Relevante bepalingen uit de Richtsnoeren:
– De verantwoordelijke dient vooraf (in het eerste ontwerpstadium van een verwerking) een risicoanalyse (PIA: Privacy Impact Assessment) uit te voeren.
– In de Richtsnoeren wordt een niet-limitatieve opsomming van categorieën van persoonsgegevens gegeven, waar de gevolgen van verlies of onrechtmatige verwerking voor de betrokkenen ernstig kunnen zijn en waarbij de mate van beveiliging hoger dient te zijn.
– De verantwoordelijke dient naar aanleiding van het PIA passende maatregelen te treffen die een passend beveiligingsniveau garanderen.
– Beveiligingsstandaarden geven volgens het CBP houvast bij het daadwerkelijk treffen van passende maatregelen om de risico’s af te dekken.
– Bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens hanteert het CBP als uitgangspunt een aantal beveiligingsmaatregelen die binnen het vakgebied informatiebeveiliging gebruikelijk zijn en die in veel situaties in een of andere vorm noodzakelijk zijn, zoals het Beleidsdocument voor informatiebeveiliging, fysieke beveiliging en beveiliging van apparatuur, toegangsbeveiliging, etc. Er is pas sprake van een passend beveiligingsniveau als de gekozen maatregelen onderdeel zijn van de dagelijkse praktijk van de organisatie, zo stelt de CBP. De eerste stap is documentatie: de relevante beveiligingsmaatregelen zijn gespecificeerd en geïntegreerd in functionele en technische beschrijvingen van ICT systemen, in gebruikershandleidingen, werkinstructies, contracten, dienstenniveauovereenkomsten en andere relevante documenten. De tweede stap is daadwerkelijke implementatie van de gekozen maatregelen. Bij het opstellen van overeenkomsten dient rekening te worden gehouden met deze beveiligingseisen.
Vragen?
Heeft u vragen over de richtsnoeren, neemt u dan contact op met, Natascha van Duuren, Advocaat/Partner IE/ICT-recht