review aanpassingen verwerkt

ch01_inleiding.md

@@ -4,14 +4,16 @@ Dit hoofdstuk is een inleiding op de verantwoording die de overheid heeft opgest
 
 ## Scope van dit verantwoordingsdocument 
 
-Dit document beschrijft de wijze waarop de overheid zich moet verantwoorden in brede zin en de informatie die daarvoor beschikbaar moet zijn. De standaard beoogt – initieel – niet alle aspecten te adresseren, maar biedt wel de basis om te zorgen dat **eenduidigheid en relateerbaarheid** van informatie geborgd is. Deze aspecten bepalen de scope van dit document.
+Dit document beschrijft de wijze waarop de overheid zich moet verantwoorden in brede zin en de informatie die daarvoor beschikbaar moet zijn. De standaard beoogt – initieel – niet alle aspecten te adresseren, maar biedt wel de basis om te zorgen dat **eenduidigheid en relateerbaarheid** van (log)informatie geborgd is. Deze aspecten bepalen de scope van dit document.
 
-Dit document en - de standaard – staan daarin (bewust) neutraal zijn ten opzichte de termijnen die gelden voor het bewaren van logging. Deze termijnen kunnen en zullen afhankelijk van taak en doel waarvoor zij beschikbaar moeten blijven, verschillen. Dit document gaat hierop daarom niet in.
+Dit document en - de standaard – staan daarin (bewust) neutraal ten opzichte de termijnen die gelden voor het bewaren van logging. Deze termijnen kunnen en zullen verschillen afhankelijk van taak en doel waarvoor zij beschikbaar moeten blijven. Dit document gaat hierop daarom niet in. De standaard biedt wel een manier om hiermee om te gaan (profiel).
 
 Dit geldt bijvoorbeeld ook voor het bewaren van gegevens in het kader van de archiefwet. De logging die voorhanden is kan daarvoor gebruikt worden, maar dit document heeft geen oordeel over de vraag óf gegevens in het kader van de archiefwet bewaard dienen te blijven, noch voor de termijn daarvan.
 
 Omdat het document neutraal staat ten opzichte van de doelen waarvoor de logging wordt benut, zijn ook eventuele maatregelen als gevolg van specifiek gebruik, bijvoorbeeld gelimiteerde toegang bij monitoring / soc) of extra beveiligingsmaatregelen op de logging buiten de scope.
 
+In de het laatste hoofdstuk van dit document is het beleid voor de standaard Logboek Dataverwerkingen opgenomen in de vorm van ‘leidende principes’. Hiermee kunnen gebruikers binnen de context van hun specifieke situatie de bedoeling van de standaard interpreteren en toepassen.
+
 ## De overheid moet zich verantwoorden over de uitvoering van haar taken
 
 De overheid staat bij alles wat zij doet in dienst van de maatschappij en legt daarover verantwoording af. Publieke verantwoording is onderdeel van goed openbaar bestuur.

ch02_eenduidige_verantwoording.md

@@ -24,11 +24,11 @@ Om het mogelijk te maken dat “overheidsbreed” verantwoording kan worden afge
 
 ### Verantwoordingsplicht
 
-Overheden zullen zich in eerste instantie over de uitvoering van hun eigen taken moeten verantwoorden. Dat betekent dat zij moeten kunnen aantonen welke (geautomatiseerde) activiteiten zijn hebben verricht, en dat ook hebben vastgelegd. Dat gaat ook over de vraag hoe concrete beslissing zijn genomen. Het gaat zowel over welke informatie is gebruikt, hoe deze informatie is gebruikt, en tot welke beslissingen of acties dat heeft geleid.
+Overheden zullen zich in eerste instantie over de uitvoering van hun eigen taken moeten verantwoorden. Dat betekent dat zij moeten kunnen aantonen welke (geautomatiseerde) activiteiten zij hebben verricht, en dat ook hebben vastgelegd. Dat gaat ook over de vraag hoe concrete beslissing zijn genomen. Het gaat zowel over welke informatie is gebruikt, hoe deze informatie is gebruikt, en tot welke beslissingen of acties dat heeft geleid.
 
 ## Tussenconclusie
 
-Overheden hebben verschillende taken en te maken met verschillende bestuurlijke inrichtingen. Voor de taken moet verschillende informatie worden verwerkt en kunnen verschillende verantwoordingsverplichtingen gelden. 
+Overheden hebben verschillende taken en verschillende bestuurlijke inrichtingen. Voor de taken moet verschillende informatie worden verwerkt en kunnen verschillende verantwoordingsverplichtingen gelden.
 
 Dat maakt dat organisaties hun processen verschillend “op maat” zullen inrichten. Het resultaat is dat overheidsorganisaties in alle soorten en maten bestaan. 
 

ch03_logging_als_verantwoordingsinstrument.md

@@ -16,7 +16,7 @@ Dit vergt dat de handelingen worden gelogd, en dat afspraken worden gemaakt om t
 
 ## Soorten logging
 
-Met logging in het kader van dit document wordt de logging bedoeld die nodig is om verantwoording af te leggen over de processen en beslissingen die de overheid neemt (functionele logging). Organisaties zullen daarnaast ook logging hebben die de technische werking van systemen of de werking applicaties betreft. Deze typen logging kunnen overlap vertonen met de functionele logging, maar is hoeft niet zo te zijn. 
+Met logging in het kader van dit document wordt de logging bedoeld die nodig is om verantwoording af te leggen over de processen en beslissingen die de overheid neemt (functionele logging). Organisaties zullen daarnaast ook logging hebben die de technische werking van systemen of de werking applicaties betreft. Deze typen logging kunnen overlap vertonen met de functionele logging, maar dat hoeft niet zo te zijn.
 
 ## Tussenconclusie
 

ch04_uitvoering_van_verplichtingen.md

@@ -72,7 +72,7 @@ Ook moet de verwerkingsverantwoordelijke kunnen vaststellen of er – bijvoorbee
 **Zwaar(der) wegende belangen van betrokkene of rechten van anderen**  
 Het kan voorkomen dat persoonsgegevens van een betrokkene, als deze ter inzage worden aangeboden, ook informatie over een ander persoon (een derde) bevat, en deze derde daardoor in zijn recht of vrijheid kan worden aangetast, bijvoorbeeld in het geval van informatie over een verblijfplaats. Het kan dan in voorkomende gevallen noodzakelijk zijn om informatie dan niet aan een betrokkene ter inzage te bieden.
 
-Echter, om deze afweging te kunnen maken zal nodig zijn dat is vastgelegd of daarvan sprake zou kunnen zijn. Dit is bijvoorbeeld het geval als informatie is verstrekt aan of verkregen van instanties die zich bezighouden met de uitvoering of het waarborgen van beschermende maatregelen.
+Echter, om deze afweging te kunnen maken zal nodig zijn dat is vastgelegd of daarvan sprake zou kunnen zijn. Dit is bijvoorbeeld het geval als informatie is verstrekt aan of verkregen is van instanties die zich bezighouden met de uitvoering of het waarborgen van beschermende maatregelen.
 
 ### Inbreuken op persoonsgegevens (datalekken) en melding
 

ch06_een_standaard_opstellen.md

@@ -22,7 +22,7 @@ De standaard dient voorschriften te bevatten over het vastleggen van logs, over
 
 Op deze manier is de logging zelf “neutraal” (doel en toepassing maakt voor de logging en relateerbaarheid niet uit). De logging maakt het echter wel mogelijk om voor verschillende doelen of toepassingen te worden ingezet.
 
-Een organisatie kan desgewenst vanuit dit vertrekpunt extensies maken op  de standaard op basis van de specifieke behoefte die zij heeft. Op deze manier kan een organisatie de eigen behoefte aan logging  “op maat inrichten”.
+Een organisatie kan desgewenst vanuit dit vertrekpunt extensies maken op  de standaard op basis van de specifieke behoefte die zij heeft. Op deze manier Dit kan een organisatie de eigen behoefte aan logging doen door een zogeheten extensie op de standaard te maken. Organisaties kunnen er zelf voor kiezen de standaard “op maat inrichten”. Organisaties en sectoren die dit doen moeten deze extensie conform het beheerproces van de standaard laten vaststellen. Dit ter voorkoming van dialecten binnen de standaard en mogelijkheden tot breder gebruik.
 
 ## Logging van informatie-uitwisseling
 
@@ -42,7 +42,7 @@ Om de hiervoor besproken uitgangspunten – eenduidige wijze van logging, scope
 
 Dit houdt in dat voor logging afspraken moeten worden gemaakt over de identificatie van transacties en/of mutaties (deze moeten functioneel herkenbaar of afgebakend zijn om als generieke basis voor logging te kunnen dienen).
 
-Ook moeten afspraken worden gemaakt over het karakter van transacties, zodat dit voor systemen (ook over organisaties heen) herkenbaar is.
+Ook moeten afspraken worden gemaakt over het karakter van transacties (Naam), zodat dit voor systemen (ook over organisaties heen) herkenbaar is.
 
 Verder moet de relatie met eerdere en onderliggende transacties of mutaties duidelijk zijn. Dat zorgt ervoor dat de transactie in de juiste context en onder de juiste verantwoordelijkheid geplaatst kan worden. Ook moet een referentienummer worden toegekend voor koppeling tussen verschillende organisaties.
 

ch07_beschrijving_van_de_standaard.md

@@ -2,7 +2,6 @@
 
 ## Doel van de standaard
 
-
 Om verantwoording te kunnen afleggen, zowel als overheidsorganisatie, maar met name ook om als “de overheid” te kunnen verantwoorden, dat wil zeggen als “samenwerkende overheidsorganisaties”, is het van belang dat de wijze waarop overheden verslag leggen van hun activiteiten eenduidig is, en dat de verschillende verslagleggingen aan elkaar te relateren zijn. Dat is de basis voor onderlinge samenwerking op dit terrein.
 
 De standaard “Logboek Dataverwerkingen” zorgt daarvoor.
@@ -23,13 +22,13 @@ De standaard schrijft voor dat deze per taak als “verwerkingsactiviteit” wor
 
 De standaard schrijft voor dat deze verwerkingsactiviteiten in een “register” moeten worden opgenomen. Daarin wordt onder meer het doel van de verwerkingen opgenomen, zoals dit op grond van de art. 30 AVG voor verwerkingen van persoonsgegevens al verplicht is. Het register in het kader van de standaard beoogt een bredere reikwijdte dan persoonsgegevens.
 
-Vervolgens schrijft de standaard voor dat binnen de onderkende verwerkingsactiviteiten “dataverwerkingen” worden gelogd. Dit gebeurt door de applicatie die de dataverwerking uitvoert op gestandaardiseerde manier een logregel te laten vastleggen in een Logboek dataverwerkingen.
+Vervolgens schrijft de standaard voor dat binnen de onderkende verwerkingsactiviteiten “dataverwerkingen” worden gelogd. Dit gebeurt door iedere applicatie die een dataverwerking uitvoert op gestandaardiseerde manier een logregel te laten vastleggen in een Logboek dataverwerkingen.
 
 De handelingen die worden gelogd kunnen alle handelingen betreffen die met gegevens plaatsvinden.
 
-Elke dataverwerking wordt apart gelogd en krijgt een kenmerk (“trace”) toegekend, waardoor bij elkaar horende dataverwerkingen binnen de grenzen van een systeem worden gegroepeerd en kunnen worden gerelateerd. Dit betekent dat de handelingen die ten behoeve van een specifieke taak (context) zijn uitgevoerd aan elkaar te relateren zijn, en daarmee te verantwoorden zijn.
+Elke dataverwerking wordt apart gelogd en krijgt een kenmerk (“trace”) toegekend, waardoor bij elkaar horende dataverwerkingen binnen de grenzen van een systeem worden gegroepeerd en kunnen worden gerelateerd. Dit betekent dat de handelingen die ten behoeve van een specifieke taak (context) zijn uitgevoerd aan elkaar te relateren zijn, en daarmee **te verantwoorden** zijn.
 
-Omdat dataverwerkingen kunnen of zullen plaatsvinden voor meerdere taken (contexten, verwerkingsactiviteiten), ook over organisaties heen, is het nodig dat ook de relatie (link) kan worden gelegd tussen de verschillende taken. De standaard realiseert dit door informatie over de “trace”, “verwerkingsactiviteit” en registers (de statische informatie over de dataverwerking) mee te geven aan de uitwisseling van gegevens. Op deze wijze zijn de dataverwerkingen te relateren over verschillende taken en organisaties heen, en kan verantwoording worden afgelegd.
+Omdat dataverwerkingen kunnen of zullen plaatsvinden voor meerdere taken (contexten, verwerkingsactiviteiten), ook over organisaties heen, is het nodig dat ook de relatie (link) kan worden gelegd tussen de verschillende taken. De standaard realiseert dit door informatie over de “trace”, “verwerkingsactiviteit” en registers (de statische informatie over de dataverwerking) mee te geven aan de uitwisseling van gegevens. Op deze wijze zijn de dataverwerkingen te relateren over verschillende taken en organisaties heen, en kan **verantwoording** worden afgelegd.
 
 ## Standaard als basis voor verantwoording: logging is “neutraal”
 
@@ -39,10 +38,12 @@ Echter op het moment dat doelen, context en onderlinge samenhang van belang is k
 
 ## Extensies: Het gebruik van logging voor verschillende doeleinden
 
-Op basis van de algemene relateerbaarheid die de standaard realiseert over de logging van verschillende dataverwerkingen, is het - naast de algemene verantwoording die op basis daarvan kan worden afgelegd - mogelijk om diverse andere doeleinden en processen te faciliteren. De standaard maakt dat mogelijk door extensies, specifieke aanvullingen op de standaard, toe te staan.
+Op basis van de algemene relateerbaarheid die de standaard realiseert over de logging van verschillende dataverwerkingen, is het - naast de algemene verantwoording die op basis daarvan kan worden afgelegd - mogelijk om diverse andere doeleinden en processen te faciliteren. De standaard maakt dat mogelijk door extensies, toe te staan waarmee specifieke functionaliteit wordt toegevoegd aan de standaard.
 
 Een voorbeeld daarvan is de “Extensie Betrokkenen”. Daarmee kan meer precies worden uitgewerkt hoe de identiteit van een betrokkene wordt gerelateerd aan een dataverwerking. Dat maakt het mogelijk om de koppeling te maken tussen de verwerkingen van persoonsgegevens, waarmee bijvoorbeeld inzageverzoeken geautomatiseerd mogelijk gemaakt kunnen worden. Een ander voorbeeld is de “Extensie Inzage”, waarmee de wijze waarop op basis van de logs op een gestandaardiseerde manier de verwerkingen van gegevens over een persoon ter inzage kunnen worden aangeboden (interface).
 
+Organisaties en sectoren die een extensie maken, moeten deze extensie conform het beheerproces van de standaard laten vaststellen waarmee extensie een optioneel onderdeel wordt van de standaard.
+
 ## Profielen: beperkingen en verplichtingen in het gebruik van de standaard
 
 De standaard zorgt ervoor dat eenduidige relaties gelegd kunnen worden tussen dataverwerkingen. De standaard legt daar in de basis geen beperkingen of aanvullingen aan op, en ook niet aan de tijdsduur waarbinnen de relaties moeten kunnen worden gelegd (bewaartermijn). Door middel van profielen kunnen dergelijke aanvullingen wel gemaakt worden, bijvoorbeeld door extensies, aanvullende eisen, of bewaartermijnen. Dit kan binnen een organisatie of binnen een groep van organisaties, bijvoorbeeld een sector die op een bepaalde wijze met elkaar samenwerking en afspraken wil maken. 

ch08_leidende_principes.md

@@ -1,4 +1,4 @@
-# beleid
+# Beleidskader
 
 Leidende principes bij gebruik en inrichting van de standaard
 
@@ -17,15 +17,10 @@ Leidende principes bij gebruik en inrichting van de standaard
 
 ## Wettelijke informatieverplichtingen
 
-5. De standaard Logboek Dataverwerkingen is ondersteunend aan een aantal wettelijke informatieverplichtingen, zoals:
-
-- de zorgvuldigheidsverplichting en het motiveringsbeginsel uit de AWB
-- het recht op informatie, het recht op inzage, het recht op rectificatie en het recht op gegevenswissing uit de AVG
-
-De organisatie borgt dat de standaard optimaal ingericht wordt ten behoeve van deze informatieverplichtingen.
-
+5. De organisatie borgt dat de standaard Logboek Dataverwerkingen optimaal ingericht wordt ten behoeve van ondersteuning van aan een aantal wettelijke informatieverplichtingen, zoals:
+    - de zorgvuldigheidsverplichting en het motiveringsbeginsel uit de AWB  
+    - het recht op informatie, het recht op inzage, het recht op rectificatie en het recht op gegevenswissing uit de AVG  
 6. Persoonsgegevens vastleggen enkel ten behoeve van het loggen is niet toegestaan op basis van de AVG.
-
 7. De standaard Logboek Dataverwerking dient zodanig ingericht te worden dat deze voldoet aan de inhoudelijke loggingsverplichtingen als benoemd in de BIO (of hierop volgende wetgeving).
 
 ## Zwaarder wegende belangen