<b>Bijsluiter</b>. De hyperlink naar het originele document werkt niet meer. Daarom laat Woogle de tekst zien die in dat document stond. Deze tekst kan vreemde foutieve woorden of zinnen bevatten en de opmaak kan verdwenen of veranderd zijn. Dit komt door het zwartlakken van vertrouwelijke informatie of doordat de tekst niet digitaal beschikbaar was en dus ingescand en vervolgens via OCR weer ingelezen is. Voor het originele document, neem contact op met de Woo-contactpersoon van het bestuursorgaan.<br><br>====================================================================== Pagina 1 ======================================================================

<pre>                                                                                              095
Toelichting model
Dit deel van de Geb geeft een toelichting op het model. In deze toelichting worden de relevante
bepalingen uit de privacyregelgeving toegelicht. De toelichting is evenwel niet opgezet als een
handboek privacyregelgeving.
Het object van een Geb kan zijn: een of meerdere producten, diensten, processen of systemen.
A.     Beschrijving kenmerken gegevensverwerkingen
Onder A wordt de eerste stap beschreven van de Geb: een overzicht van de relevante feiten van de
voorgenomen gegevensverwerkingen. Als de feiten onduidelijk zijn, werkt dit door in de beoordeling.
1.     Voorstel
Beschrijf het voorstel waar de Geb op ziet en de context waarbinnen de voorgenomen gegevensverwerking
plaatsvindt.
Om een Geb te kunnen verrichten moet duidelijk zijn op welk onderwerp/object deze betrekking heeft.
Met een korte en bondige beschrijving van het voorstel waar de Geb op ziet, wordt tevens voorkomen
dat bij het nalopen van de 17 punten hier verschillend over wordt gedacht. Ten behoeve van de
duidelijkheid kan het nuttig zijn om expliciet aan te geven waar de Geb niet over gaat.
In hoofdlijnen kan worden beschreven hoe de gegevensverwerkingen er uit zullen zien. Als dat er is
kan worden aangesloten bij het projectvoorstel of een beschrijving van de architectuur.
2.     Politiegegevens
Som alle categorieën van politiegegevens op die worden verwerkt. Geef per categorie van betrokkene aan welke
politiegegevens van hen verwerkt worden. Deel deze persoonsgegevens in onder de typen: gewoon, bijzonder
en wettelijk identificatienummer.
Beschrijf allereerst alle te verwerken categorieën van politiegegevens. Onder politiegegeven wordt
verstaan: elk persoonsgegeven dat wordt verwerkt in het kader van de uitoefening van de politietaak.1
Onder persoonsgegeven wordt verstaan: alle informatie over een geïdentificeerde of identificeerbare
natuurlijke persoon2. Natuurlijke personen wil zeggen mensen. Informatie over overleden personen,
rechtspersonen, dieren, zaken en objecten zijn in beginsel geen persoonsgegeven.3 Deze informatie
kwalificeert weer wel als persoonsgegeven indien die ook betrekking heeft op een levende persoon.
Om te bepalen of iemand identificeerbaar is, moet rekening worden gehouden met alle middelen
waarvan redelijkerwijs valt te verwachten dat zij kunnen worden gebruikt om de persoon te
identificeren.4
Gepseudonimiseerde (ook wel: versleutelde) gegevens worden als persoonsgegevens beschouwd.5
Onder pseudonimisering wordt verstaan: het verwerken van persoonsgegevens op zodanige wijze dat
de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat
er aanvullende gegevens (sleutels) worden gebruikt. Hieraan wordt wel de eis verbonden dat deze
1 Artikel 1, onder a Wpg.
2 Artikel 1, onder b Wpg.
3 Overweging 27 AVG.
4 Overweging 26 AVG en overweging 21 Richtlijn.
5 Overweging 26 AVG.
</pre>

====================================================================== Einde pagina 1 =================================================================

<br><br>====================================================================== Pagina 2 ======================================================================

<pre>aanvullende gegevens apart worden bewaard en maatregelen worden genomen om ervoor te zorgen
dat de persoonsgegevens niet aan een persoon worden gekoppeld.6
Anonieme en geanonimiseerde gegevens zijn geen persoonsgegevens. Met anoniem en
geanonimiseerd wordt bedoeld dat de persoon op wie het gegeven betrekking heeft, niet (meer)
identificeerbaar is.7 Het anonimiseren van persoonsgegevens als zodanig is overigens weer wel een
verwerking van persoonsgegevens.
Voorbeelden van persoonsgegevens zijn: naam, voorvoegsel, adres, telefoonnummer, e-mailadres,
leeftijd, geboortedatum en -plaats, geslacht, woonplaats, nationaliteit, IP-adres, MAC-adres, KvK-
nummer, signalementsgegevens, gevarenclassificatie, voertuigidentificatienummer, winst
eenmanszaak, bankrekeningnummer en -saldo, IQ, functie, opleiding, inkomens- en
vermogensgegevens, kredietwaardigheid, persoonlijke voorkeuren, loonschaal, verslag van een
functioneringsgesprek en (wan)gedrag. Ook metadata – informatie over informatie – zijn
persoonsgegevens als hieruit de identiteit van de betrokkene kan worden herleid. Voorbeelden van
metadata zijn: welke browser of telefoon iemand gebruikt, wanneer een document is opgesteld of voor
het laatste bewerkt en de geschreven taal. Ook locatie-informatie en geografische informatie
kwalificeren als persoonsgegevens als de informatie herleidbaar is tot een persoon. Denk hierbij aan
de koppeling van gegevens uit de basisregistratie adressen en gebouwen aan andere gegevens en
het monitoren van de locaties van voertuigen. Zodra dergelijke persoonsgegevens worden verwerkt in
het kader van de uitoefening van de politietaak zijn het dus politiegegevens.
Typen
Stel vervolgens de aard van de te verwerken categorieën van politiegegeven vast. De Wpg
onderscheidt twee typen van politiegegevens – gewone en bijzondere politiegegevens – en stelt eisen
aan een rechtmatige verwerking daarvan. De gedachte hierachter is dat hoe gevoeliger de aard van
de politiegegevens, hoe groter de effecten voor de betrokkenen zijn.
Bijzondere categorieën van politiegegevens
Hieronder een limitatieve opsomming van categorieën van bijzondere persoonsgegevens:
- ras of etnische afkomst;
- politieke opvattingen;
- religieuze of levensbeschouwelijke overtuigingen;
- het lidmaatschap van een vakbond;
- genetische gegevens;
- biometrische gegevens met het oog op de unieke identificatie van een persoon;
- gegevens over gezondheid;
- gegevens over seksueel gedrag of seksuele gerichtheid.8
Voorbeelden van bijzondere politiegegevens zijn: gegevens die worden verwerkt in het kader van
zeden- , discriminatie- en radicaliseringszaken. Let op: uit beeldmateriaal zoals foto’s en
camerabeelden kunnen soms ook bijzondere persoonsgegevens, zoals etnische afkomst of medische
gesteldheid, worden afgeleid.
Genetische gegevens
Genetische gegevens zijn persoonsgegevens over overgeërfde of verworven genetische kenmerken
van een persoon die unieke informatie verschaffen over zijn fysiologie of gezondheid en die met name
voortkomen uit een analyse van een biologisch monster van die persoon.9 Denk hierbij aan:
chromosomen, DNA of RNA en erfelijke ziekten.
Biometrische gegevens
Biometrische gegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische
verwerking met fysieke, fysiologische of gedragsgerelateerde kenmerken van een persoon op grond
6 Artikel 4, onder 5, AVG en artikel 3, onder 5, Richtlijn.
7 Overweging 26 AVG en overweging 21 Richtlijn.
8 Artikel 10 Richtlijn en artikel 5 Wpg.
9 Artikel 3, twaalfde onderdeel, Richtlijn en artikel 1, onder r Wpg.
</pre>

====================================================================== Einde pagina 2 =================================================================

<br><br>====================================================================== Pagina 3 ======================================================================

<pre>waarvan eenduidige identificatie van die persoon mogelijk is of wordt bevestigd.10 Denk hierbij aan:
vingerafdrukken, irispatroon, gezichtsprofiel, toetsaanslaganalyse, looppatroon, stemgeluid en
slaapritme. Foto’s vallen overigens alleen onder de definitie van biometrische gegevens wanneer zij
worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of
authenticatie mogelijk maken.11
Gegevens over gezondheid
Gezondheidsgegevens zijn persoonsgegevens over de fysieke of mentale gezondheid van een
persoon.12 Denk hierbij aan: bepaalde gevarenclassificaties (suikerpatiënt, alcoholist,
harddruggebruiker, TBC-patiënt, psychiatrisch patiënt) en gegevens die worden verwerkt in het kader
van arrestantenzorg.
Wettelijke identificatienummers
Nummers ter identificatie van een persoon die bij wet zijn voorgeschreven, mogen slechts worden
verwerkt voor doeleinden die bij wet zijn bepaald. De gedachte hierachter is dat persoonsnummers de
koppeling van verschillende bestanden aanzienlijk vergemakkelijken en daarmee een extra bedreiging
voor de persoonlijke levenssfeer vormen. Denk hierbij aan: een burgerservicenummer (BSN), BIG-
nummer (beroepen in de individuele gezondheidszorg), A-nummer (basisregistratie personen),
strafrechtketennummer. Het gaat hierbij enkel om in de wet voorgeschreven persoonsidentificerende
nummers.
Betrokkenen: personen op wie de gegevens betrekking hebben
Benoem tot slot de categorieën van betrokkenen van wie de politiegegevens worden verwerkt.
Er kan onderscheid worden gemaakt tussen:
a) personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben
     gepleegd of zullen gaan plegen;
b) slachtoffers van een strafbaar feit, of personen ten aanzien van wie op basis van bepaalde feiten
     wordt vermoed dat zij slachtoffer kunnen worden van een strafbaar feit;
c) derden, zoals getuigen of personen die contacten hebben met één van de personen, bedoeld
     onder a;
d) personen die voor een strafbaar feit zijn veroordeeld.13
De omvang en categorie van betrokkenen kunnen invloed hebben op de effecten van het voorstel.
Bepaalde betrokkenen zijn kwetsbaarder dan anderen. Met kwetsbaar wordt bedoeld dat de negatieve
effecten van een (onrechtmatige) gegevensverwerking groter kunnen zijn voor bepaalde betrokkenen
dan voor andere (zie ook de bijzondere politiegegevens). Denk bijvoorbeeld aan: minderjarigen,
verstandelijk gehandicapten, mensen die te maken hebben met stalking of die in een blijf-van-mijn-
lijfhuis verblijven, medewerkers van inlichtingen- en veiligheidsdiensten, klokkenluiders of informanten.
Betrokkenen hebben op grond van de privacyregelgeving bepaalde rechten, zoals het inzage- en
correctierecht.
3.     Gegevensverwerkingen
Geef alle voorgenomen gegevensverwerkingen (handelingen) weer (evt. met behulp van een workflow).
Om de rechtmatigheid van de voorgenomen gegevensverwerkingen te kunnen beoordelen, is het
noodzakelijk om alle gegevensverwerkingen in beeld te hebben. Onder verwerking wordt verstaan:
elke handeling of elk geheel van handelingen met betrekking tot politiegegevens.14 Denk hierbij aan:
het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter
beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Met
10 Artikel 3, dertiende onderdeel, Richtlijn en artikel 1, onder s Wpg.
11 Overweging 51 AVG.
12 Artikel 3, veertiende onderdeel, Richtlijn en artikel 1, onder t Wpg.
13 Artikel 6 Richtlijn en artikel 6b Wpg.
14 Artikel 3, tweede onderdeel, Richtlijn.
</pre>

====================================================================== Einde pagina 3 =================================================================

<br><br>====================================================================== Pagina 4 ======================================================================

<pre>andere woorden, het begrip omvat het gehele proces dat een politiegegeven doormaakt, vanaf het
moment van verzamelen tot en met het moment van vernietigen.
Indien mogelijk verdient het aanbeveling om de gegevensverwerkingen te visualiseren, bijvoorbeeld
aan de hand van een input-proces-output model, flowchart of workflow.
4.     Verwerkingsdoeleinden
Beschrijf de doeleinden van de voorgenomen gegevensverwerkingen.
De privacyregelgeving geeft als beginsel dat persoonsgegevens enkel voor welbepaalde, uitdrukkelijk
omschreven en gerechtvaardigde doeleinden mogen worden verzameld.15 In de Wpg zijn op voorhand
doelen omschreven, waarvoor binnen de politie gegevens mogen worden verwerkt. Dat zijn de
volgende verwerkingsdoeleinden:
       • de dagelijkse politietaak: alle werkzaamheden van de basispolitiezorg inclusief eenvoudige
             opsporingsonderzoeken (artikel 8);
       • grotere en langdurige opsporingsonderzoeken en veelplegersdossiers (artikel 9);
       • opbouwen informatiepositie door TCI en TOOI (artikel 10);
       • beheer en controle van informanten (artikel 12);
       • de ondersteuning van de politietaak (artikel 13).
Politiegegevens mogen, binnen de kaders van de Wpg, voor een ander doel verder worden verwerkt.
De verdere verwerking mag niet onverenigbaar zijn met het doel waarvoor deze gegevens zijn
verkregen, daarnaast moet de verwerking voor dat andere doel noodzakelijk zijn en in verhouding
staan tot dat doel. Artikel 11 Wpg biedt de mogelijkheid verbanden te zoeken tussen politiegegevens
en gegevens zo nodig verder te verwerken.
De vaststelling van de verwerkingsdoeleinden is een noodzakelijk voorwaarde om te kunnen
beoordelen of de voorgenomen gegevensverwerkingen rechtmatig zijn (onder B) en om vast te stellen
welke maatregelen moeten worden getroffen om de risico’s (onder C) te voorkomen of verkleinen
(onder D). Omschrijf daarom per voorgenomen gegevensverwerking de verwerkingsdoeleinden zo
specifiek mogelijk.
Verwerkingsdoeleinden zoals wetenschappelijk, statistisch of historisch onderzoek, archiefbeheer,
screeningsdoeleinden, rapportagedoeleinden, verbetering van dienstverlening of (door)ontwikkeling
van beleid, vallen niet onder de uitvoering van de politietaak. Voor dergelijke verwerkingen moet een
Model Geb AVG gebruikt worden.
5.     Betrokken partijen
Benoem welke organisaties betrokken zijn bij welke gegevensverwerkingen. Deel deze organisaties
per gegevensverwerking in onder de rollen: verwerkingsverantwoordelijke, verwerker, verstrekker
en ontvanger. Benoem tevens welke functionarissen binnen deze organisaties toegang krijgen tot
welke persoonsgegevens.
Om de rechtmatigheid van de voorgenomen gegevensverwerkingen te kunnen beoordelen, moet
inzichtelijk zijn welke organisaties (functioneel) betrokken zijn bij welke gegevensverwerking en in
welke hoedanigheid: verwerkingsverantwoordelijke, verwerker, verstrekker of ontvanger.
Verwerkingsverantwoordelijk is de natuurlijke persoon, de rechtspersoon of het overheidsorgaan,
die/dat het doel van en de middelen voor de gegevensverwerkingen vaststelt.16 Met andere woorden:
degene die formeel bevoegd is te beslissen of persoonsgegevens worden verwerkt, voor welke
15 Artikel 4, eerste lid, onder b, Richtlijn en artikel 3, eerste lid Wpg.
16 Artikel 3, achtste onderdeel, Richtlijn en artikel 1, onder f Wpg.
</pre>

====================================================================== Einde pagina 4 =================================================================

<br><br>====================================================================== Pagina 5 ======================================================================

<pre>doeleinden deze worden verwerkt en op welke wijze deze worden verwerkt. Bij verwerkingen van de
politie is de korpschef de verwerkingsverantwoordelijke.
Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de
verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijke en moeten zij onderling
vastleggen wie waarvoor verantwoordelijk en aansprakelijk is.17
Verwerker is de natuurlijke persoon, de rechtspersoon of het overheidsorgaan die/dat ten behoeve
van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.18 De verwerker verwerkt
persoonsgegevens voor de verwerkingsverantwoordelijke, dat wil zeggen volgens diens instructies en
onder diens verantwoordelijkheid. De verwerker is een buiten de organisatie van de
verwerkingsverantwoordelijke staande persoon of organisatie. De verwerkingsverantwoordelijke en
verwerker moeten onderling schriftelijk vastleggen wie waarvoor verantwoordelijk en aansprakelijk is.19
Om in een concreet geval te bepalen wie de verwerkingsverantwoordelijke is en wie de verwerker is,
moet naast de formele taakverdeling zoals partijen die onderling hebben afgesproken ook worden
gekeken naar de feitelijke omstandigheden (waarom vindt de verwerking plaats? Wie heeft deze
geïnitieerd?). Dat betekent dat enkel het schriftelijk vastleggen van de taakverdeling niet voldoende is:
ook in de praktijk moet de verwerkingsverantwoordelijke zeggenschap hebben over het doel en de
middelen van gegevensverwerkingen.
Ontvanger is de natuurlijke persoon, de rechtspersoon of het overheidsorgaan aan wie/waaraan de
persoonsgegevens worden verstrekt.20 Verstrekker is de natuurlijke persoon, de rechtspersoon of het
overheidsorgaan die/dat de persoonsgegevens ter beschikking stelt. Hierbij kan gedacht worden aan
rechtstreekse dan wel geautomatiseerde verstrekkingen die worden gedaan aan het Openbaar
Ministerie, de burgemeester, Veilig Thuis en Slachtofferhulp Nederland.
Tevens zal moeten worden bepaald, voor zover eveneens niet wettelijk voorgeschreven, welke
functionarissen binnen de politie en de betrokken organisaties toegang krijgen tot welke
persoonsgegevens, bijvoorbeeld aan de hand van een autorisatiematrix, in relatie tot de doeleinden
van de gegevensverwerking. Hierin kan tevens worden bepaald in welke gevallen en onder welke
voorwaarden deze functionarissen toegang krijgen tot de persoonsgegevens.
6.     Belangen bij de gegevensverwerking
Beschrijf alle belangen die de verwerkingsverantwoordelijke en anderen hebben bij de voorgenomen
gegevensverwerkingen.
Bij de beoordeling van de rechtmatigheid van de gegevensverwerkingen kunnen tevens de belangen
(lees: de waarde of de voordelen) die met de gegevensverwerkingen gemoeid zijn een rol spelen. Het
kan hierbij zowel gaan om de private belangen van de verwerkingsverantwoordelijke, betrokkene en
derden als het algemeen belang. Het gaat hier dus niet om de (mogelijk) negatieve gevolgen voor de
betrokkenen. Denk hierbij bijvoorbeeld aan: bedrijfsbelangen, financiële belangen en commerciële
belangen, het handhaven van juridische vorderingen, toezicht op medewerkers ten behoeve van de
veiligheid of managementdoeleinden, (nationale of openbare) veiligheid, zoals de preventie van
fraude, misbruik en netwerkbeveiliging, en gezondheid.
Het belang dat gemoeid is met de gegevensverwerkingen werkt door in de toets van de noodzaak (zie
punten 11 en 14 hierna).
17 Artikel 21, eerste lid, Richtlijn.
18 Artikel 3, achtste onderdeel, Richtlijn en artikel 1, onder f Wpg.
19 Artikel 22, derde lid, Richtlijn.
20 Artikel 3, tiende lid, Richtlijn en artikel 1, onder p Wpg.
</pre>

====================================================================== Einde pagina 5 =================================================================

<br><br>====================================================================== Pagina 6 ======================================================================

<pre>7.     Verwerkingslocaties
Benoem in welke landen de voorgenomen gegevensverwerkingen plaatsvinden.
De locaties waar de voorgenomen gegevensverwerkingen plaatsvinden, kunnen aanvullende
privacyrisico’s met zich brengen en daarom onderworpen zijn aan strengere regels en aanvullende
maatregelen vereisen. Tevens heeft de verwerkingslocatie invloed op de competentie van de
(leidende) privacytoezichthouder.21
Om te borgen dat de regels betreffende de bescherming van persoonsgegevens niet omzeild worden
door persoonsgegevens in een ander land te verwerken, bepaalt de Richtlijn dat
gegevensverwerkingen buiten de Europese Unie enkel onder bepaalde omstandigheden zijn
toegestaan.22 Dit is bijvoorbeeld het geval indien het derde land naar het oordeel van de Europese
Commissie een passend beschermingsniveau heeft (een adequaatheidsbesluit)23 of indien gebruik
wordt gemaakt van passende waarborgen om de betrokkenen te beschermen.24 Daarnaast zijn een
aantal specifieke situaties waarin gegevensverwerkingen in een derde land toch zijn toegestaan
ondanks het ontbreken van een passend beschermingsniveau en passende waarborgen, zoals
uitdrukkelijke toestemming van de betrokkene.25
Naast de AVG en de Richtlijn kunnen andere wettelijke regels of beleid invloed hebben op de locaties
waar persoonsgegevens kunnen worden verwerkt. Denk hierbij aan het VIRBI 2013 inzake
gerubriceerde overheidsinformatie en situaties waarin opslag in een overheidsdatacenter geëigend is.
8.     Techniek en methode van gegevensverwerking
Beschrijf op welke wijze en met gebruikmaking van welke (technische) middelen en methoden de
persoonsgegevens worden verwerkt. Benoem of sprake is van (semi-) geautomatiseerde besluitvorming,
profilering of big dataverwerkingen en, zo ja, beschrijf waaruit een en ander bestaat.
Gebruikmaking van bepaalde technieken en methoden van gegevensverwerking kunnen aanvullende
privacyrisico’s met zich brengen en daarom onderworpen zijn aan strengere regels en aanvullende
maatregelen vereisen. Dit is onder meer het geval bij (semi-)geautomatiseerde besluitvorming,
profilering en big data-verwerkingen.
Geautomatiseerde besluitvorming
Uitsluitend op geautomatiseerde verwerking gebaseerde besluiten die voor de betrokkenen
rechtsgevolgen hebben of hem anderszins in aanmerkelijke mate treffen, zijn in beginsel verboden.26
Dit verbod geldt niet indien het besluit:
a. wettelijk is toegestaan, en
b. voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkenen, waaronder
       ten minste het recht op menselijke tussenkomst.27
Profilering
Onder profilering wordt verstaan: elke vorm van geautomatiseerde verwerking van persoonsgegevens
waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke
persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische
situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of
verplaatsingen te analyseren of te voorspellen.28
21
   Artikel 45 Richtlijn.
22 Artikel 35, eerste lid, Richtlijn.
23 Artikel 36, Richtlijn.
24 Artikel 37 Richtlijn.
25 Artikel 38 Richtlijn.
26 Artikel 11, eerste lid, Richtlijn en artikel 7a, eerste lid Wpg.
27 Artikel 11, eerste lid, Richtlijn en artikel 7a , eerste lid Wpg.
28 Artikel 3, vierde onderdeel, Richtlijn en artikel 1, onder u Wpg.
</pre>

====================================================================== Einde pagina 6 =================================================================

<br><br>====================================================================== Pagina 7 ======================================================================

<pre>Bepaalde gegevens, zoals de resultaten van een zoekopdracht met een zoekmachine, kunnen in
combinatie met elkaar een risicoprofiel doen ontstaan. De kans hierop bestaat vooral wanneer
meerdere registers met elkaar worden gecombineerd. Er kan sprake zijn van profilering wanneer:
- op basis van een combinatie van persoonsgegevens, zoals het automerk in combinatie met de
       leeftijd van de betrokkene wordt besloten iemand extra te controleren;
- gebruik wordt gemaakt van de gegevens die websitebezoekers achterlaten om de doelgroep van
       de website mee vast te stellen.
Profilering die leidt tot discriminatie op grond van bijzondere persoonsgegevens is verboden.29
Big data
Big data is als zodanig niet gedefinieerd in de privacyregelgeving, maar hangt als verschijnsel nauw
samen met geautomatiseerde besluitvorming en profilering. Big data staat voor het verschijnsel dat
grote hoeveelheden gestructureerde en ongestructureerde data uit verschillende bronnen worden
geanalyseerd waarbij geautomatiseerd naar correlaties wordt gezocht die kennis kunnen opleveren
om te kunnen toepassen voor beslissingen op groeps- of individueel niveau.30 In de kern komt het bij
big data-analyses neer op het zoeken naar correlatie (onderlinge samenhang tussen twee reeksen
van waarnemingen), in tegenstelling tot causaliteit (betrekking van oorzaak en gevolg). Toepassing
van big data brengt specifieke risico’s mee en vergt daarom ook specifieke maatregelen (zie onder D).
Nieuwe technologieën
Ook grote verschuivingen in de werkwijze, de manier waarop persoonsgegevens worden verwerkt en
de technologie die daarbij gebruikt wordt, kunnen gevolgen hebben voor betrokkenen. Denk aan:
intelligente volgsystemen op basis van GPS, biometrie en nieuwe vormen van identificatie.
9.     Juridisch en beleidsmatig kader
Benoem de wet- en regelgeving, met uitzondering van de AVG en de Richtlijn, en het beleid met mogelijke
gevolgen voor de gegevensverwerkingen.
Naast of in de plaats van de AVG en de Richtlijn kan (sectorale) regelgeving de mogelijkheden voor
gegevensverwerkingen creëren, conditioneren of beperken. Voorbeelden van dergelijke wetten zijn:
Wetboek van Strafvordering, Wet algemene bepalingen burgerservicenummer, Wet basisregistratie
personen, Algemene wet inzake rijksbelastingen, Archiefwet, Telecommunicatiewet, Kadasterwet,
Handelsregisterwet 2007, Kieswet, Wet bijzondere maatregelen grootstedelijke problematiek, Wet op
de geneeskundige behandelingsovereenkomst, Jeugdwet, Wet maatschappelijke ondersteuning 2015
en Participatiewet. Deze lijst is niet uitputtend.
Er kan ook beleid zijn dat de mogelijkheden voor de voorgenomen gegevensverwerkingen
conditioneert of beperkt. Bijvoorbeeld ten aanzien van de opslag en beveiliging van
persoonsgegevens.
Aan de hand van deze inventarisatie kan bij onderdeel B beoordeeld worden of de voorgenomen
gegevensverwerkingen rechtmatig zijn en bij onderdeel D of specifieke maatregelen voorgeschreven
zijn.
29 Artikel 11, derde lid, Richtlijn en artikel 7a, derde lid Wpg.
30 Wetenschappelijk Raad voor het Regeringsbeleid (WRR), Big data in een vrije en veilige samenleving, rapport nr. 95, p. 21. De WRR geeft
geen scherp omlijnde definitie van big data, maar richt zich op de hoofdkenmerken 1) Data: het gaat om grote hoeveelheden
gestructureerde en ongestructureerde data uit verschillende bronnen, 2) Analyse: de analyse is data gedreven en zoekt geautomatiseerd
naar correlaties en 3) gebruik: de analyses moeten leiden tot ‘actionable knowledge’ (ingrepen in de realiteit op basis van bestandsanalyses).
</pre>

====================================================================== Einde pagina 7 =================================================================

<br><br>====================================================================== Pagina 8 ======================================================================

<pre>10.          Bewaartermijnen
Bepaal en motiveer de bewaartermijnen van de politiegegevens aan de hand van de verwerkingsdoeleinden.
De privacyregelgeving geeft als beginsel dat persoonsgegevens niet langer in een vorm die het
mogelijk maakt de betrokkenen te identificeren, mogen worden bewaard dan voor de verwezenlijking
van de verwerkingsdoeleinden noodzakelijk is.31 Met andere woorden: indien het voor de
verwezenlijking van de verwerkingsdoeleinden niet meer noodzakelijk is de politiegegevens te
bewaren, moeten deze worden vernietigd of geanonimiseerd. Op dit beginsel van opslagbeperking
maakt de privacyregelgeving een uitzondering indien de persoonsgegevens uitsluitend worden
verwerkt ten behoeve van archivering in het algemeen belang, wetenschappelijk of historisch
onderzoek of statistische doeleinden. Hieraan wordt wel de eis verbonden dat passende maatregelen
worden getroffen om de betrokkenen te beschermen.32
De Wpg schrijft in de artikelen 8, 9, 10, 12 en 14 verwerkings- en bewaartermijnen voor. Indien zulks
het geval is, moet de verwerkingsverantwoordelijke zich aan die termijn houden. Indien geen wettelijke
bewaartermijn is voorgeschreven, zoals bij verwerkingen op grond van artikel 13 Wpg, moet de
verwerkingsverantwoordelijke zelf bewaartermijnen vaststellen of de gegevens periodiek toetsen aan
het beginsel van opslagbeperking.33 Hierbij moet rekening worden gehouden met andere regelgeving
over bewaartermijnen, zoals de Archiefwet 1995.
Voorbeeld opsomming bewaartermijn voor politiegegevens (IT/uitvoering):
   Categorie                 Ingang                Verwerkings      Termijn van bewaring          Motivering bewaring            Verantwoordelijkheid
   Persoons-             bewaartermijn             -doeleinde                                                                      voor verwijdering
    gegeven
   Naam              Vanaf moment dat              Dagelijkse     Verwijderen na vijf jaar.   Conform termijn art. 8 en 14       Functioneel beheerder
                     de naam van                   politietaak    Daarna vijf jaar bewaren    Wpg.
                     betrokkene wordt              (art. 8)       tbv klachtafhandeling en
                     vastgelegd in het                            evt. hernieuwde
                     systeem.                                     verwerking.
                                                                  Na tien jaar vernietigen.
B.     Beoordeling rechtmatigheid gegevensverwerkingen
Beoordeel aan de hand van de feiten zoals vastgesteld in onderdeel A of de voorgenomen
gegevensverwerkingen rechtmatig zijn.34 Het gaat hier om de beoordeling van de juridische
rechtsgrond, noodzaak en doelbinding van de gegevensverwerkingen. Beoordeel tevens de wijze
waarop invulling wordt gegeven aan de rechten van de betrokkenen. Voor dit onderdeel van de Geb is
in het bijzonder juridische expertise nodig.
11.          Rechtsgrond
Beoordeel of de verwerking van politiegegevens noodzakelijk is voor de in de Wpg geformuleerde doeleinden.
Beoordeel of de politiegegevens behoorlijk en rechtmatig worden verwerkt en of ze rechtmatig zijn verkregen.
De Richtlijn schrijft voor dat een gegevensverwerking alleen rechtmatig is indien die verwerking
gebaseerd is op de wet.35
31 Artikel 4, eerste lid, onder e, Richtlijn.
32 Artikel 4, derde lid, Richtlijn.
33 Overweging 26 Richtlijn.
34 Met rechtmatigheid wordt gedoeld op rechtmatigheid van de verwerking in de zin van artikel 8 van de Richtlijn. Met rechtmatigheid
wordt niet bedoeld volledige compliance met de privacyregelgeving.
35 Artikel 8, eerste lid, Richtlijn en artikel 3, tweede lid Wpg.
</pre>

====================================================================== Einde pagina 8 =================================================================

<br><br>====================================================================== Pagina 9 ======================================================================

<pre>12.          Bijzondere persoonsgegevens
Indien bijzondere politiegegevens worden verwerkt, beoordeel of deze verwerking plaatsvindt in aanvulling op
ander politiegegevens en of dit onvermijdelijk is voor het doel van de verwerking. Beoordeel bij verwerking van
een wettelijk identificatienummer of dit is toegestaan.
De Richtlijn schrijft voor dat verwerking van bijzondere persoonsgegevens slechts is toegestaan
wanneer de verwerking strikt noodzakelijk is, geschiedt met inachtneming van passende waarborgen
voor de rechten en vrijheden van betrokkene, en:
       a. wettelijk is toegestaan;
       b. noodzakelijk is om vitale belangen van de betrokkene of een andere natuurlijke persoon te
              beschermen; of
       c. die verwerking betrekking heeft op gegevens die kennelijk door de betrokkene zelf openbaar
              zijn gemaakt.36
13.          Doelbinding
Indien de politiegegevens voor een ander doel worden verwerkt dan waarvoor zij zijn verkregen, beoordeel dan of
de Wpg of wetgeving van de Europese Unie daar uitdrukkelijk in voorziet. Beoordeel of deze verdere verwerking
voor dat andere doel noodzakelijk is en in verhouding staat tot dat doel.
De privacyregelgeving geeft als beginsel dat persoonsgegevens voor welbepaalde, uitdrukkelijk
omschreven en gerechtvaardigde doeleinden moeten worden verzameld en vervolgens niet verder
mogen worden verwerkt op een met die doeleinden onverenigbare wijze.37
De Richtlijn staat de verdere verwerking van persoonsgegevens toe voor een doelstelling die binnen
het toepassingsgebied van de Richtlijn valt, niet zijnde die waarvoor zij zijn verzameld, voor zover:
       a. de verwerkingsverantwoordelijke overeenkomstig de wet gemachtigd is deze
              persoonsgegevens voor een dergelijk doel te verwerken; en
       b. de verwerking noodzakelijk is en in verhouding staat tot dat andere doel.38
De verdere verwerking voor andere doeleinden is enkel op basis van de wet toegestaan. Wanneer de
persoonsgegevens voor zulke andere doeleinden worden verwerkt, is de AVG van toepassing.39
14.          Noodzaak en evenredigheid
Beoordeel of de voorgenomen gegevensverwerkingen noodzakelijk zijn voor het verwezenlijken van de
verwerkingsdoeleinden. Ga hierbij in ieder geval in op:
       a) Proportionaliteit: staat de inbreuk op de persoonlijke levenssfeer en de bescherming van de
              persoonsgegevens van de betrokkenen in evenredige verhouding tot de verwerkingsdoeleinden?
       b) Subsidiariteit: kunnen de verwerkingsdoeleinden in redelijkheid niet op een andere, voor de betrokkenen
              minder nadelige wijze, worden verwezenlijkt? Benoem hierbij de overwogen alternatieven.
De privacyregelgeving geeft als beginsel dat de gegevensverwerking wordt beperkt tot wat
noodzakelijk is voor de verwerkingsdoeleinden. Dit beginsel van minimale
gegevensverwerking/dataminimalisatie komt verder tot uitdrukking door het gebruik van het woord
‘noodzakelijk’ in artikel 8 Richtlijn. De Richtlijn eist hiermee dat de gegevensverwerking noodzakelijk is
voor het verwezenlijken van de doeleinden. De gegevensverwerking moet daarbij voorts de toets aan
de beginselen van proportionaliteit en subsidiariteit kunnen doorstaan.
Proportionaliteit betekent dat moet worden beoordeeld of de indringendheid van de voorgenomen
gegevensverwerking in een redelijke verhouding staat tot het doel. Bij proportionaliteit wordt gewogen
of de realisatie van de verwerkingsdoeleinden zodanig gewicht heeft dat de gegevensverwerkingen,
36 Artikel 10 Richtlijn en artikel 5 Wpg.
37 Artikel 4, eerste lid, onder b, Richtlijn en artikel 3, tweede lid Wpg.
38 artikel 4, tweede lid, Richtlijn en artikel 3, tweede lid Wpg.
39 Artikel 9, eerste lid, Richtlijn.
</pre>

====================================================================== Einde pagina 9 =================================================================

<br><br>====================================================================== Pagina 10 ======================================================================

<pre>gelet op de mate waarin deze de privacy beperken, deze rechtvaardigen (zijn de beperkingen van het
grondrecht en het doel dat met de verwerking wordt beoogd met elkaar in balans?). Daarbij zal onder
meer moeten worden gekeken of de voorgenomen gegevensverwerking effectief is om het beoogde
doel te bereiken en of de aangevoerde redenen relevant en toereikend zijn om het beoogde doel te
bereiken. Daarbij kunnen empirische onderzoeksresultaten helpen.
Bij subsidiariteit wordt bekeken of de verwerkingsdoeleinden met minder ingrijpende middelen kunnen
worden bereikt. Bijvoorbeeld:
• kan bij het gebruik van bijzondere politiegegevens hetzelfde resultaat behaald worden met
       gebruikmaking van een combinatie van gewone politiegegevens?
• kan het verwerken van de politiegegevens in een beperktere vorm of met minder verwerkingen?
Zo kan in bepaalde gevallen met foto’s hetzelfde doel worden bereikt (bijvoorbeeld: identificatie) als
met het verwerken van filmbeelden. Het subsidiariteitsbeginsel houdt bijvoorbeeld ook in dat als
politiegegevens openbaargemaakt gaan worden, niet automatisch alle politiegegevens openbaar
worden gemaakt, maar een selectie wordt gemaakt op grond van gerechtvaardigde criteria. Bij deze
afwegingen worden de doelen, belangen en feiten zoals in beeld gebracht in onderdeel A betrokken.
15.         Rechten van de betrokkene
Geef aan hoe invulling wordt gegeven aan de rechten van betrokkenen. Indien de rechten van de betrokkene
worden beperkt, bepaal op grond van welke wettelijke uitzonderingen dat is toegestaan.
Betrokkenen hebben op grond van de privacyregelgeving diverse rechten, waarin ook staat op welke
wijze en onder welke omstandigheden zij die rechten kunnen uitoefenen.40 Het betreft het recht op
informatie, het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op
beperking van de verwerking, een kennisgevingsplicht inzake rectificatie of wissing van
persoonsgegevens, het recht van beroep en het recht om niet onderworpen te worden aan een
uitsluitend op geautomatiseerde verwerking gebaseerd besluit. Er zijn uitzonderingen mogelijk op de
uitoefening van deze rechten, op voorwaarde dat de wezenlijke inhoud van de grondrechten en
fundamentele vrijheden niet wordt aangetast en dat het gaat om noodzakelijke en evenredige
maatregelen ter waarborging van enkele expliciet opgesomde belangrijke doelstellingen van
algemeen belang.41 Uitzonderingen moeten altijd op een nationale wet berusten.
Geef aan hoe invulling wordt gegeven aan de rechten van betrokkenen, bijvoorbeeld op welke wijze
de betrokkenen worden geïnformeerd en hoe wordt omgegaan met een aanvraag voor correctie en
wissing van gegevens. Indien de verwerkingsverantwoordelijke uitzonderingen wil maken op de
uitoefening van bepaalde rechten van betrokkenen geef aan waarom dat noodzakelijk is en op welke
grond dat is toegestaan.
C.     Beschrijving en beoordeling risico’s voor de betrokkenen
Beschrijf en beoordeel de risico’s van de voorgenomen gegevensverwerkingen voor de rechten en
vrijheden van de betrokkenen. Houd hierbij rekening met de aard, omvang, context en doelen van de
gegevensverwerking zoals in onderdeel A en B zijn beschreven en beoordeeld. Het gaat hierbij
overigens niet om de risico’s van de verwerkingsverantwoordelijke zelf.
16.         Risico’s
Beschrijf en beoordeel de risico’s van de gegevensverwerkingen voor de rechten en vrijheden van betrokkenen.
Ga hierbij in ieder geval in op:
       a. welke negatieve gevolgen de gegevensverwerkingen kunnen hebben voor de rechten en vrijheden van
             de betrokkenen;
40 Hoofdstuk III (artikelen 12-18) Richtlijn en paragraaf 4 Wpg.
41 Artikel 13, derde lid, 15 en 16, vierde lid, Richtlijn.
</pre>

====================================================================== Einde pagina 10 =================================================================

<br><br>====================================================================== Pagina 11 ======================================================================

<pre>       b.    de oorsprong van deze gevolgen;
       c.    de waarschijnlijkheid (kans) dat deze gevolgen zullen intreden;
       d.    de ernst (impact) van deze gevolgen voor de betrokkenen wanneer deze intreden.
Volgens de privacyregelgeving dient een Geb een beoordeling van risico’s voor de rechten en
vrijheden van de betrokkenen te bevatten.42 Aan de hand van de aard, het toepassingsgebied, de
context en de doeleinden van de gegevensverwerking dient de waarschijnlijkheid en de ernst van het
risico voor de rechten en vrijheden van de betrokkenen te worden bepaald. Op basis van een
objectieve beoordeling kan vastgesteld worden of de gegevensverwerking gepaard gaat met een
(hoog) risico.43 Hiervoor is het nodig om de oorsprong, de aard, het specifieke karakter en de ernst
van dat risico te evalueren.44
Het gaat hier om een risicogerichte benadering die kan bestaan uit de volgende stappen:
       1. Risico’s identificeren
       2. Risico’s inschatten/analyseren
       3. Risico’s beoordelen/evalueren
Deze benadering zal in grote lijnen vergelijkbaar zijn met een risicoafweging in het kader van
informatiebeveiliging.45 Derhalve zal ook gebruik gemaakt kunnen worden van informatie die daaruit
naar voren is gekomen. Anders dan bij deze risicoafweging die gericht is op de
betrouwbaarheidseisen voor informatiesystemen, en daarmee de risico’s voor de verantwoordelijke
(zoals aanpassing, vertrouwen, publiciteit, toezicht en handhaving, dienstverlening, betrouwbare
informatie etc.), ziet de risicoafweging van de Geb op de risico’s voor de betrokkenen.
De AVG schrijft niet voor op welke wijze de risicoanalyse moet worden uitgevoerd. Het verdient
aanbeveling om aan te sluiten bij internationale standaarden, bijvoorbeeld van de International
Organization of Standardization (ISO), Eenduidige Normatiek Single Information Audit (ENSIA) en
Organisation for Economic Co-operation and Development (OECD).
Risico’s identificeren
De eerste stap is om potentiële privacyrisico’s vast te stellen. Een privacyrisico is een kans op het
optreden van een negatief gevolg voor de rechten en vrijheden van de betrokkenen als gevolg van de
verwerking van politiegegevens.
Bij rechten en vrijheden van de betrokkenen moet in eerste instantie aan het recht op privacy worden
gedacht, maar ook aan andere fundamentele rechten en vrijheden, zoals de vrijheid van
meningsuiting, de vrijheid van godsdienst en het verbod van discriminatie. Het voordoen van de
(hypothetische) situatie kan leiden tot lichamelijke, materiële of immateriële schade voor de
betrokkene. Hierbij kan gedacht worden aan de volgende situaties:
       - waar de gegevensverwerking kan leiden tot:
             - discriminatie, stigmatisering en uitsluiting;
             - (blootstelling aan) identiteitsdiefstal of -fraude;
             - financiële verliezen;
             - reputatie- of anderszins relationele schade;
             - verlies van vertrouwelijkheid van door het beroepsgeheim beschermde
                  persoonsgegevens;
             - ongeoorloofde ongedaanmaking van pseudonimisering;
             - of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke
                  persoon in kwestie;
       - wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden
             verhinderd om controle over hun persoonsgegevens uit te oefenen;
       - wanneer bijzondere politiegegevens worden verwerkt;
       - wanneer persoonlijke aspecten worden geëvalueerd, om bijvoorbeeld beroepsprestaties,
             economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of
42 Artikel 27, tweede lid, Richtlijn en artikel 4c Wpg.
43 Overweging 76 AVG.
44 Overweging 84 AVG.
45 Artikel 4, aanhef en onder a, van het Besluit voorschrift informatiebeveiliging rijksdienst 2007.
</pre>

====================================================================== Einde pagina 11 =================================================================

<br><br>====================================================================== Pagina 12 ======================================================================

<pre>          gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke
          profielen op te stellen of te gebruiken;
      -   wanneer politiegegevens van kwetsbare personen, zoals kinderen, worden verwerkt; of
      -   wanneer de verwerking een grote hoeveelheid politiegegevens betreft en gevolgen heeft voor
          een groot aantal betrokkenen.46
Risico’s inschatten
Vervolgens moeten de benoemde risico’s worden gekwalificeerd door het inschatten van de kans dat
een dreiging zich voordoet en de mogelijke gevolgen daarvan voor de betrokkenen. Met andere
woorden: wat zijn de gevreesde gevolgen en hoe groot is de impact daarvan op de betrokkenen? En
hoe treden deze in werking en hoe waarschijnlijk is dat? Deze vragen zijn niet gericht op zwart-wit-
antwoorden, maar op een afweging. Aan de hand hiervan moet een risiconiveau worden bepaald.
De impact/ernst van de risico’s hangt af van de context van de verwerkingen: de aard van de
politiegegevens, de aard van de verwerkingen en de doeleinden waarvoor de gegevens worden
verwerkt.
De kans dat de risico’s zich voltrekken is mede afhankelijk van de middelen die de
verwerkingsverantwoordelijke gebruikt bij de gegevensverwerking. Alsook van de aard van de
politiegegevens. Politiegegevens die de sleutel vormen voor toegang tot geldelijke middelen of
waarmee een betrokkene te chanteren is, zijn aantrekkelijk voor hackers.
De kans dat zich gevolgen voordoen voor de rechten en vrijheden van de betrokkenen, kan tevens
verband houden met de (mate van) beveiliging van de politiegegevens. De al dan niet opzettelijke:
      - vernietiging en verlies (beschikbaarheid);
      - wijziging (integriteit);
      - ongeoorloofde toegang en verstrekking (vertrouwelijkheid);
van politiegegevens, kan leiden tot schade voor de betrokkene.47
Big data-verwerkingen kunnen specifieke risico’s voor de betrokkene met zich brengen. Zo kan een
algoritme een correlatie ontdekken die weliswaar in statistische zin logisch is, maar die kan leiden tot
vooroordelen en stereotypering, discriminatie en sociale uitsluiting of anderszins impact heeft op de
betrokkenen, bijvoorbeeld bij risicotaxatie-instrumenten. Ook bestaat het risico dat de betrokkene
onderworpen is aan big data-besluitvorming die hij niet begrijpt en waar hij geen invloed op heeft.
Risico’s beoordelen
Definieer aanvaardbare risicowaarden en beoordeel of de risico’s aanvaardbaar zijn.
D.    Beschrijving voorgenomen maatregelen
In onderdeel D wordt bezien welke maatregelen kunnen worden getroffen om de in onderdeel C
erkende risico’s te voorkomen of te verminderen. Welke maatregelen in redelijkheid worden getroffen
is een belangenafweging van de wetgever of verwerkingsverantwoordelijke. Voor dit onderdeel van de
Geb is, als het gaat om beveiligingsmaatregelen, expertise over informatiebeveiliging belangrijk.
17.       Maatregelen
Beoordeel welke technische, organisatorische en juridische maatregelen in redelijkheid kunnen worden getroffen
om de hiervoor beschreven risico’s te voorkomen of te verminderen. Beschrijf welke maatregel welk risico
aanpakt en wat het restrisico is na het uitvoeren van de maatregel. Indien de maatregel het risico niet volledig
afdekt, motiveer waarom het restrisico acceptabel is.
Denk bij maatregelen bijvoorbeeld aan: het extra informeren van de betrokkenen, een extra keuze-,
inspraak- of bezwaarmogelijkheid voor de betrokkenen, periodieke controles, toezicht verstevigen,
verhogen bewustwording en dataminimalisatie.
46 Overwegingen 51 Richtlijn.
47 Overweging 83 AVG en overweging 60 Richtlijn.
</pre>

====================================================================== Einde pagina 12 =================================================================

<br><br>====================================================================== Pagina 13 ======================================================================

<pre>Daarnaast kunnen de maatregelen ook beveiligingsmaatregelen omvatten. De privacyregelgeving
geeft als beginsel dat politiegegevens door het nemen van passende technische en organisatorische
maatregelen op een dusdanige manier wordt verwerkt dat een passende beveiliging ervan
gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige
verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.48
De verwerkingsverantwoordelijk moet passende technische en organisatorische maatregelen treffen
om een op het risico afgestemd beveiligingsniveau te waarborgen.49 In het begrip passend ligt
besloten dat de beveiliging in overeenstemming is met de stand van de techniek. Het begrip passend
duidt mede op een proportionaliteit tussen de maatregelen en erkende privacyrisico’s. Naarmate de
risico’s groter zijn, worden zwaardere eisen gesteld aan de beveiliging van de persoonsgegevens. Er
is geen verplichting om altijd de allerzwaarste beveiliging te nemen. Enkel is vereist dat de
maatregelen met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn.50 Deze
maatregelen moeten het risico tot een aanvaardbaar niveau brengen. Beveiligingsrisico’s volledig
reduceren is niet mogelijk. Dit betekent dat er altijd een restrisico zal overblijven. De
verwerkingsverantwoordelijke dient te beschrijven hoe hij tot dit restrisico is gekomen en waarom deze
aanvaardbaar wordt geacht.
Een passend beveiligingsniveau veronderstelt dat gewerkt wordt met een planning- en controlcyclus
(plan-do-check-act) aan de hand waarvan kan worden beoordeeld of de beveiliging steeds adequaat
is voor de huidige stand van de techniek en de organisatie.
Voor te treffen maatregelen kan worden aangehaakt bij beveiligingskaders en -standaarden, beste
praktijken en goedgekeurde gedragscodes en certificeringsmechanismes.
De Richtlijn noemt tot slot de volgende maatregelen:
       a. controle op de toegang tot de apparatuur;
       b. controle op de gegevensdragers;
       c. opslagcontrole;
       d. gebruikscontrole
       e. controle op de toegang tot gegevens;
       f. transmissiecontrole;
       g. invoercontrole;
       h. transportcontrole; en
       i. herstelmogelijkheid.51
Daarbij kan worden gedacht aan de volgende maatregelen, mede bedoeld om ervoor te zorgen dat
persoonsgegevens, gelet op de doeleinden waarvoor ze worden verwerkt, juist en nauwkeurig zijn52:
       - fysieke maatregelen voor toegangsbeveiliging en logische toegangscontrole;
       - opslag van gegevens in een kluis;
       - project-, risico- en incidentenmanagement;
       - data opsplitsen;
       - dataminimalisatie;
       - backups;
       - integriteitscontroles;
       - meerfactor-authenticatie;
       - monitoring en logging;
       - controle van toegekende bevoegdheden;
       - privacybewustzijn- en beveiligingstrainingen;
       - managementrapportages over risicobeheer;
       - beperken inzageniveau;
       - periodiek een audit of hack- of penetratietest uitvoeren;
48 Artikel 4, eerste lid, onder f, Richtlijn en artikel 4, derde lid Wpg.
49 Artikel 29 Richtlijn.
50 Overwegingen 83 en 94 AVG.
51 Artikel 29, tweede lid, Richtlijn.
52 Artikel 4, eerste lid, onder d, Richtlijn en artikel 4, eerste lid Wpg.
</pre>

====================================================================== Einde pagina 13 =================================================================

<br><br>====================================================================== Pagina 14 ======================================================================

<pre>       -     richtlijnen inzake gebruik ICT-hulpmiddelen, zoals versleutelde USB-sticks en beveiligde
             opslagplekken;
       - responsible-disclosurebeleid;
       - geheimhoudingsverklaringen;
       - service level agreements (met boeteclausules);
       - verwerkersovereenkomsten;
       - screening personeel en VOG-verklaring.
Bij het bepalen van de gepaste maatregelen moet ook rekening gehouden worden met maatregelen
die voortvloeien uit het Informatiebeveiligingsbeleid.
De Richtlijn verplicht tot het bijhouden van logbestanden van bepaalde vormen van verwerkingen,
opdat het mogelijk is de reden, datum en het tijdstip van die handelingen te achterhalen en indien
mogelijk de identiteit van de persoon die de persoonsgegevens heeft geraadpleegd of
bekendgemaakt, en de identiteit van de ontvangers van die persoonsgegevens.53
Big Data
Bij Big data-analyses (zie punt 8) waarbij persoonsgegevens worden verwerkt, dient, gelet op de
daarmee gepaard gaande risico’s, in het bijzonder aandacht te worden besteed aan het treffen van de
volgende maatregelen:
       - Zorg ervoor dat naarmate de mogelijkheden van patroonherkenning bij de toepassing van big
             data minder zijn, een goede validatie door experts op het desbetreffende vakgebied
             plaatsvindt om het risico van foutieve uitkomsten zoveel mogelijk te reduceren.
       - Zorg ervoor dat de data zoveel als met een redelijke inspanning mogelijk is, up to date zijn, de
             te gebruiken datasets een zo gering mogelijke bias (afwijking) bevatten en dat de te gebruiken
             algoritmen en analysemethoden deugdelijk zijn.
       - Bepaal, rekening houdend met de potentiële impact van de toepassing, de foutmarge die bij
             de toepassing mag optreden.
       - Zorg ervoor dat nuttige informatie aan betrokkenen wordt verschaft over de gebruikte logica
             achter de analyse en dat voor toezicht en rechterlijke toetsing voldoende inzicht kan worden
             gegevens in gebruikte algoritmen en analysemethoden.54
Bij de toepassing van de uitkomsten van big data-analyses dient aandacht te worden besteed aan het
treffen van de volgende maatregelen:
       - Zorg voor menselijke tussenkomst in het proces van geautomatiseerde besluitvorming.55
       - Naarmate de potentiële negatieve impact voor de betrokkene groter wordt, neemt de
             noodzaak voor een goede validatie en een weging van de uitkomsten navenant toe.
53 Artikel 25, eerste lid, Richtlijn en artikel 32a Wpg.
54 Kamerstukken II 2016/17, 26 643, nr. 426, p. 7-10.
55 Artikel 22 AVG.
</pre>

====================================================================== Einde pagina 14 =================================================================

<br><br>