diff --git a/api/Logboek_Algemeen/0.1.0/Algemene_inleiding-Logboek_Dataverwerking.pdf b/api/Logboek_Algemeen/0.1.0/Algemene_inleiding-Logboek_Dataverwerking.pdf index bf3b848..21026ff 100644 Binary files a/api/Logboek_Algemeen/0.1.0/Algemene_inleiding-Logboek_Dataverwerking.pdf and b/api/Logboek_Algemeen/0.1.0/Algemene_inleiding-Logboek_Dataverwerking.pdf differ diff --git a/api/Logboek_Algemeen/0.1.0/index.html b/api/Logboek_Algemeen/0.1.0/index.html index cec888b..725952b 100644 --- a/api/Logboek_Algemeen/0.1.0/index.html +++ b/api/Logboek_Algemeen/0.1.0/index.html @@ -896,7 +896,7 @@

-

Status van dit document

Dit is een werkversie die op elk moment kan worden gewijzigd, verwijderd of vervangen door andere documenten. Het is geen door het TO goedgekeurde consultatieversie.

+

Status van dit document

Dit is een werkversie die op elk moment kan worden gewijzigd, verwijderd of vervangen door andere documenten. Het is geen door het TO goedgekeurde consultatieversie.

1. Inleiding

Het idee is dat het Logboek Dataverwerkingen een basis biedt om te zorgen dat de overheid precies de data logt die zij nodig heeft om verantwoording af te leggen over haar taken. Niet meer, maar ook niet minder. En om te zorgen dat organisaties data zodanig loggen dat zij zich niet alleen over een eigen handelen kunnen verantwoorden, maar ook over hun gezamenlijk handelen als “de overheid”.

1.1 Aanleiding en context van Logboek dataverwerkingen

@@ -946,27 +946,27 @@

2.1.5 Wie is eigenaar en beheerder van de standaard Logboek Dataverwerking?

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor de standaard en de doorontwikkeling ervan. Het beheer wordt door Logius uitgevoerd.

2.1.6 Is mijn organisatie verplicht de standaard Logboek Dataverwerking te implementeren?

-

Er zijn momenteel geen verplichtingen voor gebruik van de standaard. Op termijn zal de standaard aangeboden worden aan het Forum Standaardisatie voor mogelijke opname op de Pas-toe-of-leg-uit-lijst.

-

2.1.7 Hoe werken het Register van verwerkingsactiviteiten en het Logboek Dataverwerkingen samen?

-

In het Register van verwerkingsactiviteiten (art 30 AVG) zijn de binnen de organisatie uit te voeren taken en processen waarin verwerkingen worden uitgevoerd benoemd. In de standaard wordt de relatie gelegd tussen de beschreven processen in het register en de daadwerkelijk uitgevoerde activiteit waarbij data zijn verwerkt. Hiermee is inzicht in de taak en activiteit waarvoor de data verwerkt zijn.

-

2.1.8 Wat is de relatie van Audit Log met de standaard?

+

Er zijn momenteel geen verplichtingen voor gebruik van de standaard. Op termijn zal de standaard aangeboden worden aan het Forum Standaardisatie voor mogelijke opname op de Pas-toe-of-leg-uit-lijst.

+

2.1.7 Wat is de relatie van Audit Log met de standaard?

In de standaard wordt geen identificerende data opgeslagen over gebruiker van het systeem (bijv. de ambtenaar die het systeem gebruikt). We gaan ervan uit dat daar in de organisatie een Audit log voor is ingericht, aangezien dat verplicht is vanuit BIO. -Vanuit Audit Log kan wel een relatie gelegd worden met een verwerking in de standaard door te verwijzen naar de Operation ID die de verwerking identificeert.

+Vanuit Audit Log kan wel een relatie gelegd worden met een verwerking in de standaard door te verwijzen naar de Operation ID die de verwerking identificeert.

Voor redenatie hierachter, zie besluit 4.4

Daarnaast is het van belang om te beseffen dat het vastleggen van data over een gebruiker in de Audit Log, ook een dataverwerking is. Immers, de data van de gebruiker (bijv. de ambtenaar die het systeem heeft gebruikt) worden daarbij opgeslagen (verwerkt). Dat is dus een eigen, aparte, dataverwerking die gelogd dient te worden in de Logboek Dataverwerkingen van de verwerker.

-

2.1.9 Zijn er dingen die je moet aanpassen aan je Audit Log als je de standaard implementeert?

-

In de logging worden geen identificerende gegevens opgeslagen over gebruiker van het systeem (bijv. de ambtenaar die het systeem gebruikt). Om de link tussen een gebruiker en de standaard te maken, kan de Audit Log worden aangepast door te verwijzen naar de Operation ID die de dataverwerking identificeert die door de gebruiker is uitgevoerd.

-

2.1.10 Kan je de standaard implementeren als je een cloud (SaaS) applicatie gebruikt?

+

2.1.8 Zijn er dingen die je moet aanpassen aan je Audit Log als je de standaard implementeert?

+

In de logging worden geen identificerende gegevens opgeslagen over gebruiker van het systeem (bijv. de ambtenaar die het systeem gebruikt). Om de link tussen een gebruiker en de standaard te maken, kan de Audit Log worden aangepast door te verwijzen naar de Operation ID die de dataverwerking identificeert die door de gebruiker is uitgevoerd.

+

2.1.9 Kan je de standaard implementeren als je een cloud (SaaS) applicatie gebruikt?

Ja dat kan. Het is wel van belang een duidelijk onderscheid te maken tussen verantwoordelijke en een verwerker van de gegevens. Dit bepaalt bijvoorbeeld de Register van verwerkingsactiviteiten waarnaar u dient te verwijzen bij implementatie van de standaard.

Voor meer informatie over de rol van een verantwoordelijke en een verwerker kunt u de de website van Autoriteit Persoonsgegevens raadplegen.

-

2.1.11 Is de performance van de standaard getest? / Zal de standaard de performance van mijn applicaties beperken?

+

2.1.10 Is de performance van de standaard getest? / Zal de standaard de performance van mijn applicaties beperken?

Ja, de performance is getest met een aantal demo-applicaties. De testen toonden aan dat er weinig tot geen performanceverlies was op geraakte applicaties.

+

2.1.11 Hoe werken het Register van verwerkingsactiviteiten (RvvA) en het Logboek Dataverwerkingen samen?

+

In het RvvA ofwel het Register van verwerkingsactiviteiten (art 30 AVG) zijn de binnen de organisatie uit te voeren taken en processen waarin verwerkingen worden uitgevoerd benoemd. In de standaard wordt de relatie gelegd tussen de beschreven processen in het register en de daadwerkelijk uitgevoerde activiteit waarbij data zijn verwerkt. Hiermee is inzicht in de taak en activiteit waarvoor de data verwerkt zijn.

2.1.12 Moet ik mijn RvvA aanpassen als ik deze standaard implementeer?

Voor de implementatie van deze standaard is het noodzakelijk dat iedere verwerkingsactiviteit in uw RvvA uniek te identificeren is. Mocht dat nog niet het geval zijn, voeg dan een unieke identificator toe aan alle dataverwerkingen.

Het is aanbevolen – maar niet verplicht – om de RvvA benaderbaar te maken met een API. Dat voorkomt dat de identificatoren van de verwerkingsactiviteiten “hardcoded” moeten worden toegevoegd aan de logging en dat bij inzage, handmatig data uit de RvvA moeten worden toegevoegd in de logging.

Het is van belang dat, als de RvvA wordt aangepast,de wijzigingen toevoegd worden als nieuwe verwerkingsactiviteiten met een eigen unieke identificator. Bestaande verwerkingsactiviteiten mogen niet wijzigen of verwijderd worden. Hierdoor blijven de oude verwijzingen uit de Logboek Dataverwerking intact.

2.1.13 Mijn organisatie heeft geen RvvA API. (Hoe) Kan ik dan nog steeds de standaard implementeren?

-

Ja, dat kan nog steeds. Het is niet verplicht een RvvA API te implementeren, de RvvA is uiteraard wel verplicht in het geval van persoonsgegevensverwerking. Voor de implementatie van de Logboek Dataverwerkingen is het van belang dat iedere verwerkingsactiviteit te identificeren is met een unieke identificator.

+

Ja, dat kan nog steeds. Het is niet verplicht een RvvA API te implementeren, de RvvA is uiteraard wel verplicht in het geval van persoonsgegevensverwerking. Voor de implementatie van de Logboek Dataverwerkingen is het van belang dat iedere verwerkingsactiviteit te identificeren is met een unieke identificator.

Stel de RvvA is uitgewerkt in een MS-Exceldocument en het systeem heeft daar geen API-toegang toe Daarnaast zijn de dataverwerkingenin de RvvA niet uniek te identificeren met een identificator.

In dat geval zal er een kolom moeten worden toegevoegd aan het MS-Exceldocument waariedere dataverwerkingeen unieke identificator krijgt. Deze identificatoren van de dataverwerkingen in uw RvvA zullen dan ‘hardcoded’ moeten worden toegevoegd in de logging. Bij inzage zullen de data uit de RvvA, die horen bij een dataverwerking, handmatig moeten worden opgezocht.

2.1.14 Hoe gedetailleerd moet mijn RvvA zijn om de standaard te implementeren? / Heeft de detailniveau van mijn RvvA invloed op de werking van de standaard?

diff --git a/api/Logboek_Algemeen/Algemene_inleiding-Logboek_Dataverwerking.pdf b/api/Logboek_Algemeen/Algemene_inleiding-Logboek_Dataverwerking.pdf index bf3b848..21026ff 100644 Binary files a/api/Logboek_Algemeen/Algemene_inleiding-Logboek_Dataverwerking.pdf and b/api/Logboek_Algemeen/Algemene_inleiding-Logboek_Dataverwerking.pdf differ diff --git a/api/Logboek_Algemeen/index.html b/api/Logboek_Algemeen/index.html index cec888b..725952b 100644 --- a/api/Logboek_Algemeen/index.html +++ b/api/Logboek_Algemeen/index.html @@ -896,7 +896,7 @@

-

Status van dit document

Dit is een werkversie die op elk moment kan worden gewijzigd, verwijderd of vervangen door andere documenten. Het is geen door het TO goedgekeurde consultatieversie.

+

Status van dit document

Dit is een werkversie die op elk moment kan worden gewijzigd, verwijderd of vervangen door andere documenten. Het is geen door het TO goedgekeurde consultatieversie.

1. Inleiding

Het idee is dat het Logboek Dataverwerkingen een basis biedt om te zorgen dat de overheid precies de data logt die zij nodig heeft om verantwoording af te leggen over haar taken. Niet meer, maar ook niet minder. En om te zorgen dat organisaties data zodanig loggen dat zij zich niet alleen over een eigen handelen kunnen verantwoorden, maar ook over hun gezamenlijk handelen als “de overheid”.

1.1 Aanleiding en context van Logboek dataverwerkingen

@@ -946,27 +946,27 @@

2.1.5 Wie is eigenaar en beheerder van de standaard Logboek Dataverwerking?

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor de standaard en de doorontwikkeling ervan. Het beheer wordt door Logius uitgevoerd.

2.1.6 Is mijn organisatie verplicht de standaard Logboek Dataverwerking te implementeren?

-

Er zijn momenteel geen verplichtingen voor gebruik van de standaard. Op termijn zal de standaard aangeboden worden aan het Forum Standaardisatie voor mogelijke opname op de Pas-toe-of-leg-uit-lijst.

-

2.1.7 Hoe werken het Register van verwerkingsactiviteiten en het Logboek Dataverwerkingen samen?

-

In het Register van verwerkingsactiviteiten (art 30 AVG) zijn de binnen de organisatie uit te voeren taken en processen waarin verwerkingen worden uitgevoerd benoemd. In de standaard wordt de relatie gelegd tussen de beschreven processen in het register en de daadwerkelijk uitgevoerde activiteit waarbij data zijn verwerkt. Hiermee is inzicht in de taak en activiteit waarvoor de data verwerkt zijn.

-

2.1.8 Wat is de relatie van Audit Log met de standaard?

+

Er zijn momenteel geen verplichtingen voor gebruik van de standaard. Op termijn zal de standaard aangeboden worden aan het Forum Standaardisatie voor mogelijke opname op de Pas-toe-of-leg-uit-lijst.

+

2.1.7 Wat is de relatie van Audit Log met de standaard?

In de standaard wordt geen identificerende data opgeslagen over gebruiker van het systeem (bijv. de ambtenaar die het systeem gebruikt). We gaan ervan uit dat daar in de organisatie een Audit log voor is ingericht, aangezien dat verplicht is vanuit BIO. -Vanuit Audit Log kan wel een relatie gelegd worden met een verwerking in de standaard door te verwijzen naar de Operation ID die de verwerking identificeert.

+Vanuit Audit Log kan wel een relatie gelegd worden met een verwerking in de standaard door te verwijzen naar de Operation ID die de verwerking identificeert.

Voor redenatie hierachter, zie besluit 4.4

Daarnaast is het van belang om te beseffen dat het vastleggen van data over een gebruiker in de Audit Log, ook een dataverwerking is. Immers, de data van de gebruiker (bijv. de ambtenaar die het systeem heeft gebruikt) worden daarbij opgeslagen (verwerkt). Dat is dus een eigen, aparte, dataverwerking die gelogd dient te worden in de Logboek Dataverwerkingen van de verwerker.

-

2.1.9 Zijn er dingen die je moet aanpassen aan je Audit Log als je de standaard implementeert?

-

In de logging worden geen identificerende gegevens opgeslagen over gebruiker van het systeem (bijv. de ambtenaar die het systeem gebruikt). Om de link tussen een gebruiker en de standaard te maken, kan de Audit Log worden aangepast door te verwijzen naar de Operation ID die de dataverwerking identificeert die door de gebruiker is uitgevoerd.

-

2.1.10 Kan je de standaard implementeren als je een cloud (SaaS) applicatie gebruikt?

+

2.1.8 Zijn er dingen die je moet aanpassen aan je Audit Log als je de standaard implementeert?

+

In de logging worden geen identificerende gegevens opgeslagen over gebruiker van het systeem (bijv. de ambtenaar die het systeem gebruikt). Om de link tussen een gebruiker en de standaard te maken, kan de Audit Log worden aangepast door te verwijzen naar de Operation ID die de dataverwerking identificeert die door de gebruiker is uitgevoerd.

+

2.1.9 Kan je de standaard implementeren als je een cloud (SaaS) applicatie gebruikt?

Ja dat kan. Het is wel van belang een duidelijk onderscheid te maken tussen verantwoordelijke en een verwerker van de gegevens. Dit bepaalt bijvoorbeeld de Register van verwerkingsactiviteiten waarnaar u dient te verwijzen bij implementatie van de standaard.

Voor meer informatie over de rol van een verantwoordelijke en een verwerker kunt u de de website van Autoriteit Persoonsgegevens raadplegen.

-

2.1.11 Is de performance van de standaard getest? / Zal de standaard de performance van mijn applicaties beperken?

+

2.1.10 Is de performance van de standaard getest? / Zal de standaard de performance van mijn applicaties beperken?

Ja, de performance is getest met een aantal demo-applicaties. De testen toonden aan dat er weinig tot geen performanceverlies was op geraakte applicaties.

+

2.1.11 Hoe werken het Register van verwerkingsactiviteiten (RvvA) en het Logboek Dataverwerkingen samen?

+

In het RvvA ofwel het Register van verwerkingsactiviteiten (art 30 AVG) zijn de binnen de organisatie uit te voeren taken en processen waarin verwerkingen worden uitgevoerd benoemd. In de standaard wordt de relatie gelegd tussen de beschreven processen in het register en de daadwerkelijk uitgevoerde activiteit waarbij data zijn verwerkt. Hiermee is inzicht in de taak en activiteit waarvoor de data verwerkt zijn.

2.1.12 Moet ik mijn RvvA aanpassen als ik deze standaard implementeer?

Voor de implementatie van deze standaard is het noodzakelijk dat iedere verwerkingsactiviteit in uw RvvA uniek te identificeren is. Mocht dat nog niet het geval zijn, voeg dan een unieke identificator toe aan alle dataverwerkingen.

Het is aanbevolen – maar niet verplicht – om de RvvA benaderbaar te maken met een API. Dat voorkomt dat de identificatoren van de verwerkingsactiviteiten “hardcoded” moeten worden toegevoegd aan de logging en dat bij inzage, handmatig data uit de RvvA moeten worden toegevoegd in de logging.

Het is van belang dat, als de RvvA wordt aangepast,de wijzigingen toevoegd worden als nieuwe verwerkingsactiviteiten met een eigen unieke identificator. Bestaande verwerkingsactiviteiten mogen niet wijzigen of verwijderd worden. Hierdoor blijven de oude verwijzingen uit de Logboek Dataverwerking intact.

2.1.13 Mijn organisatie heeft geen RvvA API. (Hoe) Kan ik dan nog steeds de standaard implementeren?

-

Ja, dat kan nog steeds. Het is niet verplicht een RvvA API te implementeren, de RvvA is uiteraard wel verplicht in het geval van persoonsgegevensverwerking. Voor de implementatie van de Logboek Dataverwerkingen is het van belang dat iedere verwerkingsactiviteit te identificeren is met een unieke identificator.

+

Ja, dat kan nog steeds. Het is niet verplicht een RvvA API te implementeren, de RvvA is uiteraard wel verplicht in het geval van persoonsgegevensverwerking. Voor de implementatie van de Logboek Dataverwerkingen is het van belang dat iedere verwerkingsactiviteit te identificeren is met een unieke identificator.

Stel de RvvA is uitgewerkt in een MS-Exceldocument en het systeem heeft daar geen API-toegang toe Daarnaast zijn de dataverwerkingenin de RvvA niet uniek te identificeren met een identificator.

In dat geval zal er een kolom moeten worden toegevoegd aan het MS-Exceldocument waariedere dataverwerkingeen unieke identificator krijgt. Deze identificatoren van de dataverwerkingen in uw RvvA zullen dan ‘hardcoded’ moeten worden toegevoegd in de logging. Bij inzage zullen de data uit de RvvA, die horen bij een dataverwerking, handmatig moeten worden opgezocht.

2.1.14 Hoe gedetailleerd moet mijn RvvA zijn om de standaard te implementeren? / Heeft de detailniveau van mijn RvvA invloed op de werking van de standaard?