Collectie van de persoonsgegevens
Hoe en binnen welke context worden de persoonsgegevens verwerkt?
Dit betreft de organisationele en technische situatie van de verwerking.
Direct of indirect
Er is een directe of indirecte interactie met de betrokkene wanneer zijn persoonsgegevens verwerkt worden.
Naargelang er sprake is van direct of indirecte verzameling van de persoonsgegevens, zijn er andere maatregelen nodig om de betrokkene te informeren.
Indien er indirecte verzameling is, en de gegevensbron van buiten deze verwerking komt, gelieve deze bron dan te vermelden.
Verwerkingsfaciliteiten
Waar wordt de verwerking uitgevoerd?
- On-premise: de verwerking gebeurt op systemen die bij de organisatie zelf staan.
- Off-premise: de systemen draaien volledig buiten het terrein van de organisatie.
- Hybriede: de verwerking gebeurt op systemen die deels in het bedrijf en deels buiten het bedrijf staan.
Wordt de informatie volledig verwerkt binnen de EER?
Het is belangrijk te weten waar de persoosngegevens verwerkt worden.
Dit vooral om het contractueel kader duidelijk te kunnen schetsen.
De systemen waar de verwerking op gebeurt en de bedrijven die ervan eigenaar zijn
- Systemen binnen of buiten de EER
- De leverancier zijn systemen bevinden zich binnen of buiten de EER
- De supportsystemen en mensen bevinden zich binnen of buiten de EER
Welk type van interactie is er met de systemen en de gebruikers van de systemen?
- Interactieve systemen: er zijn personen die interageren met het systeem. Ook gekend als user-to-machine of user-to-application (U2A).
- Non-interactieve systemen: er zijn diensten of geautomatiseerde processen die interageren met het systeem. Ook gekend als machine-to-machine of application-to-application (A2A).
Hoe gebeurt de verwerking?
- Manuele verwerking: het proces is een volledig manueel proces waar alle interacties door een gebruiker gebeurnen.
- Automatische verwerking: het proces is volledig geautomatiseerd en alle interacties en beslissingen gebeuren door het systeem.
- Deels geautomatiseerde verwerking: het proces is deels geautomatiseerd, maar er komen nog menselijke interacties of beslissingen aan te pas om het proces end-to-end te voltrekken.
Hoe wordt de verwerking toegankelijk gemaakt?
Op welke manier of type van systemen wordt de verwerking toegankelijk gemaakt aan de gebruikers of de systemen?
Dit betreft vooral een inschaling van de gebruikte technologie als endpoints en de vormend van de mediadragers.
Onderhoud van de verwerking
Wie ondersteunt en onderhoudt er de systemen en de processen van de verwerking?
- Intern beheer: de verwerking draait en wordt ondersteund onder eigen beheer
- Extern beheer: het beheer gebeurt door externe partijen
Dit kan een mix van beide zijn.
Vorm van ondersteuning
Op welke manier wordt er support geleverd indien er zich problemen of incidenten voordoen?
- On-site support: de partij die de ondersteuning biedt komt on-site
- Verbinding op afstand: de partij kan van op afstand inloggen of verbinding met het systeem om de support te leveren
- Telefonische support: de leverancier kan door middel van telefoon of e-mail ondersteunning bieden
- Configuratie of logbestanden doorsturen: er kunnen configuratie of logbestanden doorgestuurd worden naar de leverancier
Vorm van digitale verwerking
Welke digitale middelen worden er gebruikt om de verwerking te faciliteren?
Dit is van groot belang om de basis van de gebruikte ICT-middelen in te schatten zodat de cybr veiligheid hiermee gelinkt kan worden.
De vorm alsook alle andere keuzes kunnen nadien nog gewijzigd worden.
Binding corporate rules
BCR of in het Nederlands "Bindende bedrijfsvoorschriften"
Indien er bindende bedrijfsvoorschriften of binding corporate rules van toepassing zijn, gelieve hier dan de referentie te vermelden.
Code of Conduct
CoC of in het Nederlands "gedracgscodes"
Indien er gedragscodes of codes of conduct van toepassing zijn, gelieve hier dan de referentie te vermelden.