Release v1.4/toevoegen maatregelen

[BartdeVisser]

Beschrijf jouw aanpassingen

Bij welk issue hoort deze pull-request?

Checklist before requesting a review

• [ ] Ik heb de contributing guidelines van deze repository gelezen en gevolgd.
• [ ] Ik heb mijn aanpassingen gecheckt op spelfouten.
• [ ] Als ik gebruik heb gemaakt van links, dan heb ik gecheckt of deze werken.
• [ ] Ik heb gebruik gemaakt van de templates en formats van het algoritmekader.
• [ ] Deze pull-request gaat naar de juiste branch (in principe mergen we eerst naar de branch release alvorens te mergen naar de main branch).

[floort]

Ik lees in het voorstel dat een ongespecificeerde partij toewijst wie wie de verwerkingsverantwoordelijke is.

Nadat de verantwoordelijkheden zijn beschreven en toegewezen, zullen deze moeten worden vastgesteld door de verwerkersverantwoordelijke.

Dat is niet hoe de AVG werkt. Onder de AVG moet aan de hand van de feitelijke situatie worden vastgesteld wie er feitelijk doel en middelen (mede) bepalen. Zie bijvoorbeeld: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_en

Nadat is vastgesteld wie in een samenwerking feitelijk het doel en middelen van een verwerking bepalen wordt vastgelegd wie de (gezamelijke) verwerkingsverantwoordelijken zijn en wie de verwerkers. Uit deze vaststeling van de rolverdeling volgen onder de AVG verschillende rechten en plichten.

@floort : Aanpassingen gedaan in deze branche: https://github.com/MinBZK/Algoritmekader/blob/Release-1.4-toevoegen-maatregelen/docs/maatregelen/vaststellen_verantwoordelijkheden_persoonsgegevens.md

[floort]

Het uitvoeren van een DPIA is geen onderdeel van het vaststellen van verantwoordelijkheiden. Het in kaart brengen van de verschillende rollen en diens belangen is wel onderdeel van de DPIA onder artikel 35(7)(a) AVG. Commit de30297 hoort denk ik niet thuis in deze PR.

Inhoudelijk missen er enkele belangrijke onderdelen. Zo mist er bijvoorbeeld dat volgens de AP een DPIA in ieder geval moet worden uitgevoerd als er sprake is van één van de volgende elementen:

1. Evaluatie of scoretoekenning
2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg
3. Stelselmatige monitoring
4. Gevoelige gegevens of gegevens van zeer persoonlijke aard
5. Op grote schaal verwerkte gegevens
6. Matching of samenvoeging van datasets
7. Gegevens met betrekking tot kwetsbare betrokkenen
8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen
9. de situatie waarin als gevolg van de verwerking zelf ″betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst″;

Ook is het belangrijk om te benoemen dat bij hoge risico's een voorafgaande raadpeging bij de AP onder aritkel 36 AVG verplicht is. Het monitoren van de voortgang van de maatregelen zoals gesuggereerd wordt is niet altijd een verplichting. Als het gaat om maatregelen voor hoge risico's mag de verwerking niet starten zonder voorafgaande raadpleging. En als de verwerking nog niet gestart is zijn er onder de AVG geen verplichtingen om maatregelen te monitoren en vast te leggen. Ik denk dat het helpt om artikel 36 op te nemen in de omschrijving.

@floort : Aanpassingen gedaan in deze branche:

• https://github.com/MinBZK/Algoritmekader/blob/Release-1.4-toevoegen-maatregelen/docs/maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico's.md

[github-actions[bot]]

PR Preview Action v1.4.7 :---: :rocket: Deployed preview to https://MinBZK.github.io/Algoritmekader/pr-preview/pr-179/ on branch gh-pages at 2024-08-14 08:23 UTC