Passend beveiligingsniveau

ID: PRIV_U.04.01.04 Norm Versie: 3.3 Status: Actueel Publicatiedatum: 16-10-2017 Redactionele wijzigingsdatum: 13-6-2020 Indeling Beveiligingsaspect: Uitvoering Invalshoek: Onbekend → Bovenliggende principe → Meer in normenkader èn aspect → Alle normen → Alle normenkaders → ISOR (Information Security Object Repository)

Stelling

De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meer^{AVG Art. 32; dit is 'het informatiebeveiligingsartikel'}:

1. De pseudonimisering en versleuteling van persoonsgegevens;
2. Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
3. Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
4. Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Toelichting

• Privacy Enhancing Technologies (PET) is een gangbare verzamelnaam voor een aantal technieken voor privacybescherming die kunnen worden toegepast. Een centraal principe van PET is het verminderen van de herleidbaarheid van persoonsgegevens naar de betrokkene, met anonimisering van gegevens als zwaarste vorm: na anonimisering zijn de gegevens niet meer te herleiden tot de oorspronkelijke gegevens en daarmee ook niet langer een onderwerp voor de AVG ^{Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010. CBP: Richtsnoeren voor het beveiligen van persoonsgegevens, 2013, p.13.}.
• Een verwante techniek is pseudonimisering. De AVG definieert pseudonimisering als: "het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, op voorwaarde dat deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld^{AVG Art. 4 lid 5}.
• Bij het toepassen van pseudonimisering moeten de aanvullende gegevens, die gebruikt worden om de persoonsgegevens aan een specifieke betrokkene te koppelen, apart worden bewaard.
• De uitdrukkelijke invoering van pseudonimisering genoemd in de AVG is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten^{AVG Art. 4 lid 5}. Na pseudonimisering blijft de AVG van toepassing.
• Bijzondere aspecten in dit verband zijn:
  • Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist^{AVG overweging 39.}.
  • De verwerkingsverantwoordelijke dient, met name met betrekking tot online-diensten en online-identificatoren, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om inzage verzoekt^{AVG overweging 64.}.

Bovenliggende principe(s)

Deze norm realiseert het principe Beveiligen van de verwerking van persoonsgegevens via de conformiteitsindicator technische en organisatorische maatregelen.

Grondslag