Co-Dex.eu opleiding

Scoren van de criteria

Om de score voor DPC te bepalen, moet de gegevensbeheerder de volgende stappen volgen:

Stap 1: Definitie en classificatie van de soorten persoonsgegevens

a) Definieer de soorten persoonsgegevens die bij de inbreuk betrokken zijn.

b) Classificeer de gegevens in ten minste een van de vier categorieën: eenvoudige, gedrags-, financiële en gevoelige gegevens (deze categorieën worden in detail uitgelegd in bijlage 1). Op deze manier wordt een voorlopige basis DPC-score verkregen.

De lijst met gegevenstypen beschreven onder de vier categorieën is niet uitputtend; de meeste gegevens die in echte gevallen zijn betrokken, kunnen echter worden vergeleken met ten minste één van de categorieën. Inloggegevens worden niet beschouwd als een specifieke gegevenscategorie en moeten worden behandeld op basis van het type gegevens dat wordt verwerkt door de systemen waartoe ze toegang bieden.

Stap 2: Aanpassing door contextuele factoren gerelateerd aan de gegevensverwerking

c) Beoordeel het voorkomen van bepaalde factoren die de basisscore kunnen verhogen of verlagen (datavolume, speciale kenmerken van de controllers of de individuen, ongeldigheid / onnauwkeurigheid van data, openbare beschikbaarheid (vóór de inbreuk), aard van de data).

d) Indien dergelijke factoren bestaan, verhoog / verlaag dan dienovereenkomstig de basisscore. Beoordelingstabel 1 geeft de aanpassingsschalen per gegevenscategorie weer, samen met voorbeeldgevallen die tot lagere / hogere scores kunnen leiden.

Opmerking: hoewel er ten behoeve van de methodologie vier gegevenscategorieën worden gerangschikt, moet de indeling zelf niet worden gezien als een algemene rangschikking van de soorten gegevens die voorhanden zijn. Veel meer, bij de verwerking van een bepaald type gegevens moet altijd rekening worden gehouden met aanvullende contextuele factoren die verband houden met de gegevens. Daarom moet de basisscore worden gezien als een algemene indicatie van de kritikaliteit van een bepaalde gegevenscategorie en kan de DPC-score van elk gegevenstype altijd variëren van 1 tot 4.

Als de gegevens overeenkomen met meer dan één categorie, moeten de bovengenoemde stappen worden gevolgd voor elke toepasselijke categorie. In deze gevallen is de waarde die moet worden gebruikt voor de algehele berekening van de ernst de hoogst behaalde score.

Als de controller ervoor kiest om de DPC-basisscore te wijzigen (binnen het bereik van Beoordelingstabel 1), moet de nieuwe score worden ondersteund door een uitleg waarin de specifieke contextuele factoren van de inbreuk en hun invloed worden beschreven.