ISOR:Passend niveau- technische- organisatorische en fysieke beveiligingsmaatregelen: verschil tussen versies

Uit NORA Online
ISOR:Passend niveau- technische- organisatorische en fysieke beveiligingsmaatregelen
Naar navigatie springen Naar zoeken springen
k (Tekst vervangen - '====Voetnoot==== <References/>' door '')
k (versie, datum, invalshoek, tekstredactie, toelichting, titel, bullets)
 
Regel 1: Regel 1:
{{#Element:
{{#Element:
|Elementtype=Norm
|Elementtype=Norm
|ID=PRIV_U.04.02.01
|ID=PRIV_U.04.02.01
|Titel=Passend niveau, technische, organisatorische en fysieke beveiligingsmaatregelen
|Titel=Passend beschermingsniveau, proportioneel en subsidiair
|Kent element met zelfde titel=Nee
|Kent element met zelfde titel=Nee
|Is subnorm=Nee
|Is subnorm=Nee
|Versieaanduiding=3.1
|Versieaanduiding=3.3
|Gebruik in Nederlandse publieke sector=In gebruik
|Gebruik in Nederlandse publieke sector=In gebruik
|Status actualiteit=Actueel
|Status actualiteit=Actueel
|Practice=CIP
|Practice=CIP
|Redactionele wijzigingsdatum=2017/10/16
|Redactionele wijzigingsdatum=2020/06/13
|Toelichting=Bij het bepalen van het passende niveau dient rekening gehouden te worden met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens{{Noot|AVG| overweging 83.}}.
|Publicatiedatum=2017/10/16
|Beveiligingsaspect=Uitvoering
|Invalshoek=Onbekend


Een verwerkingsverantwoordelijke maakt alleen gebruik van diensten van verwerkers die afdoende garanties bieden voor het toepassen van de vereiste technische en organisatorische maatregelen{{Noot|AVG| art. 28 lid 1.}}.  
|Stelling=De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.


Er hoeft niet voor de zwaarste technische beveiliging gekozen te worden, maar voor de meest adequate. De NEN-ISO 27001/27002 en de afgeleide overheidsnormen (zoals de Baseline Informatiebeveiliging Rijksdienst (BIR) en de Baseline Informatiebeveiliging Gemeenten (BIG) zijn momenteel de standaard voor 'adequate' beveiliging{{Noot| |Zwenne, G.J. en Knol. PC., Tekst en Commentaar Telecommunicatie- en Privacyrecht, Kluwer, Deventer, 2013, p.726.}}. Of deze echt adequaat is, ligt ook aan de scope en de applicability bepaling. Van belang is te weten dat de BIR en de BIG de NEN-ISO normen niet vervangen, maar een praktische uitvoeringshandleiding vormen. Er moet altijd tegen de volledige NEN-ISO normen worden gecontroleerd.
|Toelichting=<br>''Toelichting''<br>
*Bij het bepalen van het passende niveau dient rekening gehouden te worden met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens{{Noot|AVG|overweging 83}}.
*Een verwerkingsverantwoordelijke maakt alleen gebruik van diensten van verwerkers die afdoende garanties bieden voor het toepassen van de vereiste technische en organisatorische maatregelen{{Noot|AVG|Art. 28 lid 1}}.
*Er hoeft niet voor de zwaarste technische beveiliging gekozen te worden, maar voor ''de meest adequate''. De NEN-ISO 27001/27002 en daaraan gerelateerde overheidsnormen - zoals de Baseline Informatieveiligheid Overheid (BIO) - zijn momenteel de standaard baselines om te komen tot een 'adequate' beveiliging{{Noot| |Zwenne, G.J. en Knol. PC., ''Tekst en Commentaar'' Telecommunicatie- en Privacyrecht, Kluwer, Deventer, 2013, p.726.}}.  
*Voor de BIO geldt daarbij dat een 'verklaring van toepasselijkheid' moet worden opgesteld. Een VvT of SOA (statement of applicability) is een document waarmee een organisatie vastlegt welke Beheersmaatregelen zijn geïmplementeerd op het gebied van informatiebeveiliging. De ISO27001 zegt er in hoofdstuk 6.1.3, lid d het volgende over: "(…)een verklaring van toepasselijkheid op te stellen die de benodigde beheersmaatregelen bevat, een rechtvaardiging voor het opnemen ervan, de informatie of ze zijn geïmplementeerd of niet, en de rechtvaardiging om beheersmaatregelen van bijlage A uit te sluiten". Zie: https://www.informatiebeveiligingdoejezo.nl/verklaring-van-toepasselijkheid-nuttig-noodzakelijk-kwaad/.
*Om aan de hand van de risicoanalyse het passend beschermingsniveau vast te stellen wordt voldaan aan de volgende kwaliteitseisen{{Noot| |Borking, J., ''Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies'', Kluwer, Den Haag, 2010, pag. 117 en CBP, ''Richtsnoeren voor het beveiligen van persoonsgegevens'', Den Haag, 2013, pag. 13}}:
#Beschikbaarheid (de ongestoorde voortgang van de gegevensverwerking): de persoonsgegevens en de daarvan afgeleide informatie moeten zonder belemmeringen beschikbaar zijn overeenkomstig de daarvoor gemaakte afspraken en de wettelijke voorschriften.
#Integriteit (de juistheid van de gegevens): de persoonsgegevens moeten in overeenstemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn verdwenen.
#Vertrouwelijkheid (ook wel: Exclusiviteit van de gegevens): uitsluitend bevoegde personen hebben toegang tot de persoonsgegevens.
#Controleerbaarheid (het achteraf kunnen verifiëren of aan bovenstaande kwaliteitseisen is voldaan): de mate waarin het mogelijk is om te achterhalen dat de verwerking van persoonsgegevens overeenkomstig de hiervoor genoemde kwaliteitsaspecten is uitgevoerd.
*De verwerkingsverantwoordelijke kan de maatregelen aantonen door beleidsmaatregelen te nemen en maatregelen toe te passen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (zie [[ISOR:Risicomanagement- Privacy by Design en de GEB|PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA]]
*Als met geringe extra kosten meer beveiliging kan worden bewerkstelligd, dan moeten deze als 'passend' worden beschouwd terwijl kosten, die disproportioneel zijn in verhouding tot de extra beveiliging die daardoor zou worden verkregen, niet worden vereist.


Om aan de hand van de risicoanalyse het passend beschermingsniveau vast te stellen wordt voldaan aan de volgende kwaliteitseisen{{Noot| |Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010, p.117 en CBP, Richtsnoeren voor het beveiligen van persoonsgegevens, Den Haag, 2013, p.13.}} :
# Beschikbaarheid (de ongestoorde voortgang van de gegevensverwerking): de persoons¬gegevens en de daarvan afgeleide informatie moeten zonder belemmeringen beschikbaar zijn overeenkomstig de daarvoor gemaakte afspraken en de wettelijke voorschriften.
# Integriteit (de juistheid van de gegevens): de persoonsgegevens moeten in overeen-stemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn verdwenen.
# Exclusiviteit (de vertrouwelijkheid van de gegevens): uitsluitend bevoegde personen hebben toegang tot de persoonsgegevens.
# Controleerbaarheid (het achteraf kunnen verifiëren of aan bovenstaande kwaliteitseisen is voldaan): de mate waarin het mogelijk is om te achterhalen dat de verwerking van persoonsgegevens overeenkomstig de hiervoor genoemde kwaliteitsaspecten is uitgevoerd.
De verwerkingsverantwoordelijke kan de maatregelen aantonen door beleidsmaatregelen nemen en maatregelen toe te passen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (zie B.03, §2.1.3).
Als met geringe extra kosten meer beveiliging kan worden bewerkstelligd, dan moeten deze als 'passend' worden beschouwd terwijl kosten die disproportioneel zijn in verhouding met de extra beveiliging die daardoor zoud worden verkregen niet worden vereist.
|Beveiligingsaspect=Uitvoering
|Stelling=De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.
|Conformiteitsindicator=passend niveau te beveiligen
|Heeft bron=de Privacy Baseline
|Heeft bron=de Privacy Baseline
|Heeft ouder=ISOR:Beveiligen van de verwerking van persoonsgegevens
|Heeft ouder=ISOR:Beveiligen van de verwerking van persoonsgegevens
|Realiseert=ISOR:Beveiligen van de verwerking van persoonsgegevens
|Realiseert=ISOR:Beveiligen van de verwerking van persoonsgegevens
}}
}}

Huidige versie van 14 jun 2020 om 00:31

Logo ISOR normen (een hangslot met de tekst ISOR norm)
ID: PRIV_U.04.02.01
Norm
Versie: 3.3
Status: Actueel
Publicatiedatum: 16-10-2017
Redactionele wijzigingsdatum: 13-6-2020
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de U van Uitvoering
Uitvoering
Invalshoek:
alt=Onbekend link = IFGS Structuur

Onbekend

Bovenliggende principe
Meer in normenkader èn aspect
Alle normen
Alle normenkaders
ISOR (Information Security Object Repository)

Stelling

De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.


Toelichting

  • Bij het bepalen van het passende niveau dient rekening gehouden te worden met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevensAVG overweging 83.
  • Een verwerkingsverantwoordelijke maakt alleen gebruik van diensten van verwerkers die afdoende garanties bieden voor het toepassen van de vereiste technische en organisatorische maatregelenAVG Art. 28 lid 1.
  • Er hoeft niet voor de zwaarste technische beveiliging gekozen te worden, maar voor de meest adequate. De NEN-ISO 27001/27002 en daaraan gerelateerde overheidsnormen - zoals de Baseline Informatieveiligheid Overheid (BIO) - zijn momenteel de standaard baselines om te komen tot een 'adequate' beveiliging Zwenne, G.J. en Knol. PC., Tekst en Commentaar Telecommunicatie- en Privacyrecht, Kluwer, Deventer, 2013, p.726..
  • Voor de BIO geldt daarbij dat een 'verklaring van toepasselijkheid' moet worden opgesteld. Een VvT of SOA (statement of applicability) is een document waarmee een organisatie vastlegt welke Beheersmaatregelen zijn geïmplementeerd op het gebied van informatiebeveiliging. De ISO27001 zegt er in hoofdstuk 6.1.3, lid d het volgende over: "(…)een verklaring van toepasselijkheid op te stellen die de benodigde beheersmaatregelen bevat, een rechtvaardiging voor het opnemen ervan, de informatie of ze zijn geïmplementeerd of niet, en de rechtvaardiging om beheersmaatregelen van bijlage A uit te sluiten". Zie: https://www.informatiebeveiligingdoejezo.nl/verklaring-van-toepasselijkheid-nuttig-noodzakelijk-kwaad/.
  • Om aan de hand van de risicoanalyse het passend beschermingsniveau vast te stellen wordt voldaan aan de volgende kwaliteitseisen Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010, pag. 117 en CBP, Richtsnoeren voor het beveiligen van persoonsgegevens, Den Haag, 2013, pag. 13:
  1. Beschikbaarheid (de ongestoorde voortgang van de gegevensverwerking): de persoonsgegevens en de daarvan afgeleide informatie moeten zonder belemmeringen beschikbaar zijn overeenkomstig de daarvoor gemaakte afspraken en de wettelijke voorschriften.
  2. Integriteit (de juistheid van de gegevens): de persoonsgegevens moeten in overeenstemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn verdwenen.
  3. Vertrouwelijkheid (ook wel: Exclusiviteit van de gegevens): uitsluitend bevoegde personen hebben toegang tot de persoonsgegevens.
  4. Controleerbaarheid (het achteraf kunnen verifiëren of aan bovenstaande kwaliteitseisen is voldaan): de mate waarin het mogelijk is om te achterhalen dat de verwerking van persoonsgegevens overeenkomstig de hiervoor genoemde kwaliteitsaspecten is uitgevoerd.
  • De verwerkingsverantwoordelijke kan de maatregelen aantonen door beleidsmaatregelen te nemen en maatregelen toe te passen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA
  • Als met geringe extra kosten meer beveiliging kan worden bewerkstelligd, dan moeten deze als 'passend' worden beschouwd terwijl kosten, die disproportioneel zijn in verhouding tot de extra beveiliging die daardoor zou worden verkregen, niet worden vereist.

Bovenliggende principe(s)

Deze norm realiseert het principe Beveiligen van de verwerking van persoonsgegevens via de conformiteitsindicator {{{Conformiteitsindicator}}}.

Grondslag


Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Passend_niveau-_technische-_organisatorische_en_fysieke_beveiligingsmaatregelen&oldid=42972"