Risicoanalyse
ISOR:Passend niveau- gebaseerd op analyse van het verwerkingsrisico
Naar navigatie springen
Naar zoeken springen
|
Stelling
De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG Art. 32 lid 2.
Toelichting
- In de risicoanalyse wordt het gewenste niveau van beveiliging vastgesteld. Door een risicoanalyse uit te voeren wordt inzichtelijk welke maatregelen waar nodig zijn om welke risico's te beheersen. Daarbij moet proportionaliteit zijn tussen de beveiligingsmaatregelen en de aard van te beschermen gegevens. Naarmate de gegevens bijv. een vertrouwelijker karakter hebben of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Sommige gegevens zijn naar hun aard vertrouwelijker (zoals bijzondere categorieën persoonsgegevens zoals ras, religie, seksuele voorkeur, biometrische gegevens en inloggegevens), andere gegevens worden vertrouwelijk als ze in een bepaalde context worden geplaatst (bijv. gegevens over uithuisplaatsing van een minderjarige, of over de financiële situatie van een persoon). Een bijkomende vuistregel: hoe groter de verzameling van persoonsgegevens van een specifieke betrokkene is, des te risicovoller en daarmee vertrouwelijker deze gegevens kunnen worden.
- Het niveau van de technische, organisatorische en fysieke maatregelen wordt periodiek geëvalueerd en zo nodig geactualiseerd zodat het niveau passend blijft. NB: Een 'Information Security Management System (ISMS)' biedt een organisatie een procesbenadering voor het beheersen van de informatiebeveiliging. ISO/IEC 27001 is daarvoor de norm. Dit norm-document beschrijft het cyclische proces (plan/do/check/act) voor het bepalen van beveiligingsdoelstellingen op basis van een risicobeoordeling, het treffen van maatregelen en het monitoren en beoordelen van de uitkomsten. Zie voor informatiebeveiliging in de zorg: https://www.werkenmetnen7510.nl.
- Als sprake is van bijzondere categorieën persoonsgegevens, uniek identificerende gegevens (zoals BSN's, vingerafdrukken, biometrische gegevens) of gegevens over kwetsbare groepen, personen of gebruikersnamen, wachtwoorden en andere inloggegevens, dan vraagt dit om extra aandacht in de risicoanalyse en eventuele maatregelen. NB: De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen (zie AVG Art. 87).
Bovenliggende principe(s)
Deze norm realiseert het principe Beveiligen van de verwerking van persoonsgegevens via de conformiteitsindicator een passend beveiligingsniveau.
Grondslag