Beveiligen van de verwerking van persoonsgegevens

Privacyprincipe
ID:	PRIV_U.04
Versie:	3.1
Status:	Actueel
Publicatiedatum:
Redactionele wijzigingsdatum:	2017/10/16
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Verwante principes

→ Privacy Uitvoering

→ de Privacy Baseline

→ Alle Normenkaders

→ Alle Privacyprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder de Avg).

Criterium

De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen om een verwerking van persoonsgegevens op een passend niveau te beveiligen^{AVG art. 32.}.

Doelstelling

Het doel van 'Beveiligen van de verwerking van persoonsgegevens' is om persoons- te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking.

Risico

Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van .

Indeling binnen ISOR

Dit privacyprincipe:

is gericht op Beveiligingsaspect Uitvoering
valt binnen de IFGS-indeling IFGS Gedrag
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet AVG. , in het bijzonder van Avg Art. 32 en Uitvoeringswet Avg § 5.2.4

Onderliggende normen

ID	Conformiteitsindicator	Stelling	Pagina
PRIV_U.04.01.01	technische en organisatorische maatregelen	De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehouden^{AVG art. 32 lid 3.}.	Technische en organisatorische maatregelen, beperkte toegang
PRIV_U.04.01.02	technische en organisatorische maatregelen	Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang: Als persoonsgegevens op fysieke wijze bestaan, zijn deze ook fysiek beschermd. De wijze van verzameling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd is niet privacygevoelig.	Technische en organisatorische maatregelen, fysieke beveiliging
PRIV_U.04.01.03	technische en organisatorische maatregelen	Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan.	Technische en organisatorische maatregelen, organisatorische beveiliging
PRIV_U.04.01.04	technische en organisatorische maatregelen	De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meer^{AVG art. 32. Dit is 'het informatiebeveiligingsartikel'}: de pseudonimisering en versleuteling van persoonsgegevens; het vermogen om op permanente basis de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit, beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. en veerkracht van de verwerkingssystemen en diensten te garanderen; het vermogen om bij een fysiek of technisch incident de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van en de toegang tot de persoonsgegevens tijdig te herstellen; een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.	Technische en organisatorische maatregelen, passend beveiligingsniveau
PRIV_U.04.02.01	passend niveau te beveiligen	De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.	Passend niveau, technische, organisatorische en fysieke beveiligingsmaatregelen
PRIV_U.04.02.02	passend niveau te beveiligen	De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, hetzij per ongeluk hetzij onrechtmatig^{AVG art. 32 lid 2.}.	Passend niveau, gebaseerd op analyse van het verwerkingsrisico
PRIV_U.04.02.03	passend niveau te beveiligen	Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn.	Passend niveau, aantoonbaarheid