diff --git a/risk_sets/gdpr_nl.json b/risk_sets/gdpr_nl.json index 3c8bb08..afbc404 100644 --- a/risk_sets/gdpr_nl.json +++ b/risk_sets/gdpr_nl.json @@ -1,61 +1,132 @@ { "id": "gdpr_nl", "title": "Algemene Verordening Gegevensbescherming (AVG)", + "description": "Bevat de belangrijkste risico's van de Algemene Verordening Gegevensbescherming (AVG) in Nederland.", "risks": [ { - "article": "5", + "article": "5(1)(a)", "name": "Onrechtmatige verwerking van persoonsgegevens", - "risk": "Persoonsgegevens worden verwerkt zonder rechtsgrond, wat kan leiden tot boetes en schadeclaims." + "risk": "Verwerking van persoonsgegevens zonder een geldige rechtsgrondslag, wat kan leiden tot boetes en reputatieschade." }, { - "article": "6", - "name": "Ontbrekende rechtsgrond voor verwerking", - "risk": "Gegevens worden verwerkt zonder geldige toestemming of andere rechtsgrond, wat kan leiden tot sancties van toezichthouders." + "article": "5(1)(b)", + "name": "Doelbinding niet nageleefd", + "risk": "Persoonsgegevens worden verwerkt voor andere doeleinden dan waarvoor ze zijn verzameld, zonder toestemming van de betrokkene." }, { - "article": "9", - "name": "Onjuiste verwerking van bijzondere categorieën gegevens", - "risk": "Verwerking van gevoelige persoonsgegevens zonder wettelijke uitzondering, wat kan leiden tot ernstige privacyinbreuken en boetes." + "article": "5(1)(c)", + "name": "Verzameling van bovenmatige gegevens", + "risk": "Verzamelen van meer persoonsgegevens dan noodzakelijk is voor het beoogde doel, wat kan leiden tot overtredingen." }, { - "article": "13", - "name": "Gebrek aan transparantie", - "risk": "Betrokkenen worden niet geïnformeerd over de verwerking van hun gegevens, wat kan leiden tot klachten en juridische stappen." + "article": "5(1)(d)", + "name": "Onjuiste of verouderde gegevens", + "risk": "Opslag van onjuiste of niet bijgewerkte persoonsgegevens, wat kan resulteren in verkeerde beslissingen en klachten." }, { - "article": "15", - "name": "Onvermogen om inzageverzoeken te behandelen", - "risk": "Individuen krijgen geen toegang tot hun gegevens, wat leidt tot overtredingen en mogelijk juridische claims." + "article": "5(1)(e)", + "name": "Bewaren van gegevens langer dan noodzakelijk", + "risk": "Persoonsgegevens worden langer bewaard dan nodig is voor het doel van de verwerking, in strijd met de regelgeving." }, { - "article": "17", - "name": "Niet naleven van het recht op gegevenswissing", - "risk": "Persoonsgegevens worden niet verwijderd op verzoek, wat kan leiden tot boetes en reputatieschade." + "article": "5(1)(f)", + "name": "Onvoldoende beveiliging van persoonsgegevens", + "risk": "Gebrek aan passende technische en organisatorische maatregelen om persoonsgegevens te beschermen, wat kan leiden tot datalekken." }, { - "article": "25", - "name": "Gebrek aan privacy by design en by default", - "risk": "Systemen en processen houden geen rekening met privacybescherming, wat leidt tot structurele non-compliance en datalekken." + "article": "6(1)", + "name": "Ontbreken van rechtsgrondslag voor verwerking", + "risk": "Verwerking van persoonsgegevens zonder een van de in de GDPR genoemde rechtsgrondslagen, wat kan leiden tot sancties." }, { - "article": "32", + "article": "7(3)", + "name": "Niet respecteren van het recht om toestemming in te trekken", + "risk": "Doorgaan met de verwerking van gegevens nadat de betrokkene zijn toestemming heeft ingetrokken." + }, + { + "article": "9(1)", + "name": "Onrechtmatige verwerking van bijzondere categorieën van gegevens", + "risk": "Verwerken van gevoelige gegevens zonder aan de specifieke voorwaarden te voldoen, wat kan leiden tot ernstige overtredingen." + }, + { + "article": "12(1)", + "name": "Gebrek aan transparante communicatie", + "risk": "Betrokkenen niet op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm informeren over de gegevensverwerking." + }, + { + "article": "13(1)", + "name": "Niet verstrekken van verplichte informatie bij gegevensverzameling", + "risk": "Het nalaten om betrokkenen te informeren over essentiële details bij het verzamelen van hun gegevens." + }, + { + "article": "15(1)", + "name": "Onvoldoende faciliteiten voor inzageverzoeken", + "risk": "Niet in staat zijn om betrokkenen toegang te geven tot hun eigen persoonsgegevens op verzoek." + }, + { + "article": "16", + "name": "Niet corrigeren van onjuiste gegevens", + "risk": "Het niet tijdig rectificeren van onjuiste of onvolledige persoonsgegevens op verzoek van de betrokkene." + }, + { + "article": "17(1)", + "name": "Niet voldoen aan verzoeken tot gegevenswissing", + "risk": "Het niet wissen van persoonsgegevens wanneer een betrokkene hierom verzoekt en er geen legitieme reden is om de gegevens te behouden." + }, + { + "article": "18(1)", + "name": "Niet respecteren van het recht op beperking van de verwerking", + "risk": "Doorgaan met de verwerking van persoonsgegevens ondanks een geldig verzoek om beperking van de verwerking." + }, + { + "article": "20(1)", + "name": "Niet faciliteren van gegevensoverdraagbaarheid", + "risk": "Het onvermogen om persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat aan de betrokkene te verstrekken." + }, + { + "article": "25(1)", + "name": "Geen implementatie van gegevensbescherming door ontwerp", + "risk": "Het niet integreren van gegevensbeschermingsprincipes in de ontwerpfase van systemen en processen." + }, + { + "article": "25(2)", + "name": "Geen gegevensbescherming door standaardinstellingen", + "risk": "Systemen en diensten zijn niet standaard zo ingesteld dat ze maximale privacybescherming bieden." + }, + { + "article": "30(1)", + "name": "Ontbreken van een register van verwerkingsactiviteiten", + "risk": "Geen up-to-date documentatie van alle verwerkingsactiviteiten, wat kan leiden tot gebrek aan controle en naleving." + }, + { + "article": "32(1)", "name": "Onvoldoende beveiligingsmaatregelen", - "risk": "Gebrek aan adequate technische en organisatorische beveiligingsmaatregelen verhoogt het risico op datalekken en cyberaanvallen." + "risk": "Het niet implementeren van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen." }, { - "article": "33", - "name": "Niet of te laat melden van een datalek", - "risk": "Datalekken worden niet binnen 72 uur gemeld, wat kan leiden tot hoge boetes en verlies van vertrouwen van klanten." + "article": "33(1)", + "name": "Niet tijdig melden van een datalek aan de toezichthouder", + "risk": "Het niet binnen 72 uur melden van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit." }, { - "article": "35", - "name": "Niet uitvoeren van een Data Protection Impact Assessment (DPIA)", - "risk": "Risicovolle verwerkingen worden niet vooraf geanalyseerd, wat kan leiden tot onvoorziene privacyrisico’s en sancties." + "article": "34(1)", + "name": "Niet informeren van betrokkenen over een datalek", + "risk": "Het nalaten om betrokkenen zonder onredelijke vertraging te informeren over een inbreuk die een hoog risico inhoudt voor hun rechten en vrijheden." + }, + { + "article": "35(1)", + "name": "Geen uitvoering van een gegevensbeschermingseffectbeoordeling (DPIA)", + "risk": "Het niet uitvoeren van een DPIA voor verwerkingen die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen." + }, + { + "article": "37(1)", + "name": "Geen aanstelling van een functionaris voor gegevensbescherming (FG)", + "risk": "Het niet benoemen van een FG wanneer dit verplicht is volgens de GDPR, wat kan leiden tot non-compliance." }, { "article": "44", - "name": "Onrechtmatige doorgifte van persoonsgegevens buiten de EU", - "risk": "Gegevens worden doorgegeven zonder passende waarborgen, wat leidt tot juridische consequenties en mogelijke belemmeringen voor internationale samenwerking." + "name": "Onrechtmatige doorgifte van persoonsgegevens naar derde landen", + "risk": "Overdracht van persoonsgegevens naar landen buiten de EU zonder adequate waarborgen, wat kan leiden tot verlies van gegevensbescherming." } ] }