Passend niveau, technische, organisatorische en fysieke beveiligingsmaatregelen

ID: PRIV_U.04.02.01 Norm Versie: 3.1 Status: Actueel Publicatiedatum: 16-10-2017 Redactionele wijzigingsdatum: 13-6-2020 Indeling Beveiligingsaspect: Uitvoering Invalshoek: → Bovenliggende principe → Meer in normenkader èn aspect → Alle normen → Alle normenkaders → ISOR (Information Security Object Repository)

Stelling

De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.

Bij het bepalen van het passende niveau dient rekening gehouden te worden met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens^{AVG overweging 83.}.

Een verwerkingsverantwoordelijke maakt alleen gebruik van diensten van verwerkers die afdoende garanties bieden voor het toepassen van de vereiste technische en organisatorische maatregelen^{AVG art. 28 lid 1.}.

Er hoeft niet voor de zwaarste technische beveiliging gekozen te worden, maar voor de meest adequate. De NEN-ISO 27001/27002 en de afgeleide overheidsnormen (zoals de Baseline Informatiebeveiliging Rijksdienst (BIR) en de Baseline Informatiebeveiliging Gemeenten (BIG) zijn momenteel de standaard voor 'adequate' beveiliging ^{Zwenne, G.J. en Knol. PC., Tekst en Commentaar Telecommunicatie- en Privacyrecht, Kluwer, Deventer, 2013, p.726.}. Of deze echt adequaat is, ligt ook aan de scope en de applicability bepaling. Van belang is te weten dat de BIR en de BIG de NEN-ISO normen niet vervangen, maar een praktische uitvoeringshandleiding vormen. Er moet altijd tegen de volledige NEN-ISO normen worden gecontroleerd.

Om aan de hand van de risicoanalyse het passend beschermingsniveau vast te stellen wordt voldaan aan de volgende kwaliteitseisen ^{Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010, p.117 en CBP, Richtsnoeren voor het beveiligen van persoonsgegevens, Den Haag, 2013, p.13.} :

1. Beschikbaarheid (de ongestoorde voortgang van de gegevensverwerking): de persoons¬gegevens en de daarvan afgeleide informatie moeten zonder belemmeringen beschikbaar zijn overeenkomstig de daarvoor gemaakte afspraken en de wettelijke voorschriften.
2. Integriteit (de juistheid van de gegevens): de persoonsgegevens moeten in overeen-stemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn verdwenen.
3. Exclusiviteit (de vertrouwelijkheid van de gegevens): uitsluitend bevoegde personen hebben toegang tot de persoonsgegevens.
4. Controleerbaarheid (het achteraf kunnen verifiëren of aan bovenstaande kwaliteitseisen is voldaan): de mate waarin het mogelijk is om te achterhalen dat de verwerking van persoonsgegevens overeenkomstig de hiervoor genoemde kwaliteitsaspecten is uitgevoerd.

De verwerkingsverantwoordelijke kan de maatregelen aantonen door beleidsmaatregelen nemen en maatregelen toe te passen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (zie B.03, §2.1.3).

Als met geringe extra kosten meer beveiliging kan worden bewerkstelligd, dan moeten deze als 'passend' worden beschouwd terwijl kosten die disproportioneel zijn in verhouding met de extra beveiliging die daardoor zoud worden verkregen niet worden vereist.

Bovenliggende principe(s)

Deze norm realiseert het principe Beveiligen van de verwerking van persoonsgegevens via de conformiteitsindicator passend niveau te beveiligen.

Grondslag