De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.4.4:3.4.4 Risicobehandeling

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.4.4

3.4.4 Risicobehandeling

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Het laatste onderdeel van de plan-fase is de risicobehandeling. Voor zover een verwerkingsverantwoordelijke of verwerker bepaalde risico’s wil beperken (en dus een bepaald beveiligingsniveau wil waarborgen), zal zij bij de risicobehandeling moeten vaststellen welke beveiligingsmaatregelen zij hiertoe treft. Ingevolge de ISO 27000-reeks dienen de maatregelen die verwerkingsverantwoordelijken en verwerkers treffen proportioneel te zijn ten aanzien van de verwachte impact van de risico’s die zich kunnen verwezenlijken. Hierbij kunnen nog nieuwe afwegingen worden gemaakt. De stand van de techniek is hierbij vanzelfsprekend van belang. Art. 5 lid 1 onder f en 32 AVG beperken in die zin de keuzemogelijkheden die informatiebeveiligings­standaarden aan verwerkingsverantwoordelijken en verwerkers in deze fase toekennen. Om passende beveiliging te kunnen waarborgen, zullen de gekozen maatregelen immers het passende beveiligingsniveau moeten waarborgen.1

Wanneer een organisatie heeft besloten welke beveiligingsmaatregelen zij wil treffen, dient zij – voor een ISO-certificaat– deze maatregelen te vergelijken met de maatregelen die in de Annex A-lijst van de ISO-normen worden genoemd.2 Deze lijst bevat de maatregelen waarvan het treffen volgens de beste praktijken van informatiebeveiliging moet worden overwogen. De achterliggende gedachte van deze lijst is dat een organisatie die nagaat of zij de hierin opgenomen maatregelen heeft getroffen, in ieder geval geen essentiële maatregelen vergeet.3 De organisatie moet haar conclusies ten aanzien van de risicobehandeling opnemen in een Statement of Applicability, waarin zij verklaart welke maatregelen er om welke reden zijn getroffen, en tevens aangeeft wat de reden is dat andere maatregelen uit de Annex A-lijst niet zijn getroffen (een zogenoemd pas-toe-of-leg-uit-systeem).4 De Annex A-lijst heeft dezelfde opzet als ISO 27002.

De Annex A-lijst en ISO 27002 verdelen de beste praktijken op het gebied van beveiligingsmaatregelen onder in verschillende categorieën. Deze categorieën bieden inzicht in de verschillende type maatregelen die vaak moeten worden getroffen. Zij beschrijft wat doorgaans moet worden geregeld op het gebied van: het informatiebeveiligingsbeleid, de organisatie van informatiebeveiliging binnen een organisatie, het personeel, het beheer van bedrijfsmiddelen, de toegangsbeveiliging, cryptografie, fysieke beveiliging en beveiliging van de omgeving, de bedrijfsvoering, de communicatie, het onderhoud van informatiesystemen, de toegang van leveranciers, de omgang met beveiligingsincidenten en het bedrijfscontinuïteitsbeheer. Voorbeelden van concrete maatregelen die hierin zijn genoemd, zijn bijvoorbeeld het invoeren van beleidsregels en procedures, het van werknemers en contractanten eisen dat zij zich in overeenstemming hiermee gedragen, en het beveiligen van gebouwen en fysieke ruimtes waar gegevens zijn opgeslagen.

Overigens kunnen bij het treffen van beveiligingsmaatregelen nieuwe privacyrisico’s ontstaan. Informatiebeveiligingsspecialisten spreken in dit kader van een mogelijke spanning tussen beveiliging aan de ene kant, en privacy en persoonsgegevensbescherming aan de andere kant. Deze spanning ontstaat voornamelijk bij het treffen van monitorende maatregelen, die het mogelijk maken om bijvoorbeeld werknemers te monitoren en te controleren waartoe zij toegang hebben gehad. Ook bij maatregelen die biomedische gegevens registreren of gebruikmaken van gezichtsherkenning om personen op basis daarvan toegang te geven tot gegevens ontstaat spanning. Met het treffen van deze maatregelen worden echter nieuwe persoonsgegevens verwerkt. Een dergelijke afweging zal zorgvuldig moeten worden gemaakt.5

Deze functie is alleen te gebruiken als je bent ingelogd.