Passend beveiligingsniveau

Uit NORA Online
ISOR:Technische en organisatorische maatregelen- passend beveiligingsniveau
Ga naar: navigatie, zoeken
Logo ISOR normen (een hangslot met de tekst ISOR norm)

Stelling

De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG Art. 32; dit is 'het informatiebeveiligingsartikel':

  1. De pseudonimisering en versleuteling van persoonsgegevens;
  2. Het vermogen om op permanente basis de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  3. Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  4. Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.


Toelichting

  • Privacy Enhancing Technologies (PET) is een gangbare verzamelnaam voor een aantal technieken voor privacybescherming die kunnen worden toegepast. Een centraal principe van PET is het verminderen van de herleidbaarheid van persoonsgegevens naar de betrokkene, met anonimisering van gegevens als zwaarste vorm: na anonimisering zijn de gegevens niet meer te herleiden tot de oorspronkelijke gegevens en daarmee ook niet langer een onderwerp voor de AVG Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010. CBP: Richtsnoeren voor het beveiligen van persoonsgegevens, 2013, p.13..
  • Een verwante techniek is pseudonimisering. De AVG definieert pseudonimisering als: "het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, op voorwaarde dat deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeldAVG Art. 4 lid 5.
  • Bij het toepassen van pseudonimisering moeten de aanvullende gegevens, die gebruikt worden om de persoonsgegevens aan een specifieke betrokkene te koppelen, apart worden bewaard.
  • De uitdrukkelijke invoering van pseudonimisering genoemd in de AVG is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluitenAVG Art. 4 lid 5. Na pseudonimisering blijft de AVG van toepassing.
  • Bijzondere aspecten in dit verband zijn:
    • Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewistAVG overweging 39..
    • De verwerkingsverantwoordelijke dient, met name met betrekking tot online-diensten en online-identificatoren, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om inzage verzoektAVG overweging 64..

Bovenliggende principe(s)

Deze norm realiseert het principe Beveiligen van de verwerking van persoonsgegevens via de conformiteitsindicator technische en organisatorische maatregelen.

Grondslag