Beveiligen van de verwerking van persoonsgegevens

Uit NORA Online
ISOR:Beveiligen van de verwerking van persoonsgegevens
Naar navigatie springen Naar zoeken springen
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)

Verwante principes

Privacy Uitvoering: het uitvoeringsdomein
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder - in het geval van persoonsgegevens - ook de AVG).


Criterium

De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen voor verwerking van persoonsgegevens op een passend beveiligingsniveauAVG Art. 32.

Doelstelling

Het doel van 'beveiligen van de verwerking van persoonsgegevens' is persoonsgegevens te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking.

Risico

Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevens.

Indeling binnen ISOR

Dit privacyprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG (Algemene Verordening Gegevensbescherming) Art. 32UAVG (Uitvoeringswet AVG) MvT § 5.2.4

Onderliggende normen

IDConformiteitsindicatorStelling 
PRIV_U.04.01.01technische en organisatorische maatregelenDe verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehouden<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32 lid 3</sup>.ISOR:Technische en organisatorische maatregelen- beperkte toegang
PRIV_U.04.01.02technische en organisatorische maatregelenPersoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
  1. Als persoonsgegevens op fysieke wijze bestaan, zijn deze ook fysiek beschermd.
  2. De wijze van verzameling van gegevens is niet privacygevoelig.
ISOR:Technische en organisatorische maatregelen- fysieke beveiliging
PRIV_U.04.01.03technische en organisatorische maatregelenPersoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan.ISOR:Technische en organisatorische maatregelen- organisatorische beveiliging
PRIV_U.04.01.04technische en organisatorische maatregelenDe maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meer<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32; dit is 'het informatiebeveiligingsartikel'</sup>:<br>
  • De pseudonimisering en versleuteling van persoonsgegevens;
  • Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
  • ISOR:Technische en organisatorische maatregelen- passend beveiligingsniveau
    PRIV_U.04.02.01 De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.ISOR:Passend niveau- technische- organisatorische en fysieke beveiligingsmaatregelen
    PRIV_U.04.02.02een passend beveiligingsniveauDe beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32 lid 2</sup>.ISOR:Passend niveau- gebaseerd op analyse van het verwerkingsrisico