Passend niveau, technische, organisatorische en fysieke beveiligingsmaatregelen

Uit NORA Online
ISOR:Passend niveau- technische- organisatorische en fysieke beveiligingsmaatregelen
Ga naar: navigatie, zoeken
Logo ISOR normen (een hangslot met de tekst ISOR norm)
Bovenliggende principe
Meer in normenkader èn aspect
Alle normen
Alle normenkaders
ISOR

Stelling

De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.

Bij het bepalen van het passende niveau dient rekening gehouden te worden met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevensAVG overweging 83..

Een verwerkingsverantwoordelijke maakt alleen gebruik van diensten van verwerkers die afdoende garanties bieden voor het toepassen van de vereiste technische en organisatorische maatregelenAVG art. 28 lid 1..

Er hoeft niet voor de zwaarste technische beveiliging gekozen te worden, maar voor de meest adequate. De NEN-ISO 27001/27002 en de afgeleide overheidsnormen (zoals de Baseline Informatiebeveiliging Rijksdienst (BIR) en de Baseline Informatiebeveiliging Gemeenten (BIG) zijn momenteel de standaard voor 'adequate' beveiliging Zwenne, G.J. en Knol. PC., Tekst en Commentaar Telecommunicatie- en Privacyrecht, Kluwer, Deventer, 2013, p.726.. Of deze echt adequaat is, ligt ook aan de scope en de applicability bepaling. Van belang is te weten dat de BIR en de BIG de NEN-ISO normen niet vervangen, maar een praktische uitvoeringshandleiding vormen. Er moet altijd tegen de volledige NEN-ISO normen worden gecontroleerd.

Om aan de hand van de risicoanalyse het passend beschermingsniveau vast te stellen wordt voldaan aan de volgende kwaliteitseisen Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010, p.117 en CBP, Richtsnoeren voor het beveiligen van persoonsgegevens, Den Haag, 2013, p.13. :

  1. Beschikbaarheid (de ongestoorde voortgang van de gegevensverwerking): de persoons¬gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en de daarvan afgeleide informatie moeten zonder belemmeringen beschikbaar zijn overeenkomstig de daarvoor gemaakte afspraken en de wettelijke voorschriften.
  2. Integriteit (de juistheid van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd): de persoonsgegevens moeten in overeen-stemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn verdwenen.
  3. Exclusiviteit (de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd): uitsluitend bevoegde personen hebben toegang tot de persoonsgegevens.
  4. Controleerbaarheid (het achteraf kunnen verifiëren of aan bovenstaande kwaliteitseisen is voldaan): de mate waarin het mogelijk is om te achterhalen dat de verwerking van persoonsgegevens overeenkomstig de hiervoor genoemde kwaliteitsaspecten is uitgevoerd.

De verwerkingsverantwoordelijke kan de maatregelen aantonen door beleidsmaatregelen nemen en maatregelen toe te passen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (zie B.03, §2.1.3).

Als met geringe extra kosten meer beveiliging kan worden bewerkstelligd, dan moeten deze als 'passend' worden beschouwd terwijl kosten die disproportioneel zijn in verhouding met de extra beveiliging die daardoor zoud worden verkregen niet worden vereist.

Bovenliggende principe(s)

Deze norm realiseert het privacyprincipe Beveiligen van de verwerking van persoonsgegevens via de conformiteitsindicator passend niveau te beveiligen.

Grondslag