Technische en organisatorische maatregelen, organisatorische beveiliging

Uit NORA Online
ISOR:Technische en organisatorische maatregelen- organisatorische beveiliging
Ga naar: navigatie, zoeken
Logo ISOR normen (een hangslot met de tekst ISOR norm)
Bovenliggende principe
Meer in normenkader èn aspect
Alle normen
Alle normenkaders
ISOR

Stelling

Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan.

De verantwoordelijke heeft adequate organisatorische maatregelen genomen om de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te beveiligen en kan dat aantonen. Organisatorische maatregelen zijn maatregelen voor de inrichting van de organisatie en voor het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens, zoals toekenning en deling van de verantwoordelijkheden, bevoegdheden, instructies, trainingen, calamiteitenplannen en geheimhoudingsplichten. Een goede manier om dit te borgen en aan te tonen is het opstellen en actueel houden van een beveiligingsplan.

De Avg spreekt in plaats van een beveiligingsplan over Bindende bedrijfsvoorschriften: "de toepassing van de algemene beginselen inzake gegevensbescherming, met name doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden., minimale gegevensverwerking, beperkte opslagtermijnen, kwaliteit van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, gegevensbescherming door standaardinstellingen en door ontwerp, rechtsgrond voor verwerking, verwerking van bijzondere categorieën van persoonsgegevens, maatregelen om gegevensbeveiliging te waarborgen en de vereisten inzake verdere doorgiften aan organen die niet door bindende bedrijfsvoorschriften zijn gebonden. /01.03 Ten behoeve van privacy hoeft geen separaat beveiligingsplan gemaakt te worden; als extra beveiligingsmaatregelen genomen moeten worden om persoonsgegevens te bescherming, kan dit worden opgenomen in het reguliere beveiligingsplan. Ook de Richtsnoeren van de AP over het beveiligen van persoonsgegevens kan geïmplementeerd worden in het reguliere beveiligingsplan.

Het beveiligingsplan bevat bijvoorbeeld: a. welke technische, organisatorische en fysieke beveiligingsmaatregelen genomen zijn b. welk normenstelsel de organisatie volgt; c. op welke wijze de eventuele aanwijzingen (richtsnoeren, beleidsregels) van de AP over het beveiligen van persoonsgegevens ingeregeld zijn; d. de wijze waarop geheimhouding van de medewerkers geregeld is; e. welke acties de verantwoordelijke verwerker neemt bij datalekken; f. de wijze waarop de verwerker zich periodiek verantwoordt over de nakoming van afspraken; g. hoe controle op de naleving van de beveiligingsmaatregelen is ingeregeld; h. het geven van instructies en trainingen over de manier waarop persoonsgegevens beschermd worden; i. een calamiteitenplan; j. het cyclisch inregelen van beveiliging als onderdeel van de dagelijkse praktijk van de organisatie, zodat de beveiligingsmaatregelen onderdeel zijn van de dagelijkse praktijk van de organisatie; k. de opname van de technische en organisatorische maatregelen in de verwerkersovereenkomst, met voortdurende controle op de uitvoering ervan en direct ingrijpen als daar niet aan wordt voldaan; l. de maatregelen worden periodiek getoetst en worden aangepast als ze niet meer voldoende bescherming bieden; m. toekenning en deling van de verantwoordelijkheden en bevoegdheden met de omgang van persoonsgegevens; n. benoemen van een algehele verantwoordelijke binnen de organisatie voor het opstellen, implementeren en handhaven van het beveiligingsbeleid.

Bovenliggende principe(s)

Deze norm realiseert het privacyprincipe Beveiligen van de verwerking van persoonsgegevens via de conformiteitsindicator technische en organisatorische maatregelen.

Grondslag

Persoonlijke instellingen
Naamruimten

Varianten