ISOR:Technische en organisatorische maatregelen- passend beveiligingsniveau: verschil tussen versies

Versie van 15 jan 2018 15:47

Norm
ID:	PRIV_U.04.01.04
Versie:	3.1
Status:	Actueel
Publicatiedatum:	16-10-2017
Redactionele wijzigingsdatum:	13-6-2020
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:

→ Bovenliggende principe

→ Meer in normenkader èn aspect

→ Alle normen

→ Alle normenkaders

→ ISOR (Information Security Object Repository)

Stelling

De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meer^[1]:

de pseudonimisering en versleuteling van persoonsgegevens;
het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Voetnoot

↑ Avg art. 32. Dit is 'het informatiebeveiligingsartikel'

Privacy Enhancing Technologies (PET) is een gangbare verzamelnaam voor een aantal technieken voor privacybescherming¬s die kunnen worden toegepast. Een centraal principe van PET is het verminderen van de herleidbaarheid van persoonsgegevens naar de betrokkene, met anonimisering van gegevens als zwaarste vorm^[1]: na anonimisering zijn de gegevens niet meer te herleiden tot de oorspronkelijke gegevens. Een vergelijkbare techniek is pseudonimisering. De Avg definieert pseudonimisering als^[2]: "het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, op voorwaarde dat deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld".

Bij het toepassen van pseudonimisering moeten de aanvullende gegevens, die gebruikt worden om de persoonsgegevens aan een specifieke betrokkene te koppelen, apart worden bewaard.

De uitdrukkelijke invoering van pseudonimisering genoemd in de Avg is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten^[3].

Bijzondere aspecten in dit verband zijn:

Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist^[4].
De verwerkingsverantwoordelijke dient, met name met betrekking tot online-diensten en online-identificatoren, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om inzage verzoekt^[5].

Voetnoot

↑ Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010. CBP Richtsnoeren voor het beveiligen van persoonsgegevens 2013, p.13.
↑ Avg art. 4 lid 5.
↑ Avg art. 4 lid 5.
↑ Avg overweging 39.
↑ Avg overweging 64.

Bovenliggende principe(s)

Deze norm realiseert het principe Beveiligen van de verwerking van persoonsgegevens via de conformiteitsindicator technische en organisatorische maatregelen.

Grondslag

[6] Avg art. 32. Dit is 'het informatiebeveiligingsartikel'

[1] Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010. CBP Richtsnoeren voor het beveiligen van persoonsgegevens 2013, p.13.

[2] Avg art. 4 lid 5.

[3] Avg art. 4 lid 5.

[4] Avg overweging 39.

[5] Avg overweging 64.

[1]

[1]

[2]

[3]

[4]

[5]

@@ Regel 11: / Regel 11: @@
 |Practice=CIP
 |Redactionele wijzigingsdatum=2017/10/16
-|Toelichting=Privacy Enhancing Technologies (PET) is een gangbare verzamelnaam voor een aantal technieken voor privacybescherming¬s die kunnen worden toegepast. Een centraal principe van PET is het verminderen van de herleidbaarheid van persoonsgegevens naar de betrokkene, met anonimisering van gegevens als zwaarste vorm : na anonimisering zijn de gegevens niet meer te herleiden tot de oorspronkelijke gegevens.
+|Toelichting=Privacy Enhancing Technologies (PET) is een gangbare verzamelnaam voor een aantal technieken voor privacybescherming¬s die kunnen worden toegepast. Een centraal principe van PET is het verminderen van de herleidbaarheid van persoonsgegevens naar de betrokkene, met anonimisering van gegevens als zwaarste vorm<Ref>Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010. CBP Richtsnoeren voor het beveiligen van persoonsgegevens 2013, p.13.</Ref>: na anonimisering zijn de gegevens niet meer te herleiden tot de oorspronkelijke gegevens.
-Een vergelijkbare techniek is pseudonimisering. De Avg definieert pseudonimisering als : "het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, op voorwaarde dat deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld".
+Een vergelijkbare techniek is pseudonimisering. De Avg definieert pseudonimisering als<Ref>Avg art. 4 lid 5.</Ref>: "het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, op voorwaarde dat deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld".
 Bij het toepassen van pseudonimisering moeten de aanvullende gegevens, die gebruikt worden om de persoonsgegevens aan een specifieke betrokkene te koppelen, apart worden bewaard.
-/01.04 De uitdrukkelijke invoering van pseudonimisering genoemd in de Avg is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten .
+De uitdrukkelijke invoering van pseudonimisering genoemd in de Avg is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten<Ref>Avg art. 4 lid 5.</Ref>.
 Bijzondere aspecten in dit verband zijn:
-* Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist .
+* Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist<Ref>Avg overweging 39.</Ref>.
-* De verwerkingsverantwoordelijke dient, met name met betrekking tot online-diensten en online-identificatoren, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om inzage verzoekt .
+* De verwerkingsverantwoordelijke dient, met name met betrekking tot online-diensten en online-identificatoren, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om inzage verzoekt<Ref>Avg overweging 64.</Ref>.
+====Voetnoot====
+<References/>
 |Beveiligingsaspect=Uitvoering
 |Stelling=De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meer<Ref>Avg art. 32. Dit is 'het informatiebeveiligingsartikel'</Ref>:

ISOR:Technische en organisatorische maatregelen- passend beveiligingsniveau: verschil tussen versies

Versie van 15 jan 2018 15:47

Stelling

Voetnoot

Voetnoot

Bovenliggende principe(s)

Grondslag

Navigatiemenu

Zoeken