8](../AVG-OST/AVG2018-Art-8.md)
+[Art. 8](AVG-OST/AVG2018-Art-8.md)
-[Art. 9](../AVG-OST/AVG2018-Art-9.md)
+[Art. 9](AVG-OST/AVG2018-Art-9.md)
-[Art. 10](../AVG-OST/AVG2018-Art-10.md)
+[Art. 10](AVG-OST/AVG2018-Art-10.md)
-[Art. 11](../AVG-OST/AVG2018-Art-11.md)
+[Art. 11](AVG-OST/AVG2018-Art-11.md)
-[Art. 12](../AVG-OST/AVG2018-Art-12.md)
+[Art. 12](AVG-OST/AVG2018-Art-12.md)
-[Art. 13](../AVG-OST/AVG2018-Art-13.md)
+[Art. 13](AVG-OST/AVG2018-Art-13.md)
-[Art. 14](../AVG-OST/AVG2018-Art-14.md)
+[Art. 14](AVG-OST/AVG2018-Art-14.md)
-[Art. 15](../AVG-OST/AVG2018-Art-15.md)
+[Art. 15](AVG-OST/AVG2018-Art-15.md)
-[Art. 16](../AVG-OST/AVG2018-Art-16.md)
+[Art. 16](AVG-OST/AVG2018-Art-16.md)
-[Art. 17](../AVG-OST/AVG2018-Art-17.md)
+[Art. 17](AVG-OST/AVG2018-Art-17.md)
-[Art. 18](../AVG-OST/AVG2018-Art-18.md)
+[Art. 18](AVG-OST/AVG2018-Art-18.md)
-[Art. 19](../AVG-OST/AVG2018-Art-19.md)
+[Art. 19](AVG-OST/AVG2018-Art-19.md)
-[Art. 20](../AVG-OST/AVG2018-Art-20.md)
+[Art. 20](AVG-OST/AVG2018-Art-20.md)
-[Art. 21](../AVG-OST/AVG2018-Art-21.md)
+[Art. 21](AVG-OST/AVG2018-Art-21.md)
-[Art. 22](../AVG-OST/AVG2018-Art-22.md)
+[Art. 22](AVG-OST/AVG2018-Art-22.md)
-[Art. 23](../AVG-OST/AVG2018-Art-23.md)
+[Art. 23](AVG-OST/AVG2018-Art-23.md)
-[Art. 24](../AVG-OST/AVG2018-Art-24.md)
+[Art. 24](AVG-OST/AVG2018-Art-24.md)
-[Art. 25](../AVG-OST/AVG2018-Art-25.md)
+[Art. 25](AVG-OST/AVG2018-Art-25.md)
-[Art. 26](../AVG-OST/AVG2018-Art-26.md)
+[Art. 26](AVG-OST/AVG2018-Art-26.md)
-[Art. 27](../AVG-OST/AVG2018-Art-27.md)
+[Art. 27](AVG-OST/AVG2018-Art-27.md)
-[Art. 28](../AVG-OST/AVG2018-Art-28.md)
+[Art. 28](AVG-OST/AVG2018-Art-28.md)
-[Art. 29](../AVG-OST/AVG2018-Art-29.md)
+[Art. 29](AVG-OST/AVG2018-Art-29.md)
-[Art. 30](../AVG-OST/AVG2018-Art-30.md)
+[Art. 30](AVG-OST/AVG2018-Art-30.md)
-[Art. 31](../AVG-OST/AVG2018-Art-31.md)
+[Art. 31](AVG-OST/AVG2018-Art-31.md)
-[Art. 32](../AVG-OST/AVG2018-Art-32.md)
+[Art. 32](AVG-OST/AVG2018-Art-32.md)
-[Art. 33](../AVG-OST/AVG2018-Art-33.md)
+[Art. 33](AVG-OST/AVG2018-Art-33.md)
-[Art. 34](../AVG-OST/AVG2018-Art-34.md)
+[Art. 34](AVG-OST/AVG2018-Art-34.md)
-[Art. 35](../AVG-OST/AVG2018-Art-35.md)
+[Art. 35](AVG-OST/AVG2018-Art-35.md)
-[Art. 36](../AVG-OST/AVG2018-Art-36.md)
+[Art. 36](AVG-OST/AVG2018-Art-36.md)
-[Art. 37](../AVG-OST/AVG2018-Art-37.md)
+[Art. 37](AVG-OST/AVG2018-Art-37.md)
-[Art. 38](../AVG-OST/AVG2018-Art-38.md)
+[Art. 38](AVG-OST/AVG2018-Art-38.md)
-[Art. 39](../../../../🎇%20Sparks/Artikel%2039%20Taken%20van%20de%20functionaris%20voor%20gegevensbescherming.md)
+[Art. 39](../../🎇%20Sparks/Artikel%2039%20Taken%20van%20de%20functionaris%20voor%20gegevensbescherming.md)
-[Art. 40](../AVG-OST/AVG2018-Art-40.md)
+[Art. 40](AVG-OST/AVG2018-Art-40.md)
-[Art. 41](../AVG-OST/AVG2018-Art-41.md)
+[Art. 41](AVG-OST/AVG2018-Art-41.md)
-[Art. 42](../AVG-OST/AVG2018-Art-42.md)
+[Art. 42](AVG-OST/AVG2018-Art-42.md)
-[Art. 43](../AVG-OST/AVG2018-Art-43.md)
+[Art. 43](AVG-OST/AVG2018-Art-43.md)
-[Art. 44](../AVG-OST/AVG2018-Art-44.md)
+[Art. 44](AVG-OST/AVG2018-Art-44.md)
-[Art. 45](../AVG-OST/AVG2018-Art-45.md)
+[Art. 45](AVG-OST/AVG2018-Art-45.md)
-[Art. 46](../AVG-OST/AVG2018-Art-46.md)
+[Art. 46](AVG-OST/AVG2018-Art-46.md)
-[Art. 47](../AVG-OST/AVG2018-Art-47.md)
+[Art. 47](AVG-OST/AVG2018-Art-47.md)
-[Art. 48](../AVG-OST/AVG2018-Art-48.md)
+[Art. 48](AVG-OST/AVG2018-Art-48.md)
-[Art. 49](../AVG-OST/AVG2018-Art-49.md)
+[Art. 49](AVG-OST/AVG2018-Art-49.md)
-[Art. 50](../AVG-OST/AVG2018-Art-50.md)
+[Art. 50](AVG-OST/AVG2018-Art-50.md)
-[Art. 51](../AVG-OST/AVG2018-Art-51.md)
+[Art. 51](AVG-OST/AVG2018-Art-51.md)
-[Art. 52](../AVG-OST/AVG2018-Art-52.md)
+[Art. 52](AVG-OST/AVG2018-Art-52.md)
-[Art. 53](../AVG-OST/AVG2018-Art-53.md)
+[Art. 53](AVG-OST/AVG2018-Art-53.md)
-[Art. 54](../AVG-OST/AVG2018-Art-54.md)
+[Art. 54](AVG-OST/AVG2018-Art-54.md)
-[Art. 55](../AVG-OST/AVG2018-Art-55.md)
+[Art. 55](AVG-OST/AVG2018-Art-55.md)
-[Art. 56](../AVG-OST/AVG2018-Art-56.md)
+[Art. 56](AVG-OST/AVG2018-Art-56.md)
-[Art. 57](../AVG-OST/AVG2018-Art-57.md)
+[Art. 57](AVG-OST/AVG2018-Art-57.md)
-[Art. 58](../AVG-OST/AVG2018-Art-58.md)
+[Art. 58](AVG-OST/AVG2018-Art-58.md)
-[Art. 59](../AVG-OST/AVG2018-Art-59.md)
+[Art. 59](AVG-OST/AVG2018-Art-59.md)
-[Art. 60](../AVG-OST/AVG2018-Art-60.md)
+[Art. 60](AVG-OST/AVG2018-Art-60.md)
-[Art. 61](../AVG-OST/AVG2018-Art-61.md)
+[Art. 61](AVG-OST/AVG2018-Art-61.md)
-[Art. 62](../AVG-OST/AVG2018-Art-62.md)
+[Art. 62](AVG-OST/AVG2018-Art-62.md)
-[Art. 63](../AVG-OST/AVG2018-Art-63.md)
+[Art. 63](AVG-OST/AVG2018-Art-63.md)
-[Art. 64](../AVG-OST/AVG2018-Art-64.md)
+[Art. 64](AVG-OST/AVG2018-Art-64.md)
-[Art. 65](../AVG-OST/AVG2018-Art-65.md)
+[Art. 65](AVG-OST/AVG2018-Art-65.md)
-[Art. 66](../AVG-OST/AVG2018-Art-66.md)
+[Art. 66](AVG-OST/AVG2018-Art-66.md)
-[Art. 67](../AVG-OST/AVG2018-Art-67.md)
+[Art. 67](AVG-OST/AVG2018-Art-67.md)
-[Art. 68](../AVG-OST/AVG2018-Art-68.md)
+[Art. 68](AVG-OST/AVG2018-Art-68.md)
-[Art. 69](../AVG-OST/AVG2018-Art-69.md)
+[Art. 69](AVG-OST/AVG2018-Art-69.md)
-[Art. 70](../AVG-OST/AVG2018-Art-70.md)
+[Art. 70](AVG-OST/AVG2018-Art-70.md)
-[Art. 71](../AVG-OST/AVG2018-Art-71.md)
+[Art. 71](AVG-OST/AVG2018-Art-71.md)
-[Art. 72](../AVG-OST/AVG2018-Art-72.md)
+[Art. 72](AVG-OST/AVG2018-Art-72.md)
-[Art. 73](../AVG-OST/AVG2018-Art-73.md)
+[Art. 73](AVG-OST/AVG2018-Art-73.md)
-[Art. 74](../AVG-OST/AVG2018-Art-74.md)
+[Art. 74](AVG-OST/AVG2018-Art-74.md)
-[Art. 75](../AVG-OST/AVG2018-Art-75.md)
+[Art. 75](AVG-OST/AVG2018-Art-75.md)
-[Art. 76](../AVG-OST/AVG2018-Art-76.md)
+[Art. 76](AVG-OST/AVG2018-Art-76.md)
-[Art. 77](../AVG-OST/AVG2018-Art-77.md)
+[Art. 77](AVG-OST/AVG2018-Art-77.md)
-[Art. 78](../AVG-OST/AVG2018-Art-78.md)
+[Art. 78](AVG-OST/AVG2018-Art-78.md)
-[Art. 79](../AVG-OST/AVG2018-Art-79.md)
+[Art. 79](AVG-OST/AVG2018-Art-79.md)
-[Art. 80](../AVG-OST/AVG2018-Art-80.md)
+[Art. 80](AVG-OST/AVG2018-Art-80.md)
-[Art. 81](../AVG-OST/AVG2018-Art-81.md)
+[Art. 81](AVG-OST/AVG2018-Art-81.md)
-[Art. 82](../AVG-OST/AVG2018-Art-82.md)
+[Art. 82](AVG-OST/AVG2018-Art-82.md)
-[Art. 83](../AVG-OST/AVG2018-Art-83.md)
+[Art. 83](AVG-OST/AVG2018-Art-83.md)
-[Art. 84](../AVG-OST/AVG2018-Art-84.md)
+[Art. 84](AVG-OST/AVG2018-Art-84.md)
-[Art. 85](../AVG-OST/AVG2018-Art-85.md)
+[Art. 85](AVG-OST/AVG2018-Art-85.md)
-[Art. 86](../AVG-OST/AVG2018-Art-86.md)
+[Art. 86](AVG-OST/AVG2018-Art-86.md)
-[Art. 87](../AVG-OST/AVG2018-Art-87.md)
+[Art. 87](AVG-OST/AVG2018-Art-87.md)
-[Art. 88](../AVG-OST/AVG2018-Art-88.md)
+[Art. 88](AVG-OST/AVG2018-Art-88.md)
-[Art. 89](../AVG-OST/AVG2018-Art-89.md)
+[Art. 89](AVG-OST/AVG2018-Art-89.md)
-[Art. 90](../AVG-OST/AVG2018-Art-90.md)
+[Art. 90](AVG-OST/AVG2018-Art-90.md)
-[Art. 91](../AVG-OST/AVG2018-Art-91.md)
+[Art. 91](AVG-OST/AVG2018-Art-91.md)
-[Art. 92](../AVG-OST/AVG2018-Art-92.md)
+[Art. 92](AVG-OST/AVG2018-Art-92.md)
-[Art. 93](../AVG-OST/AVG2018-Art-93.md)
+[Art. 93](AVG-OST/AVG2018-Art-93.md)
-[Art. 94](../AVG-OST/AVG2018-Art-94.md)
+[Art. 94](AVG-OST/AVG2018-Art-94.md)
-[Art. 95](../AVG-OST/AVG2018-Art-95.md)
+[Art. 95](AVG-OST/AVG2018-Art-95.md)
-[Art. 96](../AVG-OST/AVG2018-Art-96.md)
+[Art. 96](AVG-OST/AVG2018-Art-96.md)
-[Art. 97](../AVG-OST/AVG2018-Art-97.md)
+[Art. 97](AVG-OST/AVG2018-Art-97.md)
-[Art. 98](../AVG-OST/AVG2018-Art-98.md)
+[Art. 98](AVG-OST/AVG2018-Art-98.md)
-[Art. 99](../AVG-OST/AVG2018-Art-99.md)
+[Art. 99](AVG-OST/AVG2018-Art-99.md)