Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Beveiligingseisen nader uitgewerkt in Richtsnoeren Beveiliging van Persoonsgegevens CBP

Natascha van Duuren

6 mei 2013 - 2 minuten leestijd

De  beveiligingseis  van  art.  13  Wbp  is  uitgewerkt  in de  recent  gepubliceerde  ‘CBP
Richtsnoeren  Beveiliging  van  Persoonsgegevens’  (februari  2013). Deze  richtsnoeren  leggen  uit  hoe  het  CBP  bij  het onderzoeken  en  beoordelen  van  beveiliging  van  persoonsgegevens  in  individuele  gevallen  de  beveiligingsnormen  uit  de Wbp  toepast.  De  Richtsnoeren  vervangen  ‘Achtergrondstudies  en  Verkenningen  23, Beveiliging van persoonsgegevens’ van de Registratiekamer (de voorganger van de CBP).

Relevante bepalingen uit de Richtsnoeren:
–  De  verantwoordelijke  dient  vooraf  (in  het  eerste  ontwerpstadium  van  een verwerking) een risicoanalyse (PIA: Privacy Impact Assessment) uit te voeren.
–  In  de  Richtsnoeren  wordt  een  niet-limitatieve  opsomming  van  categorieën  van persoonsgegevens  gegeven,  waar  de  gevolgen  van  verlies  of  onrechtmatige verwerking  voor  de  betrokkenen  ernstig  kunnen  zijn  en  waarbij  de  mate  van beveiliging hoger dient te zijn.
–  De verantwoordelijke dient naar aanleiding van het PIA passende maatregelen te treffen die een passend beveiligingsniveau garanderen.
–  Beveiligingsstandaarden  geven  volgens  het  CBP  houvast  bij  het  daadwerkelijk treffen  van  passende  maatregelen  om  de  risico’s  af  te  dekken.
–  Bij  het  onderzoeken  en  beoordelen  van  de  beveiliging  van  persoonsgegevens hanteert het CBP als uitgangspunt een aantal beveiligingsmaatregelen die binnen het vakgebied informatiebeveiliging gebruikelijk zijn en die in veel situaties in een of andere vorm noodzakelijk zijn, zoals het Beleidsdocument voor informatiebeveiliging, fysieke beveiliging en beveiliging van apparatuur, toegangsbeveiliging, etc. Er  is  pas  sprake  van  een  passend  beveiligingsniveau als  de  gekozen maatregelen  onderdeel  zijn  van  de  dagelijkse  praktijk  van  de  organisatie,  zo stelt de CBP. De  eerste  stap  is  documentatie:  de  relevante  beveiligingsmaatregelen  zijn gespecificeerd en geïntegreerd in functionele en technische beschrijvingen van ICT  systemen,  in  gebruikershandleidingen,  werkinstructies,  contracten, dienstenniveauovereenkomsten  en  andere  relevante  documenten.  De  tweede stap is daadwerkelijke implementatie van de gekozen maatregelen.

Bij het opstellen van overeenkomsten dient rekening te worden gehouden met deze beveiligingseisen. Wilt u meer informatie over impact van deze Richtsnoeren op uw bedrijfsvoering en over de wijze waarop de beveiligingseisen in uw contracten dienen te worden verwerkt, neem dan contact op met Natascha van Duuren, partner ICT/IE/privacy

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?