Organisatorische beveiliging, planmatig, aantoonbaar

ID: PRIV_U.04.01.03 Norm Versie: 3.3 Status: Actueel Publicatiedatum: 16-10-2017 Redactionele wijzigingsdatum: 13-6-2020 Indeling Beveiligingsaspect: Uitvoering Invalshoek: Onbekend → Bovenliggende principe → Meer in normenkader èn aspect → Alle normen → Alle normenkaders → ISOR (Information Security Object Repository)

Stelling

Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan.

Toelichting

• De verantwoordelijke heeft adequate organisatorische maatregelen genomen om de gegevens te beveiligen en kan dat aantonen. Organisatorische maatregelen zijn maatregelen voor de inrichting van de organisatie en voor het verwerken van persoonsgegevens, zoals toekenning en deling van de verantwoordelijkheden, bevoegdheden, instructies, trainingen, calamiteitenplannen en geheimhoudingsplichten. Een goede manier om dit te borgen en aan te tonen is het opstellen en actueel houden van een beveiligingsplan.
• De AVG spreekt in plaats van een beveiligingsplan over Bindende bedrijfsvoorschriften: "de toepassing van de algemene beginselen inzake gegevensbescherming, met name doelbinding, minimale gegevensverwerking, beperkte opslagtermijnen, kwaliteit van gegevens, gegevensbescherming door standaardinstellingen en door ontwerp, rechtsgrond voor verwerking, verwerking van bijzondere categorieën persoonsgegevens, maatregelen om gegevensbeveiliging te waarborgen en de vereisten inzake verdere doorgiften aan organen die niet door bindende bedrijfsvoorschriften zijn gebonden.
• Ten behoeve van privacy hoeft geen separaat beveiligingsplan gemaakt te worden; als extra beveiligingsmaatregelen genomen moeten worden om persoonsgegevens te bescherming, kan dit worden opgenomen in het reguliere beveiligingsplan. Ook de Richtsnoeren van de AP over het beveiligen van persoonsgegevens kan geïmplementeerd worden in het reguliere beveiligingsplan.
• Het beveiligingsplan bevat bijvoorbeeld informatie over:

1. Welke technische, organisatorische en fysieke beveiligingsmaatregelen genomen zijn
2. Welk normenstelsel de organisatie volgt;
3. Op welke wijze de eventuele aanwijzingen (richtsnoeren, beleidsregels) van de AP over het beveiligen van persoonsgegevens ingeregeld zijn;
4. Hoe geheimhouding van de medewerkers geregeld is;
5. Welke acties de verantwoordelijke verwerker neemt bij datalekken;
6. Hoe de verwerker zich periodiek verantwoordt over de nakoming van afspraken;
7. Hoe controle op de naleving van de beveiligingsmaatregelen is ingeregeld;
8. Het geven van instructies en trainingen over de manier waarop persoonsgegevens beschermd worden;
9. Een calamiteitenplan (of: het calamiteitenplan zelf);
10. Het cyclisch inregelen van beveiliging als onderdeel van de dagelijkse praktijk van de organisatie, zodat de beveiligingsmaatregelen onderdeel zijn van de dagelijkse praktijk van de organisatie;
11. De opname van de technische en organisatorische maatregelen in de verwerkersovereenkomst, met voortdurende controle op de uitvoering ervan en direct ingrijpen als daar niet aan wordt voldaan;
12. De periodieke toetsing van maatregelen en aanpassing als ze niet meer voldoende bescherming bieden;
13. De toekenning en deling van de verantwoordelijkheden en bevoegdheden met de omgang van persoonsgegevens;
14. Het benoemen van een algehele verantwoordelijke binnen de organisatie voor het opstellen, implementeren en handhaven van het beveiligingsbeleid.

Bovenliggende principe(s)

Deze norm realiseert het principe Beveiligen van de verwerking van persoonsgegevens via de conformiteitsindicator technische en organisatorische maatregelen.

Grondslag