ISOR:Passend niveau- gebaseerd op analyse van het verwerkingsrisico: verschil tussen versies

Uit NORA Online
ISOR:Passend niveau- gebaseerd op analyse van het verwerkingsrisico
Naar navigatie springen Naar zoeken springen
(Voetnoot toegevoegd)
k (Tekst vervangen - '====Voetnoot==== <References/>' door '')
(3 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 13: Regel 13:
|Toelichting=In de risicoanalyse wordt het gewenste niveau van beveiliging vastgesteld. Door een risicoanalyse uit te voeren wordt inzichtelijk welke maatregelen waar nodig zijn om welke risico's te beheersen. Daarbij moet proportionaliteit zijn tussen de beveiligingsmaatregelen en de aard van te beschermen gegevens. Naarmate de gegevens bijv. een vertrouwelijker karakter hebben of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Sommige gegevens zijn naar hun aard vertrouwelijker (zoals bijzondere persoonsgegevens zoals ras, religie, seksuele voorkeur, biometrische gegevens en inloggegevens), andere gegevens worden vertrouwelijk als ze in een bepaalde context worden geplaatst (bijv. gegevens over uithuisplaatsing van een minderjarige, of over de financiële situatie van een persoon). Een bijkomende vuistregel: hoe groter de verzameling van persoonsgegevens van een specifieke betrokkene is, des te risicovoller en daarmee vertrouwelijker deze gegevens kunnen worden.
|Toelichting=In de risicoanalyse wordt het gewenste niveau van beveiliging vastgesteld. Door een risicoanalyse uit te voeren wordt inzichtelijk welke maatregelen waar nodig zijn om welke risico's te beheersen. Daarbij moet proportionaliteit zijn tussen de beveiligingsmaatregelen en de aard van te beschermen gegevens. Naarmate de gegevens bijv. een vertrouwelijker karakter hebben of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Sommige gegevens zijn naar hun aard vertrouwelijker (zoals bijzondere persoonsgegevens zoals ras, religie, seksuele voorkeur, biometrische gegevens en inloggegevens), andere gegevens worden vertrouwelijk als ze in een bepaalde context worden geplaatst (bijv. gegevens over uithuisplaatsing van een minderjarige, of over de financiële situatie van een persoon). Een bijkomende vuistregel: hoe groter de verzameling van persoonsgegevens van een specifieke betrokkene is, des te risicovoller en daarmee vertrouwelijker deze gegevens kunnen worden.


Het niveau van de technische, organisatorische en fysieke maatregelen wordt periodiek geëvalueerd en zo nodig geactualiseerd zodat het niveau passend blijft .
Het niveau van de technische, organisatorische en fysieke maatregelen wordt periodiek geëvalueerd en zo nodig geactualiseerd zodat het niveau passend blijft{{Noot| |Een 'Information Security Management System (ISMS)' biedt een organisatie een procesbenadering voor het beheersen van de informatiebeveiliging. ISO/IEC 27001 is daarvoor de norm. Dit norm-document beschrijft het cyclische proces (plan/do/check/act) voor het bepalen van beveiligingsdoelstellingen op basis van een risicobeoordeling, het treffen van maatregelen en het monitoren en beoordelen van de uitkomsten. Zie voor informatiebeveiliging in de zorg: https://www.werkenmetnen7510.nl.}}.
 
Als sprake is van bijzondere persoonsgegevens, uniek identificerende gegevens (zoals BSN-nummers, vingerafdrukken, biometrische gegevens) of gegevens over kwetsbare groepen, personen of gebruikersnamen, wachtwoorden en andere inloggegevens, dan vraagt dit om extra aandacht in de risicoanalyse en eventuele maatregelen{{Noot| |De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen (zie Avg art. 87).}}.
 


Als sprake is van bijzondere persoonsgegevens, uniek identificerende gegevens (zoals BSN-nummers, vingerafdrukken, biometrische gegevens) of gegevens over kwetsbare groepen, personen of gebruikersnamen, wachtwoorden en andere inloggegevens, dan vraagt dit om extra aandacht in de risicoanalyse en eventuele maatregelen.
|Beveiligingsaspect=Uitvoering
|Beveiligingsaspect=Uitvoering
|Stelling=De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig<Ref>Avg art. 32 lid 2.</Ref>.
|Stelling=De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig{{Noot|AVG| art. 32 lid 2.}}.
 


====Voetnoot====
<References/>
|Conformiteitsindicator=passend niveau te beveiligen
|Conformiteitsindicator=passend niveau te beveiligen
|Heeft bron=de Privacy Baseline
|Heeft bron=de Privacy Baseline

Versie van 18 jan 2018 19:58


Logo ISOR normen (een hangslot met de tekst ISOR norm)
ID: PRIV_U.04.02.02
Norm
Versie: 3.1
Status: Actueel
Publicatiedatum: 16-10-2017
Redactionele wijzigingsdatum: 13-6-2020
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de U van Uitvoering
Uitvoering
Invalshoek:
Bovenliggende principe
Meer in normenkader èn aspect
Alle normen
Alle normenkaders
ISOR (Information Security Object Repository)

Stelling

De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG art. 32 lid 2..

In de risicoanalyse wordt het gewenste niveau van beveiliging vastgesteld. Door een risicoanalyse uit te voeren wordt inzichtelijk welke maatregelen waar nodig zijn om welke risico's te beheersen. Daarbij moet proportionaliteit zijn tussen de beveiligingsmaatregelen en de aard van te beschermen gegevens. Naarmate de gegevens bijv. een vertrouwelijker karakter hebben of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Sommige gegevens zijn naar hun aard vertrouwelijker (zoals bijzondere persoonsgegevens zoals ras, religie, seksuele voorkeur, biometrische gegevens en inloggegevens), andere gegevens worden vertrouwelijk als ze in een bepaalde context worden geplaatst (bijv. gegevens over uithuisplaatsing van een minderjarige, of over de financiële situatie van een persoon). Een bijkomende vuistregel: hoe groter de verzameling van persoonsgegevens van een specifieke betrokkene is, des te risicovoller en daarmee vertrouwelijker deze gegevens kunnen worden.

Het niveau van de technische, organisatorische en fysieke maatregelen wordt periodiek geëvalueerd en zo nodig geactualiseerd zodat het niveau passend blijft Een 'Information Security Management System (ISMS)' biedt een organisatie een procesbenadering voor het beheersen van de informatiebeveiliging. ISO/IEC 27001 is daarvoor de norm. Dit norm-document beschrijft het cyclische proces (plan/do/check/act) voor het bepalen van beveiligingsdoelstellingen op basis van een risicobeoordeling, het treffen van maatregelen en het monitoren en beoordelen van de uitkomsten. Zie voor informatiebeveiliging in de zorg: https://www.werkenmetnen7510.nl..

Als sprake is van bijzondere persoonsgegevens, uniek identificerende gegevens (zoals BSN-nummers, vingerafdrukken, biometrische gegevens) of gegevens over kwetsbare groepen, personen of gebruikersnamen, wachtwoorden en andere inloggegevens, dan vraagt dit om extra aandacht in de risicoanalyse en eventuele maatregelen De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen (zie Avg art. 87)..

Bovenliggende principe(s)

Deze norm realiseert het principe Beveiligen van de verwerking van persoonsgegevens via de conformiteitsindicator passend niveau te beveiligen.

Grondslag


Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Passend_niveau-_gebaseerd_op_analyse_van_het_verwerkingsrisico&oldid=26151"