Beveiligingseisen nader uitgewerkt in Richtsnoeren Beveiliging van Persoonsgegevens CBP

-  De  verantwoordelijke  dient  vooraf  (in  het  eerste  ontwerpstadium  van  een verwerking) een risicoanalyse (PIA: Privacy Impact Assessment) uit te voeren.

-  In  de  Richtsnoeren  wordt  een  niet-limitatieve  opsomming  van  categorieën  van persoonsgegevens  gegeven,  waar  de  gevolgen  van  verlies  of  onrechtmatige verwerking  voor  de  betrokkenen  ernstig  kunnen  zijn  en  waarbij  de  mate  van beveiliging hoger dient te zijn.

-  De verantwoordelijke dient naar aanleiding van het PIA passende maatregelen te treffen die een passend beveiligingsniveau garanderen.

-  Beveiligingsstandaarden  geven  volgens  het  CBP  houvast  bij  het  daadwerkelijk treffen  van  passende  maatregelen  om  de  risico’s  af  te  dekken.

-  Bij  het  onderzoeken  en  beoordelen  van  de  beveiliging  van  persoonsgegevens hanteert het CBP als uitgangspunt een aantal beveiligingsmaatregelen die binnen het vakgebied informatiebeveiliging gebruikelijk zijn en die in veel situaties in een of andere vorm noodzakelijk zijn, zoals het Beleidsdocument voor informatiebeveiliging, fysieke beveiliging en beveiliging van apparatuur, toegangsbeveiliging, etc. Er  is  pas  sprake  van  een  passend  beveiligingsniveau als  de  gekozen maatregelen  onderdeel  zijn  van  de  dagelijkse  praktijk  van  de  organisatie,  zo stelt de CBP. De  eerste  stap  is  documentatie:  de  relevante  beveiligingsmaatregelen  zijn gespecificeerd en geïntegreerd in functionele en technische beschrijvingen van ICT  systemen,  in  gebruikershandleidingen,  werkinstructies,  contracten, dienstenniveauovereenkomsten  en  andere  relevante  documenten.  De  tweede stap is daadwerkelijke implementatie van de gekozen maatregelen. Bij het opstellen van overeenkomsten dient rekening te worden gehouden met deze beveiligingseisen.

Heeft u vragen over de richtsnoeren, neemt u dan contact op met, Natascha van Duuren, Advocaat/Partner IE/ICT-recht