Beveiligen van de verwerking van persoonsgegevens
ISOR:Beveiligen van de verwerking van persoonsgegevens
Naar navigatie springen
Naar zoeken springen
Verwante principes |
Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder - in het geval van persoonsgegevens - ook de AVG).
Criterium
De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen voor verwerking van persoonsgegevens op een passend beveiligingsniveauAVG Art. 32.
Doelstelling
Het doel van 'beveiligen van de verwerking van persoonsgegevens' is persoonsgegevens te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking.
Risico
Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevens.
Indeling binnen ISOR
Dit privacyprincipe:
- is gericht op Beveiligingsaspect Uitvoering
- valt binnen de IFGS-indeling IFGS Onbekend
ℹ️(Klik om uitleg open/dicht te klappen)
De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.
Grondslag
De grondslag voor dit principe is AVG (Algemene Verordening Gegevensbescherming) Art. 32UAVG (Uitvoeringswet AVG) MvT § 5.2.4
Onderliggende normen
ID | Conformiteitsindicator | Stelling | |
---|---|---|---|
PRIV_U.04.01.01 | technische en organisatorische maatregelen | De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehouden<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32 lid 3</sup>. | ISOR:Technische en organisatorische maatregelen- beperkte toegang |
PRIV_U.04.01.02 | technische en organisatorische maatregelen | Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
| ISOR:Technische en organisatorische maatregelen- fysieke beveiliging |
PRIV_U.04.01.03 | technische en organisatorische maatregelen | Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan. | ISOR:Technische en organisatorische maatregelen- organisatorische beveiliging |
PRIV_U.04.01.04 | technische en organisatorische maatregelen | De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meer<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32; dit is 'het informatiebeveiligingsartikel'</sup>:<br>
| ISOR:Technische en organisatorische maatregelen- passend beveiligingsniveau |
PRIV_U.04.02.01 | De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair. | ISOR:Passend niveau- technische- organisatorische en fysieke beveiligingsmaatregelen | |
PRIV_U.04.02.02 | een passend beveiligingsniveau | De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32 lid 2</sup>. | ISOR:Passend niveau- gebaseerd op analyse van het verwerkingsrisico |