Leidende principes bij gebruik en inrichting van de standaard
Eigen verantwoordelijkheid:
- Iedere overheidsorganisatie verantwoordt zich vanuit goed openbaar bestuur op basis van de verwerkingsgrondslagen die zijn toegekend en toegespitst op de vervulling van de eigen taak, over de door haar zelf uitgevoerd verwerking van (persoons)gegevens. Overheidsorganisaties die gebruik maken van de standaard Logboek dataverwerkingen om de verwerking van gegevens gestandaardiseerd te loggen zijn zelf verantwoordelijk voor implementatie en inrichting van de standaard, de logs en de informatie die erin te vinden is.
- Enkel de gegevens die voor verantwoording nodig zijn worden vastgelegd.
Basis + extensies:
- Ongeacht de verschillen in (taken van) overheidsorganisaties vindt de verantwoording van het loggen van verwerkingen middels de standaard Logboek dataverwerkingen op eenduidige wijze plaats. Organisaties en sectoren die de standaard gebruiken, kunnen deze aanvullen met (zelf ontwikkelde) specifieke extensies. Organisaties en sectoren die dit doen moeten deze extensie conform het beheerproces van de standaard laten vaststellen. Dit ter voorkoming van dialecten binnen de standaard. Het vaststellen van de extensie verloopt via de organisatie die de standaard beheerd.
Logging van informatieketens:
- Bij het loggen van de verwerking van gegevens in ketens is elke overheidsorganisatie verantwoordelijk voor haar eigen deel van de keten met als afbakening de ontvangst van gegevens van (een) ketenpartner(s) en het verstrekken van gegevens aan (een) andere ketenpartner(s) of het nemen van het besluit. Door het uniformeren van de logging kunnen gegevensvraag en gegevenslevering aan elkaar gekoppeld worden. Hierbij worden door gebruik van de standaard Logboek dataverwerkingen afspraken gemaakt over de relateerbaarheid en herkenbaarheid van transacties.
Wettelijke informatieverplichtingen:
- De organisatie borgt dat de standaard Logboek Dataverwerkingen optimaal ingericht wordt ten behoeve van ondersteuning van aan een aantal wettelijke informatieverplichtingen, zoals:
- de zorgvuldigheidsverplichting en het motiveringsbeginsel uit de AWB
- het recht op informatie, het recht op inzage, het recht op rectificatie en het recht op gegevenswissing uit de AVG
- Persoonsgegevens vastleggen enkel ten behoeve van het loggen is niet toegestaan op basis van de AVG.
- De standaard Logboek Dataverwerking dient zodanig ingericht te worden dat deze voldoet aan de inhoudelijke loggingsverplichtingen als benoemd in de BIO (of hierop volgende wetgeving).
Zwaarder wegende belangen:
- De standaard Logboek Dataverwerkingen heeft een sterke relatie met het Register van Verwerkingsactiviteiten. De standaard logt, het register geeft aan over welke activiteit deze gaat. Bij de inrichting van het Register van Verwerkingsactiviteiten wordt rekening gehouden met zwaarder wegende algemene belangen (bijv nationale/openbare veiligheid, opsporing van strafbare feiten) of zwaarder wegende belangen van betrokkene of rechten van anderen (bijv bescherming persoon) waardoor de rechten van betrokken als benoemd in de AVG expliciet niet gelden. Dit kan bijvoorbeeld door bij een verwerkingsactiviteit een vertrouwelijke en niet-vertrouwelijke variant op te nemen, waardoor het vanuit de logfile inzichtelijk of er bij de betreffende verwerking rekening moet worden gehouden met zwaarder wegende belangen.
Aansluiting bij reguliere processen:
- Beschouw de gecreëerde logfile als persoonsgegevens en pas alle relevante processen en maatregelen die daarop anderszins van toepassing zijn, ook hierop toe (denk aan beveiliging, datalekken, pseudonimisering, correspondentie, inzage, correctie, aansluiting op de BIO).