<b>Bijsluiter</b>. De hyperlink naar het originele document werkt niet meer. Daarom laat Woogle de tekst zien die in dat document stond. Deze tekst kan vreemde foutieve woorden of zinnen bevatten en de opmaak kan verdwenen of veranderd zijn. Dit komt door het zwartlakken van vertrouwelijke informatie of doordat de tekst niet digitaal beschikbaar was en dus ingescand en vervolgens via OCR weer ingelezen is. Voor het originele document, neem contact op met de Woo-contactpersoon van het bestuursorgaan.<br><br>====================================================================== Pagina 1 ======================================================================

<pre>              .....
                                         030
0-meting PSbD
                         <TITEL
                         APPLICATIE>
                                    Versie 2.0
                    Versie datum 24 april 2018
</pre>

====================================================================== Einde pagina 1 =================================================================

<br><br>====================================================================== Pagina 2 ======================================================================

<pre>   Documentinformatie
   Versiegeschiedenis
                     Versie                                                                                 Gemarkeerde
    Versie                                    Samenvatting van de aanpassing
                     datum                                                                                   wijzigingen
   1.0             7-12-2017      Beleid en wetgeving bij criteria aangepast
   Distributie
                    Verzend
    Versie                                                    Naam                                       Afdeling / Functie
                     datum
   Review commentaar
    Versie         Wanneer                                     Wie                                             Functie
© Politie, all rights reserved.
Niets uit deze uitgave mag worden verveelvoudigd, op geautomatiseerde wijze opgeslagen of openbaar gemaakt in enige vorm of op
enigerlei wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder voorafgaande schriftelijke
toestemming van de Politie.
</pre>

====================================================================== Einde pagina 2 =================================================================

<br><br>====================================================================== Pagina 3 ======================================================================

<pre>Inhoudsopgave
Documentinformatie .................................................................................................................... 2
Inhoudsopgave............................................................................................................................ 2
Soorten verwerkingen van politiegegevens ................................................................................. 4
Principe 1: eenmalige vastlegging (Z) ......................................................................................... 5
Principe 2: PDCA-Cyclus (M) ...................................................................................................... 7
Principe 3: Doelbinding (Z) .......................................................................................................... 9
Principe 4: Verantwoording (Z) .................................................................................................. 11
Principe 5: Autorisatie (Z) .......................................................................................................... 12
Principe 6: Metagegevens (Z) ................................................................................................... 14
Principe 7: Kwaliteitszorg (Z) ..................................................................................................... 16
Principe 8: Bewaren en vernietigen (Z) ..................................................................................... 18
Principe 9: Informatiebeveiliging (Z) .......................................................................................... 21
Principe 10: Privacy by default .................................................................................................. 23
Principe 11: Toepassen standaarden (L) ................................................................................... 24
Principe 12: Verantwoordelijkheden belegd (M) ........................................................................ 25
Pagina 3 van 26                                                                                                     0-meting PSbD
                                                                                                                          Versie 2.0
</pre>

====================================================================== Einde pagina 3 =================================================================

<br><br>====================================================================== Pagina 4 ======================================================================

<pre>Soorten verwerkingen van politiegegevens
Welke verschillende soorten verwerkingen van politiegegevens zijn van toepassing bij de applicatie.
Het gaat hierbij om elke handeling of elk geheel van handelingen met betrekking tot politiegegevens.
Niet-limitatieve opsomming
                                                       Soort gegevens
                 Soort verwerking                                            X                  Toelichting
                                                     (bijzonder, gewoon)
Verzamelen
Vastleggen (registreren)
Ordenen (vb. in categorieën plaatsen)
Bewaren (opslaan)
Bijwerken (het ontbrekende aanvullen /
bestaande aanvullen)
Wijzigen (het bestaande aanpassen)
Opvragen (ophalen van gegevens)
Raadplegen (bekijken van gegevens)
Gebruiken
Vergelijken (bv ter verificatie)
Verstrekken doormiddel van doorzending of enige
vorm van terbeschikkingstelling (exporteren)
Samenbrengen (samenvoegen)
Met elkaar in verband brengen (vanuit de
applicatie)
Afscherming (minder zichtbaar of toegankelijk
maken ter bescherming van)
Uitwissen (weghalen/verwijderen zonder
vernietigen)
Vernietigen
Verwerkingsgrondslag
        Doelbinding             Verwerkingsgrondslag         X
Dagelijkse politietaak          Artikel 8
Onderzoek rechtsorde
                                Artikel 9
bepaald geval
Informatiepositie               Artikel 10
Informanten                     Artikel 12
Ondersteunende taken            Artikel 13
Pagina 4 van 26                                                                            0-meting PSbD
                                                                                               Versie 2.0
</pre>

====================================================================== Einde pagina 4 =================================================================

<br><br>====================================================================== Pagina 5 ======================================================================

<pre>Principe 1: eenmalige vastlegging (Z)
“Gegevens worden eenmalig vastgelegd, meervoudig gebruikt”
 Criterium 1: maakt de        Toelichting: referentiegegevens zijn een verzameling waarden van één gegevenstype waarvan                 Wet/beleid: B
 voorziening gebruik van      de betekenis, het gebruiksdoel en de inhoud van te voren is vastgelegd. Het is een specifiek
 de           vastgestelde    voorkomen van een referentie dat eenmalige wordt vastgelegd en meervoudig wordt gebruikt en
 referentiegegevens?          niet door het operationele proces wordt gewijzigd. Afstemming over deze gegevens zal binnen
                              de politie gedaan moeten worden met de GGB.
                              Vb referentiegegevens: Lijst van nationaliteiten, maatschappelijke klassen, lijst van typen
                              goederen
 Evt. opmerkingen / vragen:
 Criterium 2: worden     Toelichting: kernobject is de verzameling gegevens van een bedrijfsobject dat een ankerpunt vormt              Wet/beleid: W
 gegevens van het        voor transacties in de bedrijfsfuncties van de politie. Met andere woorden het is een                          Art. 4. Lid 1
 kernobject in het       gegevensweergave van tastbare objecten uit de wereld om ons heen. Ze hebben een eigen
 betreffende             levenscyclus waar de politie geen bijzondere invloed op heeft. Hetzelfde object kan bij meerdere
 kernregister            operationele processen zijn betrokken. De gegevens worden slechts een keer vastgelegd, ongeacht
 geverifieerd?           bij hoe veel processen het object betrokken is.
                         Vb kernobject: personen, voertuigen, bedrijven of voorwerpen (goederen).
 Evt. opmerkingen / vragen:
 NVT
 Nog niet van toepassing, omdat het in ontwikkeling is.
 Criterium 3: Worden gegevens          Toelichting: Eén en hetzelfde object kan meerdere keren betrokken zijn bij                       Wet/beleid: W
 van een kernobject in de              verschillende operationele processen. De kerngegevens van de objecten blijven bij elk            Art. 4. Lid 1
 betreffende       Basisregistratie    politieproces gelijk en zijn dus uitermate geschikt opnieuw gebruikt te worden. Daarom
 geverifieerd?                         maken ze onderdeel uit van een kernregister. Deze gegevens worden eenmalige in het
                                       kernregister vastgelegd, ongeacht hoe vaak ze voorkomen.
 Alleen indien er geen kernregister beschikbaar is
 Evt. opmerkingen / vragen:
 Criterium         4:  Toelichting: Een kernobject is de verzameling gegevens van een bedrijfsobject dat een ankerpunt Wet/beleid: B
 Worden gegevens       vormt voor vastlegging van transacties in de bedrijfsfuncties van de politie. Het is met andere woorden
 die daarvoor in       een gegevensweergave van tastbare objecten uit de wereld om ons heen, zoals personen, voertuigen,
 aanmerking            bedrijven of voorwerpen (goederen). Die objecten hebben in de buitenwereld hun eigen dynamiek en
 komen vastgelegd      hun eigen levenscyclus waar de politie geen bijzondere invloed op heeft. Eén en hetzelfde object kan
 volgens het model     meerdere keren betrokken zijn bij verschillende operationele processen. De kerngegevens van die
 van kernobjecten?     objecten blijven bij elk politieproces gelijk en deze zijn dus uitermate geschikt om opnieuw gebruikt te
                       worden.
 Evt. opmerkingen / vragen:
 Deze vraag is vooral van toepassing bij nieuwe ontwikkelingen. Die zouden volgens het model van kernobjecten moeten werken.
 Criterium 5:                                       Toelichting:                                                                        Wet/beleid: W
 Indien er sprake is van ‘gerede twijfel’ over      ‘Gerede twijfel’:                                                                   Art. 4. Lid 1
 een gegeven wordt dit aan de bronhouder            Er is sprake van gerede twijfel bij een afnemer over de juistheid van een
 teruggemeld?                                       gegeven als er voldaan wordt aan de volgende criteria:
                                                          •    er is een sterk vermoeden dat een (authentiek) gegeven onjuist is
                                                          •    dat vermoeden is gebaseerd op kennis en kunde van de eigen
                                                               processen en doelgroep van de afnemer (een combinatie van kennis,
                                                               kunde en gezond verstand)
                                                          •    Men kent de definitie van dit (authentiek) gegeven. De afnemer moet
                                                               weten wat de definitie van een gegeven in een basisregistratie is om te
                                                               kunnen beoordelen of het niet klopt.
                                                    Bij ‘gerede twijfel’ moet de gebruiker/afnemer dit worden gemeld via de
                                                    generieke terugmeldvoorziening. De melding wordt, mogelijk na evaluatie,
Pagina 5 van 26                                                                                                        0-meting PSbD
                                                                                                                              Versie 2.0
</pre>

====================================================================== Einde pagina 5 =================================================================

<br><br>====================================================================== Pagina 6 ======================================================================

<pre>                                                     gerouteerd naar de (externe)             bronhouder      dan   wel   interne
                                                     uitvoeringsverantwoordelijke.
 Evt. opmerkingen / vragen:
 Criterium 7: Wordt        Toelichting: Een kerntransactie is de verzameling gegevens van een bedrijfsobject die een                Wet/beleid: B
 een                       weergave zijn van een feit of een gebeurtenis, waarvoor geldt dat deze in meerdere bedrijfsfuncties
 kerntransactiegegev       gebruikt worden en veelal direct te relateren zijn aan de wettelijke politietaak: handhaven, opsporen
 en       in      één      en noodhulp. Kerntransacties bevatten de gegevens over de uitvoering van het werk. Bij de
 kerntransactievoorzi      uitvoering van die activiteiten wordt informatie verzameld en vastgelegd over de bedrijfsobjecten die
 ening geregistreerd.      tot de scope van de transactie behoren. Hiermee ontstaat niet alleen informatie over die
                           bedrijfsobjecten zelf, maar ook over de redenen waarom een object relevant is voor het uit te voeren
                           proces. Een transactiegegeven wordt in de regel in één applicatie vastgelegd. Het komt voor dat
                           gegevens over transacties middels functionaliteit van meerdere applicaties worden verwerkt. In dat
                           laatste geval is expliciete inrichting van een kerntransactieregister met dataservices een vereiste.
                           Vb kerntransactie: incidenten, aangiftes
 Alleen indien een kerntransactievoorziening beschikbaar is
 Evt. opmerkingen / vragen:
 NVT
 Nog niet van toepassing, omdat het in ontwikkeling is.
 Criterium 8: Mag het           Toelichting: Meervoudige vastlegging dient voorkomen te worden. Voor meervoudige opslag             Wet/beleid: B
 wijzigen     van       een     geldt dit eveneens, maar in mindere mate (bijv. voor back-ups).In geval van meervoudige opslag
 gegeven verkregen uit          zijn de kaders voor zorgvuldige en rechtmatige gegevensverwerking zoals die gelden voor de
 een andere bron alleen         bronsystemen onverkort van toepassing. Bovendien moeten extra waarborgen worden getroffen
 indien de (andere) bron        om de kwaliteit en de consistentie van de gegevensverwerking te waarborgen. Eén systeem zal
 hiervoor                       leidend moeten zijn qua beheerhandelingen, en het andere volgend. Een andere consequentie
 goedkeuring/opdracht           is dat je vanuit de kopiegegevens (de secundaire registratie) geen nieuwe verwerkingen moet
 heeft gegeven?                 doen. Hier is geen aanpassing aan de gegevens mogelijk.
 Evt. opmerkingen / vragen:
 Criterium 9: Ondersteunt de         Toelichting: De politie streeft ernaar om in de informatievoorziening gegevens te scheiden     Wet/beleid: B
 voorziening      het         ter    van functionaliteit. Gegevens moeten voor meerdere applicaties toegankelijk worden
 beschikking    stellen      van     gemaakt via een gegevensdienstenlaag (los van de gegevensverwerkingsdiensten). De
 gegevens      aan       andere      moderne netwerkinfrastructuur, applicatieservers en webapplicatie-ontwikkeling moeten het
 voorzieningen      via      een     mogelijk maken om webapplicaties te ontwikkelen die snelle interacties met
 gegevensdienstenlaag?               gegevensdiensten ondersteunen.
 Evt. opmerkingen / vragen:
 Criterium      10:       Wordt      Toelichting: Registreer gegevens (waar mogelijk) slechts eenmaal en wel in het daarvoor        Wet/beleid: B
 gecontroleerd of gegevens al        aangewezen registratieve systeem. Controleer voor invoer of gegevens niet al bestaan.
 bestaan, indien gegevens
 worden geregistreerd?
 Evt. opmerkingen / vragen:
Pagina 6 van 26                                                                                                     0-meting PSbD
                                                                                                                          Versie 2.0
</pre>

====================================================================== Einde pagina 6 =================================================================

<br><br>====================================================================== Pagina 7 ======================================================================

<pre>Principe 2: PDCA-Cyclus (M)
“De werking van de informatievoorziening wordt bestuurd op basis van cyclische terugkoppeling”
 Criterium 1: Levert de              Toelichting: We willen graag dat reguliere plan- en rapportageproducten zoals                  Wet/beleid: B
 voorziening stuurinformatie ten     jaarplannen en jaarverslagen ook onderdelen bevatten over de omvang van de
 behoeve van de reguliere            gegevensverwerking, de kwaliteit van gegevens, aantallen gebruikers, aantallen
 PDCA cyclus?                        verstrekkingen, het beheer van autorisaties, beveiligingsmaatregelen en –incidenten.
 Evt. opmerkingen / vragen:
 Criterium 2: Worden de         Toelichting: Om te voorkomen dat rapportages te ver terug moeten gaan en gegevens                 Wet/beleid: B
 rapportages     t.b.v.    de   inmiddels zijn gewijzigd, is een periodieke rapportage van belang.
 besturing      van        de   De besturing van de gegevensverwerking moet als onderdeel van de besturing van het
 gegevensverwerking             politiewerk worden georganiseerd in een transparant proces met meetbare doelstellingen,
 periodiek opgeleverd?          rapportages, de resultaten van risicoanalyses en audits, registratie van risico’s en periodieke
                                overzichten van incidenten. De managementrapportages moeten daarom ook een paragraaf
                                bevatten over de gegevensverwerking zodat de verantwoordelijke managers kunnen
                                (bij)sturen.
 Evt. opmerkingen / vragen:
 Criterium 3: Is het beheer van          Toelichting: Een belangrijk onderscheid is dat tussen de besturingscyclus (plannen –       Wet/beleid: B
 gegevens, processen en software         in werking brengen) en de uitvoeringscyclus (vastleggen – vernietigen). De principes
 onderdeel van de PDCA cyclus?           voor omgang met gegevens komen tot uitdrukking of worden vertaald in de
                                         besturingscyclus en ze worden zichtbaar in de uitvoeringscyclus; daar waar
                                         daadwerkelijk gegevens worden verwerkt. Vanuit de uitvoeringscyclus vindt
                                         terugkoppeling plaats voor verbetering en aanpassing van de inrichting van zowel de
                                         besturingscyclus als de uitvoeringscyclus. In dit referentiemodel is de PDCA-cyclus
                                         herkenbaar van cyclische terugkoppeling in de besturing van de gegevensverwerking.
                                         Een belangrijke consequentie van dit uitgangspunt is dat gegevens gedurende hun
                                         gehele levenscyclus beheerd moeten worden.
 Evt. opmerkingen / vragen:
 Criterium      4:      Is     een        GEB Toelichting: Daar waar verwerkingen een risico hebben is het zelf noodzakelijk         Wet/beleid: W
 (gegevensbeschermingseffectbeoordeling) om er een GEB voor op te stellen. Er is een GEB voor zowel AVG als Wpg.                     art. 4c Wpg
 uitgevoerd?                                     Is er een controle uitgevoerd of een GEB nodig is?
 Alleen indien er sprake is van een nieuwe verwerking met hoog risico of bij een nieuwe technologie
 Evt. opmerkingen / vragen:
 Criterium 5: Is de Autoriteit Toelichting: indien het een verwerking met een hoog risico betreft (of er gebruik wordt               Wet/beleid: W
 Persoonsgegevens                      gemaakt van een nieuwe technologie), moet de Autoriteit Persoonsgegevens vóóraf               art. 33b Wpg
 geraadpleegd?                         worden geraadpleegd.
 Alleen indien nodig na het uitvoeren van de GEB
 Evt. opmerkingen / vragen:
Pagina 7 van 26                                                                                                     0-meting PSbD
                                                                                                                          Versie 2.0
</pre>

====================================================================== Einde pagina 7 =================================================================

<br><br>====================================================================== Pagina 8 ======================================================================

<pre> Criterium      6:    Is    een   Toelichting: een derde partij voert de verwerking uit voor de verwerkingsverantwoordelijke.     Wet/beleid: W
 verwerkersovereenkomst           De verwerkingsverantwoordelijke houdt de verantwoordelijkheid en bepaalt welke gegevens         Art. 6c lid 2
 opgesteld?                       op welke manier moeten worden verwerkt. De derde partij (de verwerker) en de                    Wpg
                                  verwerkingsverantwoordelijke (de politie) zijn gelijkwaardige partijen.
                                  Vb. hierbij kan gedacht worden aan hosting, data-analyse
 Evt. opmerkingen / vragen:
 Criterium      7:    Voert    de   Toelichting: Regievoering op beleid, koers en strategie                                    Wet/beleid: B
 beleidsverantwoordelijke regie     - Regie op verbeteringen
 op definities, beleid, koers en    - Toezicht op kwaliteit en op voortgang van in werking brengen
 strategie vastgesteld voor de      - Accorderen van definities, classificaties, richtlijnen, eisen en accorderen van regels
 verwerking van gegevens?           voor beveiliging
                                    - Tijdig (laten) betrekken van de juiste belanghebbenden.
                                    Beleidsverantwoordelijke: directeuren en portefeuillehouders (politiechefs)
 Evt. opmerkingen / vragen:
Pagina 8 van 26                                                                                                   0-meting PSbD
                                                                                                                       Versie 2.0
</pre>

====================================================================== Einde pagina 8 =================================================================

<br><br>====================================================================== Pagina 9 ======================================================================

<pre>Principe 3: Doelbinding (Z)
“Persoonsgegevens worden alleen verwerkt als daar een gerechtvaardigd doel voor bestaat en ze worden
niet verder verwerkt op een wijze die onverenigbaar is met het oorspronkelijk doel”
 Criterium 1: Is in (het ontwerp van) de       Toelichting: Bij het ontwerp van een informatievoorziening dient ervoor           Wet/beleid: W
 voorziening      opgenomen       wat     de   gezorgd te worden dat elk gegeven van zo’n verwerkingsgrondslag wordt             Art. 3 lid 1
 verwerkingsgrondslag is van de in de          voorzien. Zowel de AVG als de Wbp kennen limitatieve
 voorziening verwerkte gegevens?               verwerkingsgrondslagen.
 Evt. opmerkingen / vragen:
 Criterium 2: Is het mogelijk meer dan een   Toelichting: Bij het toekennen van een nieuwe verwerkingsgrondslag aan              Wet/beleid: W
 verwerkingsgrondslag         bij      een   gegevens die al een verwerkingsgrondslag hebben, blijft de oude ook                 Art. 3 lid 1
 politiegegeven te verwerken?                bestaan. Een gegeven kan dus tegelijkertijd worden verwerkt op basis van
                                             zowel artikel 8, 9, 10, 12, 13 als 14. Zo kan een verlopen rijbewijs bijvoorbeeld
                                             in een opsporingsonderzoek gebruikt worden en dan zijn dit tegelijkertijd
                                             artikel 8 als 9-gegevens.
 Alleen indien de voorziening bij verwerking van gegevens meer dan een verwerkingsgrondslag ondersteunt
 Evt. opmerkingen / vragen:
 Criterium 3: Kan een                        Toelichting: In registratieve systemen dient een mogelijkheid te zijn om de         Wet/beleid: B
 verwerkingsgrondslag automatisch worden     grondslag af te leiden (indien mogelijk) en vast te leggen. Afleiding kan
 herleid?                                    plaatsvinden op basis van de bedrijfsfunctie (gebaseerd op de selectielijst
                                             politie) waarvoor de applicatie bedoeld is. Verder kunnen ook de functie van
                                             de medewerker en de locatie waar hij zich bevindt gebruikt worden om de
                                             verwerkingsgrondslag af te leiden.
 Alleen bij een registratieve voorziening
 Evt. opmerkingen / vragen:
 Criterium 4: Kan de automatisch afgeleide   Toelichting: een gebruiker dient af te kunnen wijken van de door het                Wet/beleid: B
 verwerkingsgrondslag door de gebruiker      registratieve systeem afgeleide verwerkingsgrondslag.
 worden aangepast?
 Alleen bij een registratieve voorziening
 Evt. opmerkingen / vragen:
 Criterium 5: Kan de                       Toelichting: We willen graag dat de verwerkingsgrondslag geautomatiseerd              Wet/beleid: B
 verwerkingsgrondslag op een andere        wordt afgeleid. Als dit niet mogelijk is moet deze op een andere manier worden
 wijze worden geregistreerd?               bepaald. In de regel zal de gebruiker dan de verwerkingsgrondslag bepalen en
                                           dus moet deze in die gevallen de mogelijkheid hebben deze in te voeren. De
                                           verwerkingsgrondslag moet ook daadwerkelijk worden gebruikt bij het
                                           toepassen van de andere normen voor zorgvuldige en rechtmatige verwerking,
                                           met name bij het autoriseren en bij het bewaren en vernietigen.
 Alleen indien de grondslag niet automatisch kan worden herleid
 Evt. opmerkingen / vragen:
Pagina 9 van 26                                                                                                  0-meting PSbD
                                                                                                                       Versie 2.0
</pre>

====================================================================== Einde pagina 9 =================================================================

<br><br>====================================================================== Pagina 10 ======================================================================

<pre> Criterium 6: Is een goedgekeurd artikel    Toelichting: En als het artikel 13 is, dan ook de datum einde                     Wet/beleid: W
 13-protocol aanwezig?                      verwerkingstermijn. Deze dient van tevoren bepaald te zijn en vastgelegd te zijn  Art. 32 lid 1 sub b
                                            in het artikel 13-protocol dat de betreffende verwerking rechtvaardigt.           Wpg
 Alleen indien het een artikel 13 verwerking betreft
 Evt. opmerkingen / vragen:
 Criterium 7: is de datum einde             Toelichting: Deze metagegevens over de verwerkingsgrondslagen reizen mee          Wet/beleid: W
 verwerkingstermijn opgenomen in het        naar de data-analyseomgeving zodat ook daar op de juiste wijze deze gegevens      Art. 32 Wpg
 gegevensmodel?                             getoond of juist verwijderd kunnen worden.
 Alleen indien het een artikel 13 verwerking betreft
 Evt. opmerkingen / vragen:
 Criterium 8: Kan de datum einde            Toelichting: En als het artikel 13 is, dan ook de datum einde                     Wet/beleid: B
 verwerkingstermijn worden gewijzigd?       verwerkingstermijn. Deze dient van tevoren bepaald te zijn en vastgelegd te zijn
                                            in het artikel 13-protocol dat de betreffende verwerking rechtvaardigt.
                                            Bijvoorbeeld voor gevarenclassificatie: als een persoon als vuurwapengevaarlijk
                                            aangemerkt wordt, dan dient bij de invoer van deze gegevens in BVH ook
                                            geregistreerd te worden tot wanneer dit label blijft bestaan.
 Alleen indien het een artikel 13 verwerking betreft
 Evt. opmerkingen / vragen:
 Criterium 9: Kan een datum einde           Toelichting: Binnen één artikel 13-protocol kunnen meerdere termijnen             Wet/beleid: B
 verwerkingstermijn meer dan een keer       bestaan, zoals in het ‘HKS-protocol’ waarin beschreven is hoelang
 worden geregistreerd?                      antecedentgegevens (de oude HKS-data) verwerkt mogen worden.
 Alleen indien het artikel 13 protocol dit voorschrijft
 Evt. opmerkingen / vragen:
 Criterium 10: Blijft een metagegeven met Toelichting: Deze metagegevens over de verwerkingsgrondslagen reizen                Wet/beleid: W
 betrekking tot de verwerkingsgrondslag en mee naar de data-analyseomgeving zodat ook daar op de juiste wijze deze            Art. 32a Wpg
 verwerkingstermijn    blijft het gegeven gegevens getoond of juist verwijderd kunnen worden.
 begeleiden?
 Alleen indien dat gegeven voor een ander doel ter beschikking wordt gesteld
 Evt. opmerkingen / vragen:
Pagina 10 van 26                                                                                                0-meting PSbD
                                                                                                                    Versie 2.0
</pre>

====================================================================== Einde pagina 10 =================================================================

<br><br>====================================================================== Pagina 11 ======================================================================

<pre>Principe 4: Verantwoording (Z)
“De politie moet verantwoording afleggen over zijn taakuitvoering en over de gegevensverwerking die daarbij
plaatsvindt”
 Criterium 1: Wordt         een  Toelichting: Een audittrail maakt het mogelijk voor een controlerende instantie om vast    Wet/beleid: W
 audittrail geregistreerd?       te stellen wie, wanneer welke handelingen heeft verricht en hoe besluiten tot stand zijn   Art. 32 Wpg
                                 gekomen. In de regelgeving ten aanzien van gegevensverwerking heet deze vastlegging
                                 van handelingen en besluiten de protocolplicht.
 Evt. opmerkingen / vragen:
 Criterium        2:     Worden  Toelichting: Bij het aanleggen van audittrails gaat het om de keten van handelingen en     Wet/beleid: B
 gegevens van de audittrail aan  beslissingen die tot een bepaalde conclusie of besluit geleid hebben. De werkprocessen
 een generieke voorziening       waarin deze werkzaamheden georganiseerd zijn kunnen over meerdere personen en
 beschikbaar gesteld?            afdelingen heen lopen. Het is ook mogelijk dat de handelingen en besluiten met behulp
                                 van verschillende instrumenten of systemen worden vastgelegd. Omwille van de
                                 controleerbaarheid en het goede beheer van de verantwoordingsinformatie heeft het de
                                 voorkeur om voor de vastlegging van handelingen en besluiten één registratie te
                                 gebruiken. Een generieke voorziening kan een loggingserver zijn, waarin alle handelingen
                                 en besluiten uit de verschillende informatievoorzieningen worden geregistreerd ten
                                 behoeve van het genereren van een audittrail.
 Alleen indien aanwezig
 Evt. opmerkingen / vragen:
 NVT: Nog niet van toepassing, omdat de generieke voorziening nog in ontwikkeling is
 Criterium 3: Is de audittrail   Toelichting: De registratie van handelingen moet beveiligd worden tegen manipulatie en     Wet/beleid: B
 beveiligd tegen manipulatie?    waarborgen bieden voor bewaring en goede toegankelijkheid om er voor te zorgen dat de
                                 bewijskracht voor het verantwoordingsdoel niet in gevaar komt.
                                 Dit is van toepassing op de gebruikers, maar ook op het beheer van de voorziening.
 Evt. opmerkingen / vragen:
 Criterium 4: Is het mogelijk    Toelichting: De registratie is daarnaast nadrukkelijk bedoeld voor auditdoeleinden om      Wet/beleid: W
 een rapportage van de           achteraf aan controlerende instanties bewijs te kunnen leveren over de zorgvuldigheid en   Art. 32a Wpg
 audittrail te genereren?        rechtmatigheid van de taakuitvoering.
 Evt. opmerkingen / vragen:
Pagina 11 van 26                                                                                             0-meting PSbD
                                                                                                                  Versie 2.0
</pre>

====================================================================== Einde pagina 11 =================================================================

<br><br>====================================================================== Pagina 12 ======================================================================

<pre>Principe 5: Autorisatie (Z)
“Aan gebruikers wordt toegang tot de informatievoorziening verleend op basis van noodzaak voor de
uitvoering van de hen opgedragen werkzaamheden”
 Criterium 1: Maakt de         Toelichting: Het autorisatiebeheer moet eenvoudig en efficiënt worden ingericht en zo veel        Wet/beleid: B
 voorziening voor het          mogelijk gebruik maken van geautomatiseerde procedures. We moeten dus zoveel mogelijk
 verlenen van toegang          voorkomen dat autorisaties op ad hoc basis aan individuen worden toegekend. Noodzakelijke
 gebruik van de generieke      ad hoc autorisaties worden centraal vastgelegd en zijn van tijdelijke aard. Voor nieuwe
 IAM- voorziening voor         applicaties geldt daarom de richtlijn om gebruik te maken van een generieke voorziening die
 het      verifiëren   van     autorisaties toekent op basis van de rollen van gebruikers en de kenmerken van de verwerkte
 identiteiten?                 gegevens. We noemen dit rol gebaseerde- en attribuut gebaseerde toegang.
                               Momenteel is het beheer van autorisaties versnipperd, regionaal verschillend, chaotisch, het
                               vindt veelal handmatig plaats en er is geen landelijke sturing op. Om deze problemen op te
                               lossen en een systeem van autorisaties te krijgen dat voldoet aan de vereisten van
                               zorgvuldigheid en evenredigheid en de mogelijkheid daar een actueel overzicht van te genereren
                               is het noodzakelijk dat:
                               - de registratie van medewerkers en dienstverbanden uniform, eenduidig en actueel is.
                               Autorisaties komen bij voorkeur geautomatiseerd via het personeelssysteem tot stand. Zodra
                               daar een functie, rol of taak wordt toegekend, gewijzigd of ingetrokken zal dit automatisch tot
                               een autorisatiewijziging leiden.
                               - er een landelijk autorisatiebeheersysteem komt waarin autorisaties centraal worden vastgelegd
                               en decentraal kunnen worden beheerd. Dit autorisatiebeheersysteem moet geautomatiseerd
                               signalen van het HRM-systeem kunnen verwerken (zoals uitdiensttreding en schorsing).
 Evt. opmerkingen / vragen:
 Criterium 2: Maakt de voorziening Toelichting: De visie op autoriseren is verwoord in het document Autorisatiebeleid            Wet/beleid: W
 voor het verlenen van toegang politie 2016-2020 en vertaalt in de voorziening Identity en Access Management (IAM).              Art. 6 Wpg
 gebruik van de vastgestelde Indien geen gebruik wordt gemaakt van de IAM dient de voorziening alsnog te voldoen
 autorisatierollen van de politie?        aan de wettelijke bepalingen van de Wpg en Bpg en de regels uit die visie.
 Alleen indien (nog) niet aangesloten op het autorisatiebeheersysteem IAM
 Evt. opmerkingen / vragen:
 Criterium 3: Maakt de         Toelichting: Op dit moment worden autorisaties aan gebruikers toegekend per applicatie. Met       Wet/beleid: B
 voorziening gebruik van       de ontwikkeling van kernregisters en gegevensdiensten komt het echter steeds vaker voor dat
 toegangsverlening      op     dezelfde gegevens via meerdere applicaties geraadpleegd en verwerkt kunnen worden. Het is
 gegevensniveau         (in    daarbij van belang dat gebruikers die niet geautoriseerd zijn voor het raadplegen en verwerken
 plaats van uitsluitend op     van gegevens via de ene applicatie ook niet onbedoeld via een andere applicatie bij dezelfde
 applicatieniveau)?            gegevens kunnen. Op dit moment wordt dit gewaarborgd door de autorisaties voor verschillende
                               applicaties te baseren op dezelfde autorisatieregels.
 Evt. opmerkingen / vragen:
 Criterium 4: Maakt de voorziening voor het verlenen          Toelichting: -                                                     Wet/beleid: B
 van toegang gebruik van de generieke autorisatietool
 voor leidinggevenden?
 Evt. opmerkingen / vragen:
Pagina 12 van 26                                                                                                  0-meting PSbD
                                                                                                                       Versie 2.0
</pre>

====================================================================== Einde pagina 12 =================================================================

<br><br>====================================================================== Pagina 13 ======================================================================

<pre> Criterium 5: Ondersteunt de     Toelichting: met de ruimere toegang tot gegevens kan oneigenlijk gebruik van deze             Wet/beleid: B
 voorziening     Audit    Based  gegevens niet worden uitgesloten. Zodanig moet er ter ondersteuning van ABA een goed
 Access Control toegang?         controle (audit) proces en sanctiebeleid zijn, de kans op controle en een eventuele sanctie
                                 achteraf moet misbruik voldoende gesanctioneerd kunnen worden. Herleidbaarheid van
                                 de gebruiker en de acties van deze gebruiker moeten dan ook altijd te achterhalen zijn wil
                                 ABA succesvol zijn. De focus van ABA concentreert zich volledig op de vraag of de
                                 medewerker de verwerking heeft verricht binnen de hem daarvoor opgelegde taakstelling.
                                 Beschrijving hiervan staat in het autorisatiebeleid 2016-2020
 Alleen indien (nog) niet aangesloten op het autorisatiebeheersysteem IAM
 Evt. opmerkingen / vragen:
 Criterium 6: Zijn de gebruikers Toelichting: Omdat er in de visie op autoriseren autorisaties breed worden toebedeeld is      Wet/beleid: W
 geïnstrueerd m.b.t. de voor hen het van belang dat de gebruiker correct wordt geïnstrueerd en opgeleid in de wijziging van    Art.4a Wpg
 geldende autorisatieregels?     het autorisatiebeleid. Meerdere rechten die binnen de (politie)taakstelling vallen hoeven
                                 niet altijd daadwerkelijk voor de gebruiker van toepassing te zijn. Ruimere autorisaties
                                 versnelt het delen van informatie binnen de organisatie.
 Evt. opmerkingen / vragen:
 Criterium 7: Genereert de       Toelichting: Lever rapportages of het gebruik van autorisaties. Vb laatste inlog moment       Wet/beleid: B
 voorziening rapportages op het  gebruiker.
 gebruik van autorisaties?
 Evt. opmerkingen / vragen:
 Criterium 8: Worden de          Toelichting: Controleren: Voer regelmatig controles uit op toegangs- en gebruiksrechten       Wet/beleid: W
 toegang- en gebruiksrechten     van medewerkers                                                                               Art. 4a Wpg
 van gebruikers regelmatig
 gecontroleerd?
 Evt. opmerkingen / vragen:
Pagina 13 van 26                                                                                               0-meting PSbD
                                                                                                                     Versie 2.0
</pre>

====================================================================== Einde pagina 13 =================================================================

<br><br>====================================================================== Pagina 14 ======================================================================

<pre>Principe 6: Metagegevens (Z)
“Gegevens worden bij opslag en verdere verwerking voorzien van kenmerken die nodig zijn om de juistheid
en de rechtmatigheid van de gegevensverwerking te waarborgen”
 Criterium 1: Wordt in het ontwerp            Toelichting: Bedrijfsbegrippen worden gedefinieerd zodat de betekenis van de           Wet/beleid: B
 gebruik gemaakt van de vastgestelde          woorden die gebruikt worden bij de uitvoering van het werk, eenduidig beschreven
 definities voor bedrijfsbegrippen?           is. Stel definities op voor te verwerken gegevens en gebruik hierbij de leidraad. Dit
                                              moet in overleg gedaan worden met het GGB.
 Evt. opmerkingen / vragen:
 Criterium 2: Zijn de      Toelichting: De bedrijfsbegrippen worden gebruikt in bedrijfsregels. Dit zijn ondubbelzinnige             Wet/beleid: B
 van        toepassing     afspraken over de wijze waarop het werk uitgevoerd moet worden. Voor zowel bedrijfsbegrippen als
 zijnde vastgestelde       bedrijfsregels is een leidraad opgesteld. Bedrijfsobjecten zijn de bedrijfsbegrippen waar de politie
 Wpg bedrijfsregels        gegevens over verwerkt of wil verwerken. Het Bedrijfsobjectenmodel (BOM) geeft een opsomming
 geïmplementeerd?          van deze bedrijfsobjecten per business-domein. Tevens geeft het aan wat de belangrijkste relaties
                           tussen de objecten zijn. Ten slotte zijn er bedrijfsregels van kracht op de objecten. Voor artikel 1 tot
                           en met 10 van de Wpg zijn er bedrijfsregels beschikbaar die vastgesteld zijn door de
                           Gegevensautoriteit. Het registreren van de herkomst en wijze van verkrijgen van een art. 9-gegeven
                           en art. 10-gegeven is als bedrijfsregel in de set Wpg bedrijfsregels opgenomen.
 Evt. opmerkingen / vragen:
 Criterium 3: Wordt het      Toelichting: Het Ontwerpkader Toepassingsprofiel Metagegevens Politie beschrijft hoe het           Wet/beleid: B
 Toepassingsprofiel          gegevensmodel TMP opgezet moet worden. De afdeling GGB stelt dit gegevensmodel TMP
 Metagegevens Politie        op. Het TMP zal gebaseerd worden op het Toepassingsprofiel Metagegevens Rijk (TMR).
 (TMP) gebruikt?             Het geformuleerde ontwerpkader is in lijn met de Informatiearchitectuur en het
                             Bestemmingsplan IV. Zo lang het gegevensmodel nog niet beschikbaar is, is het
                             ontwerpkader het document dat de contouren bepaalt.
 Alleen indien dit is vastgesteld
 Evt. opmerkingen / vragen:
 NVT: Nog niet van toepassing, omdat dit nog in ontwikkeling is.
 Criterium      4:    Wordt       het Toelichting: Neem toepassingsprofiel metagegevens mee in requirements.              Wet/beleid: B
 Toepassingsprofiel                     Zolang het TMP nog niet beschikbaar is kan teruggevallen worden op het
 Metagegevens Rijk toegepast?           TMR.
 Alleen indien geen TMP is vastgesteld
 Evt. opmerkingen / vragen:
 Criterium 5: Wordt het        Toelichting: Het Politiegegevensmodel (PGM) kan worden gezien als een gegevensgerichte                Wet/beleid: B
 Politie Gegevensmodel         invulling van het BOM, waarbij bedrijfsobjecten uit het BOM geïmplementeerd worden in de
 (PGM) toegepast?              logische onderdelen van het PGM. De conceptuele modellen PGM en het dossiermodel zijn
                               geïmplementeerd in fysieke databasemodellen en specificaties voor berichtuitwisseling.
 Evt. opmerkingen / vragen:
Pagina 14 van 26                                                                                                     0-meting PSbD
                                                                                                                           Versie 2.0
</pre>

====================================================================== Einde pagina 14 =================================================================

<br><br>====================================================================== Pagina 15 ======================================================================

<pre> Criterium 6:            Toelichting: De kenmerken die van de verwerkte gegevens worden vastgelegd moeten onder andere              Wet/beleid:: W
 Worden kenmerken        de volgende onderdelen kunnen bevatten:                                                                    Art. 4a Wpg
 van de te verwerken     • identificatiekenmerken,
 gegevens                • wettelijke verwerkingsgrondslag
 vastgelegd?             • kenmerken die noodzakelijk zijn voor het verwerken van gegevens binnen het politieproces en/of
                         binnen de keten, voorbeelden zijn transactie/event, datum, status, vorm,
                         • kenmerken die noodzakelijk zijn voor het verwerken van gegevens in de keten,
                         • de herkomst van de gegevens (verplicht voor art. 9 en 10-gegevens)
                         • de wijze van verkrijging (verplicht voor art. 9 en 10-gegevens is dit verplicht),
                         • logginggegevens, zoals tijd en datum en wie met welke taak is ingelogd.
 Evt. opmerkingen / vragen:
 Criterium 7: Worden         Toelichting: Het is van belang dat deze metagegevens op het juiste niveau worden vastgelegd.           Wet/beleid: B
 metagegevens        die     -De systemen die gebruikt worden voor de gegevensverwerking (de toepassingsdiensten) moeten
 daarvoor             in     voorzieningen bieden om de vereiste gegevenskenmerken zo veel mogelijk geautomatiseerd af te
 aanmerking      komen       leiden uit het object of de transactie.
 geautomatiseerd             - Bij aanpassingen in informatiesystemen
 afgeleid            en      Ontwerpen
 vastgelegd?                 - Pas de relevante gegevensmodellen aan, waarbij ook de relaties tussen de modellen wordt
                             beheerd.
                             - Zorg dat IV-toepassingen de vereiste metagegevens zoveel mogelijk geautomatiseerd
                             vastleggen.
 Evt. opmerkingen / vragen:
 Criterium 8: Worden de metagegevens die             Toelichting: Zie criterium 7                                                   Wet/beleid: B
 niet geautomatiseerd worden vastgelegd op
 andere manieren ingevuld?
 Evt. opmerkingen / vragen:
 Criterium 9: Worden de metagegevens ook             Toelichting: -                                                                 Wet/beleid: B
 daadwerkelijk gebruikt voor het verlenen van
 toegang, bewaartermijnen, audittrails en
 managementrapportages?
 Evt. opmerkingen / vragen:
 Criterium 10: Worden de metagegevens                Toelichting: Dit is van toepassing bij zowel interne als externe koppelingen   Wet/beleid: B
 meegeleverd bij koppelingen voor verwerking
 in andere voorzieningen?
 Evt. opmerkingen / vragen:
Pagina 15 van 26                                                                                                     0-meting PSbD
                                                                                                                          Versie 2.0
</pre>

====================================================================== Einde pagina 15 =================================================================

<br><br>====================================================================== Pagina 16 ======================================================================

<pre>Principe 7: Kwaliteitszorg (Z)
“De informatievoorziening waarborgt de kwaliteit van de gegevensverwerking”
 Criterium 1: Bevat (het ontwerp van) de            Toelichting: Door in de testfase al te meten op de geformuleerde eisen is        Wet/beleid: B
 voorziening requirements met betrekking tot        de kwaliteit van gegevens in een vroegtijdig stadium inzichtelijk. Dit
 de kwaliteit van gegevens?                         monitoringproces kan ook gestart worden n.a.v. geconstateerde problemen
                                                    of n.a.v. een GEB. Zie kwaliteitsraamwerk (Kwaliteitszorg).
 Evt. opmerkingen / vragen:
 Criterium 2: Zijn de                Toelichting: Voorafgaand aan de gegevensverwerking worden de kwaliteitseisen                    Wet/beleid: B
 kwaliteitseisen uit het ontwerp     vastgesteld door de beleidsverantwoordelijke voor de gegevens. Voor het formuleren van
 afgestemd met de                    de kwaliteitseisen kan de politie gebruik maken van onderstaand raamwerk van
 beleidsverantwoordelijke?           kwaliteitskenmerken. Gegevenskwaliteit wordt in dit raamwerk ingedeeld in de groepen
                                     juistheid, doeltreffendheid en controleerbaarheid.
 Evt. opmerkingen / vragen:
 Criterium 3: Zijn de kwaliteitseisen     Toelichting: Gegevenskwaliteitseisen van gebruikers (processen of ketenpartners)           Wet/beleid: B
 (van het ontwerp) gerealiseerd?          worden opgesteld en beheerd. De eisen worden gebruikt in IV-
                                          voortbrengingsprocessen om First time right (FTR) mogelijk te maken.
 Evt. opmerkingen / vragen:
 Criterium 4:            Toelichting: Bij herstel van gegevens kan onderscheid gemaakt worden naar dweilen                           Wet/beleid: B
 Kunnen                  (gegevensherstel/correctie) en het dichtdraaien van de kraan (structureel). Denk bij structureel herstel
 afwijkingen van de      aan het doorvoeren van verbeteringen in applicaties en procedures. Verbetering van de omgang met
 gegevenskwaliteit       gegevens kan ook bereikt worden door opleiding.
 handmatig worden
 aangepast?              Vb. Als er vaak incidenten zijn, wordt het probleem per keer opgelost of wordt gekeken naar de
                         software en waar het probleem vandaan komt?
 Evt. opmerkingen / vragen:
 Criterium 5: Zijn er bedrijfsregels        Toelichting: zijn er definities / regels opgesteld omtrent de gewenste kwaliteit van     Wet/beleid: B
 geformuleerd om de kwaliteit van           gegevens. Bijvoorbeeld een volledig adres, ipv alleen de straatnaam of een
 gegevens te meten?                         afgeronde vingerafdruk in plaats van een platte.
 Evt. opmerkingen / vragen:
 Criterium 6: Zijn er op basis van deze         Toelichting: het moet duidelijk zijn voor de gebruiker indien hij niet voldoet aan   Wet/beleid: B
 bedrijfsregels ook geautomatiseerde            de vereiste kwaliteit. Bijvoorbeeld een rood randje om het invulvakje als het niet
 controles ingebouwd om de                      voldoet (vb. een postcode moet voldoen aan CCCCLL en iemand vult het als
 gegevenskwaliteit te meten?                    CCCC LL (incl spatie) in.)
 Evt. opmerkingen / vragen:
Pagina 16 van 26                                                                                                     0-meting PSbD
                                                                                                                           Versie 2.0
</pre>

====================================================================== Einde pagina 16 =================================================================

<br><br>====================================================================== Pagina 17 ======================================================================

<pre> Criterium 7: Kan een rapport over    Toelichting: het is belangrijk om een rapportage over de kwaliteit te kunnen opstellen,  Wet/beleid: B
 de kwaliteit van de gegevens         op deze manier kan in de gaten worden gehouden hoe de kwaliteit van de invoer is
 worden samengesteld?                 en of hier eventueel op gestuurd moet worden.
 Evt. opmerkingen / vragen:
 Criterium 8: Worden uitgevoerde          Toelichting:                                                                         Wet/beleid: B
 kwaliteitscontroles en het resultaat
 daarvan bewaard?
 Evt. opmerkingen / vragen:
 Criterium      9:    Wordt     een   gebruiker    Toelichting: wordt een melding gegeven als de gebruiker niet voldoet aan    Wet/beleid: B
 geattendeerd op kwaliteitsafwijkingen? (op        de kwaliteitseisen? Vb. een gebruiker kan niet verder / opslaan als niet
 basis van de geformuleerde kwaliteitseisen)       alle (verplichte) velden zijn ingevuld.
 Evt. opmerkingen / vragen:
Pagina 17 van 26                                                                                                0-meting PSbD
                                                                                                                     Versie 2.0
</pre>

====================================================================== Einde pagina 17 =================================================================

<br><br>====================================================================== Pagina 18 ======================================================================

<pre>Principe 8: Bewaren en vernietigen (Z)
“Gegevens worden niet langer verwerkt dan is toegestaan en worden vernietigd zodra ze niet langer nodig
zijn”
 Criterium 1: Zijn de        Toelichting: In de nieuwe Generieke Selectielijst voor de Nationale Politie (concept, v 0.12,         Wet/beleid: W
 gegevensverwerkende         voortaan ‘selectielijst’) worden de kaders voor het bewaren en vernietigen van politiegegevens        Art. 14 Wpg
 processen geanalyseerd      en bedrijfsvoeringsgegevens in één instrument gecombineerd. Hierin vind je dus zowel de
 op     basis   van      de  wettelijke termijnen voor het bewaren en vernietigen van persoonsgegevens volgens de Wpg
 Generieke Selectielijst?    als de termijnen voor het bewaren en vernietigen van andere (persoons)gegevens op basis van
                             hun waarde voor het bedrijfsvoerings-, verantwoordings- en cultuur-historisch belang. Gaat het
                             hierbij om alle informatie, ongeacht de vorm, die door de politie bij de taakuitvoering wordt
                             opgemaakt of ontvangen. Dit omvat naast documenten ook gestructureerde gegevens en naast
                             tekstinformatie ook multimedia-informatie.
 Indien de GS niet gebruikt wordt, dan is het belangrijk dat art 14 toegepast wordt
 Evt. opmerkingen / vragen:
 Criterium    2: Wordt      Toelichting: De Generieke selectielijst voor de documentaire informatie van de politie is te           Wet/beleid: W
 voldaan aan de wettelijke  vinden op Agora. Bijlage 1 en 2 bevatten termijn van bewaren en vernietigen.                           artikel 8, 9, 10,
 bepalingen m.b.t. het      Indien de selectielijst volledig wordt toegepast is de aanname dat daarmee volledig wordt              12 en 14 Wpg
 bewaren, vernietigen en    voldaan aan de bewaar- en vernietigplicht van de Wpg.
 archiveren            van  Waar het gaat over verwijderen, bewaren en vernietigen van politiegegevens hebben we te
 (persoons)gegevens?        maken met o.a. de volgende wetten:
                            1: Wet politiegegevens, specifieke regels m.b.t. de verwerkingsgrondslagen
                            2: Wetboek van Strafrecht, geeft een grondslag voor de periode van bewaring van processen-
                            verbaal met een onbekende dader (PV OD) middels de verjaartermijnen van strafbare feiten.
                            3: Wetboek van Strafvordering,
                            a: regelt de bewaartermijnen van de ‘niet-gevoegde stukken’ en de (kopieën) van de processen-
                            verbaal met een bekende dader (PV BD).
                            b: regelt de vernietigingstermijnen, opdracht OM, van artikel 9-gegevens verkregen op grond
                            van artikel 125n en 126cc WvSv (aftappen telecommunicatie)
                            4: Wet bescherming persoonsgegevens (Wbp). De vernietigingstermijnen worden vastgesteld
                            op basis van het noodzaakscriterium door de verwerkingsverantwoordelijke.
 Evt. opmerkingen / vragen:
 Criterium 3: Worden de     Toelichting: In dit uitvoeringskader worden de voorschriften en termijnen voor bewaren en              Wet/beleid:    W
 verwerkte      gegevens    vernietigen niet gespecificeerd, daarvoor verwijzen we naar de selectielijst. We geven hier alleen     Archiefwet
 voorzien     van     een   een toelichting op de systematiek en het gebruik van de selectielijst. De selectielijst is opgesteld
 waardering en selectie     aan de hand van de taak- en bedrijfsprocessen van de politie. De processen zijn daarin
 ten     behoeve       van  ingedeeld naar een drietal hoofdcategorieën: Besturen, Uitvoeren en Ondersteunen. In de
 bewaren en vernietigen?    selectielijst wordt per proces een waardering toegekend aan de informatie die uit dat proces
                            voortvloeit in de zin van bewaren (B) of vernietigen (V).
 Evt. opmerkingen / vragen:
Pagina 18 van 26                                                                                                   0-meting PSbD
                                                                                                                         Versie 2.0
</pre>

====================================================================== Einde pagina 18 =================================================================

<br><br>====================================================================== Pagina 19 ======================================================================

<pre> Criterium 4: Worden de           Toelichting: De basissystemen van de politie moeten voorzieningen bevatten voor                 Wet/beleid: B
 gegevens op basis van de         beheersprocessen en het bewaken van termijnen voor bewaren en vernietigen. Deze
 geldende             termijnen   beheerhandelingen moeten op één plaats in de informatievoorziening worden uitgevoerd.
 geautomatiseerd verwijderd       Als dezelfde gegevens ook in andere systemen gebruikt worden, dan volgen die andere
 en vernietigd?                   systemen het gegevensbeheer van het bronsysteem. Op deze manier zorgen we er voor dat
                                  er maar één versie van de waarheid bestaat zoals het principe Eenmalige vastlegging
                                  vereist. Er zijn ook specifieke kaders die richting geven aan het verwijderen en vernietigen
                                  van gegevens in de registratieve politiesystemen.
 Alleen indien het een registratieve voorziening betreft
 Evt. opmerkingen / vragen:
 Criterium 5: Wordt de           Toelichting: De basissystemen van de politie moeten voorzieningen               Wet/beleid: W
 verwijdering       en       de  bevatten voor beheersprocessen en het bewaken van termijnen voor                Art. 8, 9, 10,12 en 14
 vernietiging      van      het  bewaren en vernietigen. Deze beheerhandelingen moeten op één plaats in          OPM: vloeit voort uit de
 registratieve bronsysteem       de informatievoorziening worden uitgevoerd. Als dezelfde gegevens ook in        bewaartermijn/verw.grondslagen
 gevolgd?                        andere systemen gebruikt worden, dan volgen die andere systemen het             want als je niet langer mag
                                 gegevensbeheer van het bronsysteem. Op deze manier zorgen we er voor            verwerken moet verwijderd en
                                 dat er maar één versie van de waarheid bestaat zoals het principe Eenmalige     vervolgens vernietigd worden.
                                 vastlegging vereist. Er zijn ook specifieke kaders die richting geven aan het
                                 verwijderen en vernietigen van gegevens in de registratieve politiesystemen.
 Alleen indien het een raadpleeg- of analysevoorziening betreft
 Evt. opmerkingen / vragen:
 Criterium 6: Worden afloopberichten           Toelichting: Op het juiste moment verwijderen en vernietigen betekent onder        Wet/beleid: B
 langs geautomatiseerde weg                    andere dat er afloopberichten verwerkt moeten worden. Het gaat bij
 overgenomen?                                  afloopberichten om twee dingen: juistheid en bewaartermijnen. Als een persoon
                                               niet langer als verdachte mag worden gezien, moet deze worden verwijderd.
 Alleen indien deze worden verwerkt
 Evt. opmerkingen / vragen:
 Criterium 7: Wordt de beslissing       Toelichting: Dit criterium gaat over het automatisch verwerken van de gevolgen van        Wet/beleid: B
 in het afloopbericht automatisch       de beslissing die in het afloopbericht staat. Dus welke gegevens moeten worden
 verwerkt?                              verwijderd/vernietigd in geval van een sepot of een veroordeling. Hiervoor moeten
                                        bedrijfsregels worden geformuleerd.
 Alleen indien deze worden verwerkt
 Evt. opmerkingen / vragen:
Pagina 19 van 26                                                                                                 0-meting PSbD
                                                                                                                       Versie 2.0
</pre>

====================================================================== Einde pagina 19 =================================================================

<br><br>====================================================================== Pagina 20 ======================================================================

<pre> Criterium 8: De    Toelichting: Uitvoeringskader:                                                                                  Wet/beleid: B
 voorziening        Voor de termijnen waarop gegevens duurzaam bewaard moeten worden, moet de informatievoorziening
 voldoet aan de     waarborgen bieden voor duurzame beschikbaarheid en toegankelijkheid. De daarbij geldende
 kwaliteitseisen    kwaliteitseisen zijn te vinden in de DUTO standaard.
 van de DUTO        Eis 1 Er is een informatiemodel waarin alle informatieobjecten zijn beschreven die de organisatie ontvangt
 standaard          en creëert.
                    Eis 2 Informatieobjecten zijn ingedeeld in risicoklassen. Per risicoklasse is het toegankelijkheidsniveau
                    bepaald waaraan de betreffende informatieobjecten moeten voldoen.
                    Eis 3 Er is een vastgestelde Selectielijst waarin is beschreven hoe lang informatieobjecten bewaard
                    worden.
                    Eis 4 Er is een zoekfunctie waarmee alle informatieobjecten vindbaar, binnen redelijk tijd en inspanning.
                    Eis 5 Van elk informatieobject is een weergave beschikbaar, binnen redelijke tijd en inspanning.
                    Eis 6 Van elk informatieobject is een export beschikbaar, binnen redelijke tijd en inspanning.
                    Eis 7 Een informatieobject is toegankelijk voor iedereen die op basis van regelgeving en beleid inzagerecht
                    heeft.
                    Eis 8 Als een informatieobject slechts gedeeltelijk openbaar is, dan zijn er een gedeeltelijke weergave en
                    export beschikbaar waarin alleen de openbare delen zijn opgenomen.
                    Eis 9 Informatieobjecten zijn beveiligd tegen onbedoelde en onbevoegde wijzigingen. Conform de
                    geldende standaarden voor informatiebeveiliging.
                    Eis 10 De export van een informatieobject voldoet aan een open standaard formaat.
                    Eis 11 De weergave en export van elk informatieobject bevat minimaal volledige en actuele metagegevens
                    zoals voorgeschreven in de Richtlijn Metagegevens Overheidsinformatie.
                    Eis 12 Informatieobjecten worden niet eerder en niet later vernietigd dan is aangeven in de selectielijst. Na
                    vernietiging van een informatieobject is er een verklaring van vernietiging beschikbaar.
                    Eis 13 Een blijvend te bewaren informatieobject wordt binnen twintig jaar overgebracht naar een
                    archiefbewaarplaats.
                    DUTO is een standaard programma van eisen voor de duurzame toegankelijkheid van
                    overheidsinformatie. De eisen gaan over de inhoud van de overheidsinformatie en de functionaliteit om
                    toegang te krijgen tot overheidsinformatie.
                    Het totale programma van eisen is bedoeld als een specificatie van het hoogste kwaliteitsniveau dat een
                    overheidsorgaan hanteert voor de toegankelijkheid van zijn informatie.
                    Voor informatie waarvoor een minder streng beheerregime toereikend is, kan worden volstaan met een
                    deel van de eisen (zie: 'Implementatie van DUTO').
                    Dit is ter beoordeling van de overheidsorganisatie zelf, op basis van "pas toe of leg uit". DUTO definieert
                    (nog) geen lagere toegankelijkheidsniveaus, maar een overheidsorgaan kan deze al voor zichzelf
                    vaststellen.
 Evt. opmerkingen / vragen:
 Criterium 9: De voorziening      De basissystemen van de politie zijn geen archiefsystemen en bevatten doorgaans ook geen          Wet/beleid: W
 ondersteunt het beschikbaar      voorzieningen voor duurzaam bewaren. De gegevens die voor langere tijd bewaard moeten             Art. 14 lid 4
 stellen van gegevens aan de      worden, moeten dus worden overgebracht naar een archiefsysteem dat daarvoor is toegerust.         Wpg
 voorziening ten behoeve van
 het duurzaam bewaren van
 die gegevens
 Evt. opmerkingen / vragen:
 Criterium 10: Heeft de         Toelichting: Gegevens die verwijderd zijn maar nog niet vernietigd, kunnen ontsloten worden       Wet/beleid:   W
 Poortwachter toegang tot       door een poortwachter. Deze persoon kan zowel gegevens beschikbaar stellen voor                   art. 8 Wpg
 de verwijderde gegevens?       hernieuwde verwerkingen als voor audits, toezicht, inzageverzoeken en klachtafhandeling.
 Evt. opmerkingen / vragen:
Pagina 20 van 26                                                                                                 0-meting PSbD
                                                                                                                       Versie 2.0
</pre>

====================================================================== Einde pagina 20 =================================================================

<br><br>====================================================================== Pagina 21 ======================================================================

<pre>Principe 9: Informatiebeveiliging (Z)
“De informatievoorziening wordt beveiligd met een adequaat stelsel van maatregelen op basis van
risicobeheersing”
  Criterium 1: Is        Toelichting: De risico gebaseerde benadering houdt in dat informatiebeveiliging integraal onderdeel is    Wet/beleid: B
  een risicoanalyse      van de verantwoordelijkheid van het lijnmanagement. De verantwoordelijke voor een werkproces of voor
  voor de verwerking     een systeem moet de risico’s voor informatiebeveiliging in kaart brengen en op basis daarvan eisen
  uitgevoerd?            stellen aan de ondersteunende diensten. De informatiebeveiligingsarchitectuur biedt hiervoor een
                         methode voor risicoanalyses op basis van beveiligingskenmerken. Naast de bekende
                         beveiligingskenmerken als beschikbaarheid, integriteit en vertrouwelijkheid zijn dit ook andere
                         kenmerken zoals de waarde van informatie, de oorsprong van informatie en het belang van informatie
                         voor het proces. Hieronder valt tevens de wettelijke verplichting tot bescherming van persoonsgegevens.
  Evt. opmerkingen / vragen:
  Criterium 2: Zijn de             Toelichting: Het resultaat is een pakket van informatiebeveiligingseisen. De ondersteunende    Wet/beleid: W
  informatiebeveiligingseisen      diensten beoordelen deze eisen op de impact, dat wil zeggen of en hoe deze eisen               Art. 4a lid 2
  mede bepaald op basis van        gerealiseerd kunnen worden en of dit de beveiliging van andere dienstverlening beïnvloed. Bij
  de resultaten van de             het realiseren van de eisen wordt door de ondersteunende diensten samengewerkt om te
  risicoanalyse?                   komen tot een optimale mix van maatregelen op de terreinen ICT, Fysiek, Personeel en
                                   Organisatie.
  Evt. opmerkingen / vragen:
  Criterium 3: Is de impact van        Toelichting: Het resultaat is een pakket van informatiebeveiligingseisen. De               Wet/beleid: W
  de informatiebeveiligingseisen       ondersteunende diensten beoordelen deze eisen op de impact, dat wil zeggen of en hoe       Art. 4a lid 2
  beoordeeld ten behoeve van           deze eisen gerealiseerd kunnen worden en of dit de beveiliging van andere
  de realisatie in de voorziening?     dienstverlening beïnvloed. Bij het realiseren van de eisen wordt door de ondersteunende
                                       diensten samengewerkt om te komen tot een optimale mix van maatregelen op de
                                       terreinen ICT, Fysiek, Personeel en Organisatie.
                                       Voorbeeld: Is er gekeken naar de impact die een beveiligingseis kan hebben op het
                                       gebruik. Je moet een tweefactor authenticatie doen en opeens wil daardoor niemand meer
                                       gebruik van de voorziening maken. Dat is een impact die bewust al dan niet geaccepteerd
                                       moeten worden.
  Evt. opmerkingen / vragen:
  Criterium 4: Maakt de         Toelichting: De meeste van deze ontwerprichtlijnen gelden niet voor individuele systemen maar     Wet/beleid: B
  voorziening gebruik van       moeten generiek in de infrastructuur en de werkprocessen van de organisatie worden
  de aanwezige generieke        georganiseerd. Het is wel van belang om te zorgen dat deze systemen ook daadwerkelijk gebruik
  voorzieningen         voor    maken van deze generieke voorzieningen voor informatiebeveiliging. Voor nadere toelichting op
  informatiebeveiliging?        de toepassing van de informatiebeveiligingsprincipes verwijzen we naar de
                                Informatiebeveiligingsarchitectuur en de Uitvoeringsregelingen Informatiebeveiliging van de
                                Dienst ICT
  Evt. opmerkingen / vragen:
Pagina 21 van 26                                                                                                   0-meting PSbD
                                                                                                                        Versie 2.0
</pre>

====================================================================== Einde pagina 21 =================================================================

<br><br>====================================================================== Pagina 22 ======================================================================

<pre> Criterium 5: Zijn alle     Toelichting: Bij een beveiligingsanalyse wordt er een match gemaakt tussen de beveiligingseisen      Wet/beleid: B
 informatiebeveiligings     van de business en de beveiligingsdienstverlening van de uitvoerende diensten. Wanneer
 eisen      gerealiseerd    beveiligingseisen niet door de standaard informatiebeveiligingsdiensten worden gerealiseerd moet
 door de standaard          een afweging worden gemaakt om tegen extra kosten aanvullende maatregelen te nemen of om
 informatiebeveiligings     restrisico’s te accepteren. Deze restrisico’s moeten vervolgens wel worden beheerst door de
 diensten?                  verantwoordelijke lijnmanager. Hij moet de risico’s periodiek monitoren en evalueren. In de
                            reguliere planning- en rapportagecyclus moet daartoe een informatiebeveiligingsparagraaf worden
                            opgenomen.
 Evt. opmerkingen / vragen:
 Criterium      6:     Zijn   Toelichting: Bij een beveiligingsanalyse wordt er een match gemaakt tussen de                      Wet/beleid: B
 maatregelen genomen          beveiligingseisen van de business en de beveiligingsdienstverlening van de uitvoerende
 om                           diensten. Wanneer beveiligingseisen niet door de standaard informatiebeveiligingsdiensten
 informatiebeveiligingseis    worden gerealiseerd moet een afweging worden gemaakt om tegen extra kosten aanvullende
 en te realiseren die niet    maatregelen te nemen of om restrisico’s te accepteren. Deze restrisico’s moeten vervolgens wel
 door     de    standaard     worden beheerst door de verantwoordelijke lijnmanager. Hij moet de risico’s periodiek monitoren
 informatiebeveiligingsdie    en evalueren. In de reguliere planning- en rapportagecyclus moet daartoe een
 nsten zijn gerealiseerd?     informatiebeveiligingsparagraaf worden opgenomen.
 Evt. opmerkingen / vragen:
 Criterium 7: Worden restrisico's      Toelichting: Bij een beveiligingsanalyse wordt er een match gemaakt tussen de             Wet/beleid: B
 in de beveiliging van de              beveiligingseisen van de business en de beveiligingsdienstverlening van de uitvoerende
 informatievoorziening beheerd?        diensten.      Wanneer       beveiligingseisen      niet     door     de     standaard
                                       informatiebeveiligingsdiensten worden gerealiseerd moet een afweging worden
                                       gemaakt om tegen extra kosten aanvullende maatregelen te nemen of om restrisico’s te
                                       accepteren. Deze restrisico’s moeten vervolgens wel worden beheerst door de
                                       verantwoordelijke lijnmanager. Hij moet de risico’s periodiek monitoren en evalueren. In
                                       de     reguliere     planning-    en     rapportagecyclus      moet     daartoe    een
                                       informatiebeveiligingsparagraaf worden opgenomen.
 Alleen als niet alle informatiebeveiligingseisen zijn gerealiseerd
 Evt. opmerkingen / vragen:
Pagina 22 van 26                                                                                                  0-meting PSbD
                                                                                                                       Versie 2.0
</pre>

====================================================================== Einde pagina 22 =================================================================

<br><br>====================================================================== Pagina 23 ======================================================================

<pre>        Principe 10: Privacy by default
        “De verwerking van persoonsgegevens is standaard zo beperkt mogelijk ingericht”
Criterium       1:      De     Toelichting: Dat geldt voor:                                                                    Wet/beleid: W
informatievoorziening     is         •    de hoeveelheid verzamelde persoonsgegevens
ingericht om de verwerking           •    de mate waarin zij worden verwerkt
van persoonsgegevens zo              •    de termijn waarvoor zij worden opgeslagen en
beperkt     mogelijk     te          •    de toegankelijkheid daarvan
houden.                        Hierbij is ‘pas toe of leg uit’-principe van toepassing. Afwijkingen kunnen mits daar een
                               dwingende reden voor is.
Evt. opmerkingen / vragen:
Criterium 2: Worden er binnen de          Toelichting: Als een (persoons)gegeven niet nodig is vraag dit dan niet.             Wet/beleid: B
informatievoorziening           alleen    Dit is ook van toepassing bij het versturen van gegevens. Indien (persoons)gegeven
(persoons)gegevens verzameld die          niet nodig zijn voor een (externe) partij geef deze dan ook niet.
voor het doel betreffend zijn.
Evt. opmerkingen / vragen:
Criterium 3: Is er binnen de              Toelichting:                                                                         Wet/beleid: B
voorziening sprake van een opt-in         Opt-in: Pas als iemand zich ergens voor heeft aangemeld ontvangt hij informatie
regime.                                   Opt-out: Automatisch ontvangen totdat het wordt stopgezet
Evt. opmerkingen / vragen:
Criterium          4:          De     Toelichting: PET hulpmiddelen zijn:                                                      Wet/beleid: B
informatievoorziening       maakt     Pseudonimsering: De verwerking van gegevens op zodanige wijze dat het niet meer aan
gebruik        van        Privacy     een specifieke betrokkene gekoppeld kunnen worden zonder dat er aanvullende
Enhancement Technology (PET)          gegevens worden gebruikt.
hulpmiddelen.                         Anonimiseren: De verwerking van gegevens op zodanige wijze dat het niet meer aan
                                      een specifieke betrokkene gekoppeld kan worden. Dit proces is onomkeerbaar. Daar
                                      moet wel in ogenschouw worden genomen dat alle middelen die hiervoor redelijkerwijs
                                      gebruikt kunnen worden door zowel de verantwoordelijke als een derde partij.
                                      Versleutelen:
                                      De gegevens (in elke vorm) digitaal overgebracht zodanig bewerken dat deze alleen
                                      begrijpelijk is als men de beschikking heeft over de toegepaste code.
Evt. opmerkingen / vragen:
        Pagina 23 van 26                                                                                                 0-meting PSbD
                                                                                                                             Versie 2.0
</pre>

====================================================================== Einde pagina 23 =================================================================

<br><br>====================================================================== Pagina 24 ======================================================================

<pre>Principe 11: Toepassen standaarden (L)
“Bij de gegevensverwerking wordt gebruik gemaakt van bestaande overheids- en ketenstandaarden”
 Criterium 1: Wordt     Toelichting: Een standaard is een document dat een set van regels bevat die beschrijven hoe           Wet/beleid: B
 gebruik gemaakt        materialen, producten, diensten, technologieën, taken, processen en systemen dienen te worden
 van de van             ontwikkeld en beheerd. (NORA) Standaarden worden vastgelegd binnen een organisatie, een
 toepassing zijnde      samenwerkingsverband of via een erkende standaardisatie-organisatie (zoals ISO of NEN). Verder
 bestaande              kennen standaarden doorgaans een proces waarmee ze ontwikkeld, erkend en beheerd worden.
 overheids- en          Standaarden kunnen door wet- en regelgeving verplicht worden gesteld. Daarbij wordt doorgaans het
 ketenstandaarden?      ‘pas toe of leg uit’-principe gehanteerd waardoor afwijkingen kunnen worden toegestaan als daar een
                        dwingende reden voor is. De politie moet ook actief deelnemen aan interdepartementale en
                        internationale fora waarin standaarden voor gegevensverwerking worden ontwikkeld en vastgesteld.
 Evt. opmerkingen / vragen:
 Criterium 2: Is er een toets uitgevoerd op de          Toelichting: maak bij ontwerpen en ontwikkelen zo veel mogelijk       Wet/beleid: B
 standaarden voor gegevensverwerking die van            gebruik van beschikbare standaarden
 toepassingen zijn?
 Evt. opmerkingen / vragen:
 Criterium 3: Zijn de afwijkingen van geldende          Toelichting: Pas toe of leg uit                                       Wet/beleid: B
 standaarden voorzien van een motivatie die is
 geaccepteerd door de
 verwerkingsverantwoordelijke?
 Evt. opmerkingen / vragen:
Pagina 24 van 26                                                                                              0-meting PSbD
                                                                                                                    Versie 2.0
</pre>

====================================================================== Einde pagina 24 =================================================================

<br><br>====================================================================== Pagina 25 ======================================================================

<pre>Principe 12: Verantwoordelijkheden belegd (M)
“De verantwoordelijkheden voor de zorgvuldige en rechtmatige verwerkingen van gegevens zijn eenduidig
belegd”
 Criterium 1: Is de                          Toelichting: De rol van beleidsverantwoordelijke is belegd bij directeuren en       Wet/beleid: B
 beleidsverantwoordelijke voor de            portefeuillehouders (politiechefs). De beleidsverantwoordelijke zal zich voor de
 gegevens die verwerkt worden met de         uitoefening van de verantwoordelijkheden in de regel laten ondersteunen. Het
 informatievoorziening bekend?               gaat hierbij om ondersteuning op grond van proces- en beleidskennis en
                                             informatiemanagement.
 Evt. opmerkingen / vragen:
 Criterium       2:    Zijn   Toelichting: De beleidsverantwoordelijkheid omvat het vaststellen van definities, richtlijnen en   Wet/beleid: B
 definities, beleid, koers    kwaliteitseisen. Deze worden, in afstemming met eventuele afnemers, opgesteld door adviseurs.
 en strategie vastgesteld     De beleidsverantwoordelijke gaat ook over de beleid, koers en strategie voor de verwerking van
 voor de verwerking van       gegevens. Denk bij strategie aan kwaliteitsverbetering of verwerven van extra gegevens.
 gegevens?
 Evt. opmerkingen / vragen:
 Criterium 3: Is de               Toelichting: De rol van uitvoeringsverantwoordelijke is belegd bij leidinggevenden in de       Wet/beleid: B
 uitvoeringsverantwoordelijke     operatie en PDC, bijvoorbeeld een teamchef van een basisteam. Voor politiechefs betekent
 voor de gegevens die             dit een dubbele rol: zij hebben de uitvoeringsverantwoordelijkheid als lijnchef, maar zij
 verwerkt worden met de           hebben ook een beleidsverantwoordelijkheid in hun rol als landelijk portefeuillehouder.
 informatievoorziening            Binnen de operatie worden specifieke taken en bevoegdheden die behoren bij de
 bekend?                          uitvoeringsverantwoordelijke belegd bij rollen zoals de poortwachter, de privacyfunctionaris
                                  (adviseur), de taakaccenthouder (onder andere kwaliteit en gevoelige gegevens) en de
                                  bevoegd functionaris (hieronder nog kort toegelicht). Iedere individuele politiemedewerker
                                  heeft in zijn rol als gegevensverwerker de taak om gegevens juist te verwerken volgens
                                  kaders en richtlijnen. Denk hierbij onder andere aan terugmelden, vastlegging van de
                                  verwerkingsgrondslag, verwijderen, archiveren en vernietigen. Verder valt hier ook onder de
                                  ontsluiting, interpretatie, het gebruik en mogelijk verstrekken van gegevens met afweging
                                  van noodzaak, grondslag en toepassing van beschikbare metagegevens. Specifiek voor
                                  artikel 9- en 10-verwerkingen vereist de Wpg dat een bevoegd functionaris aangewezen
                                  wordt door de uitvoeringsverantwoordelijke (in naam van ’de verantwoordelijke’). Kern van
                                  deze rol is dat zorgvuldig wordt omgegaan met doelafwijkend gebruik van politiegegevens.
                                  De bevoegd functionaris besluit onder andere welke gegevens uit een art. 9- of 10-
                                  verwerking mogen worden gebruikt binnen een andere verwerking en wie geautoriseerd mag
                                  zijn voor gegevens uit ‘zijn’ onderzoek.
 Evt. opmerkingen / vragen:
 Criterium      4:   Ondersteunt      de    voorziening      de    Toelichting: Verkrijgen en vastleggen van gegevens in de      Wet/beleid: B
 uitvoeringsverantwoordelijke met het verwerken van de             werkprocessen, met de juiste classificatie en metagegevens
 juiste classificatie en metagegevens voor onder meer              voor onder meer informatiebeveiliging, vastlegging van de
 informatiebeveiliging, vastlegging van de grondslag en de         grondslag en de rechtmatigheid.
 rechtmatigheid?
 Evt. opmerkingen / vragen:
Pagina 25 van 26                                                                                                  0-meting PSbD
                                                                                                                       Versie 2.0
</pre>

====================================================================== Einde pagina 25 =================================================================

<br><br>====================================================================== Pagina 26 ======================================================================

<pre> Criterium    5:    Ondersteunt     de     voorziening  de    Toelichting: Herstel: Voor gegevens      onder   eigen   Wet/beleid: B
 uitvoeringsverantwoordelijke bij het uitvoeren        van    (uitvoerings)verantwoordelijkheid worden waar    nodig
 correcties?                                                  correcties uitgevoerd.
 Evt. opmerkingen / vragen:
 Criterium 6: Ondersteunt de voorziening de             Toelichting: Verstrekken: extern delen van politiegegevens     Wet/beleid: B
 uitvoeringsverantwoordelijke bij het verstrekken van   conform wet- en regelgeving
 politiegegevens?
 Evt. opmerkingen / vragen:
 Criterium 7: Worden de taken van de gegevensverwerkers       Toelichting: -                                           Wet/beleid: B
 om gegevens zorgvuldig en rechtmatig te verwerken door
 de voorziening ondersteund?
 Evt. opmerkingen / vragen:
Pagina 26 van 26                                                                                        0-meting PSbD
                                                                                                             Versie 2.0
</pre>

====================================================================== Einde pagina 26 =================================================================

<br><br>