Passend beschermingsniveau, proportioneel en subsidiair
ISOR:Passend niveau- technische- organisatorische en fysieke beveiligingsmaatregelen
Naar navigatie springen
Naar zoeken springen
|
Stelling
De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.
Toelichting
- Bij het bepalen van het passende niveau dient rekening gehouden te worden met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevensAVG overweging 83.
- Een verwerkingsverantwoordelijke maakt alleen gebruik van diensten van verwerkers die afdoende garanties bieden voor het toepassen van de vereiste technische en organisatorische maatregelenAVG Art. 28 lid 1.
- Er hoeft niet voor de zwaarste technische beveiliging gekozen te worden, maar voor de meest adequate. De NEN-ISO 27001/27002 en daaraan gerelateerde overheidsnormen - zoals de Baseline Informatieveiligheid Overheid (BIO) - zijn momenteel de standaard baselines om te komen tot een 'adequate' beveiliging Zwenne, G.J. en Knol. PC., Tekst en Commentaar Telecommunicatie- en Privacyrecht, Kluwer, Deventer, 2013, p.726..
- Voor de BIO geldt daarbij dat een 'verklaring van toepasselijkheid' moet worden opgesteld. Een VvT of SOA (statement of applicability) is een document waarmee een organisatie vastlegt welke Beheersmaatregelen zijn geïmplementeerd op het gebied van informatiebeveiliging. De ISO27001 zegt er in hoofdstuk 6.1.3, lid d het volgende over: "(…)een verklaring van toepasselijkheid op te stellen die de benodigde beheersmaatregelen bevat, een rechtvaardiging voor het opnemen ervan, de informatie of ze zijn geïmplementeerd of niet, en de rechtvaardiging om beheersmaatregelen van bijlage A uit te sluiten". Zie: https://www.informatiebeveiligingdoejezo.nl/verklaring-van-toepasselijkheid-nuttig-noodzakelijk-kwaad/.
- Om aan de hand van de risicoanalyse het passend beschermingsniveau vast te stellen wordt voldaan aan de volgende kwaliteitseisen Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010, pag. 117 en CBP, Richtsnoeren voor het beveiligen van persoonsgegevens, Den Haag, 2013, pag. 13:
- Beschikbaarheid (de ongestoorde voortgang van de gegevensverwerking): de persoonsgegevens en de daarvan afgeleide informatie moeten zonder belemmeringen beschikbaar zijn overeenkomstig de daarvoor gemaakte afspraken en de wettelijke voorschriften.
- Integriteit (de juistheid van de gegevens): de persoonsgegevens moeten in overeenstemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn verdwenen.
- Vertrouwelijkheid (ook wel: Exclusiviteit van de gegevens): uitsluitend bevoegde personen hebben toegang tot de persoonsgegevens.
- Controleerbaarheid (het achteraf kunnen verifiëren of aan bovenstaande kwaliteitseisen is voldaan): de mate waarin het mogelijk is om te achterhalen dat de verwerking van persoonsgegevens overeenkomstig de hiervoor genoemde kwaliteitsaspecten is uitgevoerd.
- De verwerkingsverantwoordelijke kan de maatregelen aantonen door beleidsmaatregelen te nemen en maatregelen toe te passen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA
- Als met geringe extra kosten meer beveiliging kan worden bewerkstelligd, dan moeten deze als 'passend' worden beschouwd terwijl kosten, die disproportioneel zijn in verhouding tot de extra beveiliging die daardoor zou worden verkregen, niet worden vereist.
Bovenliggende principe(s)
Deze norm realiseert het principe Beveiligen van de verwerking van persoonsgegevens via de conformiteitsindicator {{{Conformiteitsindicator}}}.
Grondslag