Beste lezer, de NORA-wiki wordt vernieuwd.

Op maandag 31 maart gaan we live!

Vanaf vrijdag 28 maart tot en met maandag 31 maart kun je als gebruiker geen wijzigingen aanbrengen in de wiki en kun je hinder ondervinden van de migratie naar de nieuwe wiki.

Vanaf dinsdag 1 april zal de wiki weer volledig beschikbaar zijn.

Alvast dank voor je begrip.

Lees voor meer informatie het volgende nieuwsbericht: Nieuwe NORA-wiki live op 31 maart – met meer dan een nieuw jasje

Beveiligen van de verwerking van persoonsgegevens

Uit NORA Online
ISOR:Beveiligen van de verwerking van persoonsgegevens
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)
ID: PRIV_U.04
Privacyprincipe
Versie: 3.3
Status: Actueel
Publicatiedatum: 16-10-2017
Redactionele wijzigingsdatum: 26-7-2021
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de U van Uitvoering
Uitvoering
Invalshoek:
alt=Onbekend link = IFGS Structuur

Onbekend

Verwante principes

Privacy Uitvoering: het uitvoeringsdomein
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder - in het geval van persoonsgegevens - ook de AVG).


Criterium

De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen voor verwerking van persoonsgegevens op een passend beveiligingsniveauAVG Art. 32.

Doelstelling

Het doel van 'beveiligen van de verwerking van persoonsgegevens' is persoonsgegevens te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking.

Risico

Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevens.

Indeling binnen ISOR

Dit privacyprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG (Algemene Verordening Gegevensbescherming) Art. 32UAVG (Uitvoeringswet AVG) MvT § 5.2.4

Onderliggende normen

IDConformiteitsindicatorStelling 
PRIV_U.04.01.01technische en organisatorische maatregelenDe verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehouden<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32 lid 3</sup>.ISOR:Technische en organisatorische maatregelen- beperkte toegang
PRIV_U.04.01.02technische en organisatorische maatregelenPersoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
  1. Als persoonsgegevens op fysieke wijze bestaan, zijn deze ook fysiek beschermd.
  2. De wijze van verzameling van gegevens is niet privacygevoelig.
ISOR:Technische en organisatorische maatregelen- fysieke beveiliging
PRIV_U.04.01.03technische en organisatorische maatregelenPersoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan.ISOR:Technische en organisatorische maatregelen- organisatorische beveiliging
PRIV_U.04.01.04technische en organisatorische maatregelenDe maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meer<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32; dit is 'het informatiebeveiligingsartikel'</sup>:<br>
  • De pseudonimisering en versleuteling van persoonsgegevens;
  • Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
    		• ISOR:Technische en organisatorische maatregelen- passend beveiligingsniveau
    PRIV_U.04.02.01 De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.ISOR:Passend niveau- technische- organisatorische en fysieke beveiligingsmaatregelen
    PRIV_U.04.02.02een passend beveiligingsniveauDe beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32 lid 2</sup>.ISOR:Passend niveau- gebaseerd op analyse van het verwerkingsrisico

    Het geheel van bewerkingen die worden uitgevoerd op persoonsgegevens

    Ga naar de pagina met de definitie van 'verwerking'

    Datgene wat je wil bereiken in de context van een missie.

    Ga naar de pagina met de definitie van 'doel'

    De wet- en regelgeving en/of het beleid die van toepassing zijn.

    Ga naar de pagina met de definitie van 'grondslag'

    Een fundamentele en algemeen toepasbare regel, gebaseerd op een overtuiging en die geldt als richtlijn.

    Ga naar de pagina met de definitie van 'principe'

    De mogelijkheid van een entiteit om een object te benaderen en te gebruiken.

    Ga naar de pagina met de definitie van 'toegang'

    Het proces waarin alle operationele activiteiten van de dienstverlener worden uitgevoerd.

    Ga naar de pagina met de definitie van 'uitvoeren'

    Datgene wat je aanwendt om een doel te bereiken.

    Ga naar de pagina met de definitie van 'middel'

    Een verzameling bestaande uit mensen en/of organisaties die samenwerken om specifieke doelen te bereiken.

    Ga naar de pagina met de definitie van 'organisatie'

    Een (dreigende) afwijking van het overeengekomen dienstniveau.

    Ga naar de pagina met de definitie van 'incident'

    Het proces waarmee incidenten worden behandeld.

    Ga naar de pagina met de definitie van 'herstellen'

    De specificatie van een proces of een (daaruit samengestelde) workflow en de uitvoerder van elke handeling daarin.

    Ga naar de pagina met de definitie van 'procedure'
    Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Beveiligen_van_de_verwerking_van_persoonsgegevens&oldid=53141"