Beveiligen van de verwerking van persoonsgegevens

Uit NORA Online
ISOR:Beveiligen van de verwerking van persoonsgegevens
Ga naar: navigatie, zoeken
 
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)

Verwante principes

Privacy Uitvoering
De Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder de Avg).


Criterium

De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen om een verwerking van persoonsgegevens op een passend niveau te beveiligenAVG art. 32..

Doelstelling

Het doel van 'Beveiligen van de verwerking van persoonsgegevens' is om persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking.

Risico

Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd.

Indeling binnen ISOR

Dit privacyprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet AVG. , in het bijzonder van Avg Art. 32 en Uitvoeringswet Avg § 5.2.4

Onderliggende normen

ID Conformiteitsindicator Stelling Pagina
PRIV_U.04.01.01 technische en organisatorische maatregelen De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG art. 32 lid 3.. Technische en organisatorische maatregelen- beperkte toegang
PRIV_U.04.01.02 technische en organisatorische maatregelen Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
  1. Als persoonsgegevens op fysieke wijze bestaan, zijn deze ook fysiek beschermd.
  2. De wijze van verzameling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd is niet privacygevoelig.
Technische en organisatorische maatregelen- fysieke beveiliging
PRIV_U.04.01.03 technische en organisatorische maatregelen Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan. Technische en organisatorische maatregelen- organisatorische beveiliging
PRIV_U.04.01.04 technische en organisatorische maatregelen De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG art. 32. Dit is 'het informatiebeveiligingsartikel':
  1. de pseudonimisering en versleuteling van persoonsgegevens;
  2. het vermogen om op permanente basis de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit, beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. en veerkracht van de verwerkingssystemen en diensten te garanderen;
  3. het vermogen om bij een fysiek of technisch incident de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van en de toegang tot de persoonsgegevens tijdig te herstellen;
  4. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Technische en organisatorische maatregelen- passend beveiligingsniveau
PRIV_U.04.02.01 passend niveau te beveiligen De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair. Passend niveau- technische- organisatorische en fysieke beveiligingsmaatregelen
PRIV_U.04.02.02 passend niveau te beveiligen De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, hetzij per ongeluk hetzij onrechtmatigAVG art. 32 lid 2.. Passend niveau- gebaseerd op analyse van het verwerkingsrisico
PRIV_U.04.02.03 passend niveau te beveiligen Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn. Passend niveau- aantoonbaarheid
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen