Privacyrecht is code (R&P nr. ICT1) 2010/4.2:4.2. Risicoklassen

Privacyrecht is code (R&P nr. ICT1) 2010/4.2

4.2. Risicoklassen

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Bij het maken van de keuzes dient de verantwoordelijke te zoeken naar een balans tussen de hierboven vermelde criteria, de stand van de techniek en de kosten. Indien er met inachtneming daarvan een onderbouwde keuze is gemaakt,

is er sprake van een stelsel van passende technische en organisatorische maatregelen.1 Omdat het maken van een risicoanalyse veel expertise vereist en die expertise bij de meeste organisaties in het midden- en klein bedrijf niet voorhanden is, heeft de Registratiekamer in 19942 en in 20013 samen met een groep van professionele informatiebeveiligingsexperts vormen van gegevensverwerking-4 geanalyseerd. Zij heeft op grond daarvan een algemene beveiligingsrichtlijn opgesteld met vier risicoklassen.5 Daarin zijn een groot aantal maatregelen vermeld die genomen dienen te worden wanneer gegevens in een bepaalde risicoklasse worden verwerkt.6 De opbouw van de risicoklassen is cumulatief: hogere klassen geven additionele normen aan die passen bij die hogere risicoklasse:

Risicoklasse 0 (geen risico)= publiek niveau;

Risicoklasse I = basis niveau;

Risicoklasse II = verhoogd risico;

Risicoklasse III = hoog risico.7

Het scala van risico's voor de betrokkene8 bij verlies of onbevoegd of onzorgvuldig gebruik van de persoonsgegevens loopt van openbare persoonsgegevens, zoals in telefoonboeken, brochures, publieke internetsites etc., via verwerkingen van beperkte hoeveelheid persoonsgegevens, bijvoorbeeld lidmaatschappen (vereniging-lid), klantrelaties (hotel-gast), naar gevoelige gegevens. Voor bijzondere gegevens geldt een verhoogd en hoog risico, als de uitkomst van de risicoanalyse aantoont dat er extra negatieve gevolgen bestaan voor de betrokkene bij verlies, of onbehoorlijke of onzorgvuldige verwerking van de persoonsgegevens. Het gaat dan bijvoorbeeld om de verwerking in het bank- en verzekeringswezen van gegevens over de persoonlijke of economische situatie van een betrokkene of om gegevens die bij handelsinformatiebureaus worden verwerkt ten behoeve van kredietinformatie of schuldsanering of de gegevens die betrekking hebben op de gehele of grote delen van de bevolking.9 Bij verwerking van bijzondere gegevens met een hoge gevoeligheidsgraad in het maatschappelijk verkeer geldt de hoogste risicoklasse, bijvoorbeeld wanneer het gegevens over levensbedreigende ziektes betreft, of persoonsgegevens waarop een bijzondere geheimhoudingsplicht van toepassing is. Ook bij verwerking van meerdere verzamelingen van bijzondere persoonsgegevens kan het resultaat van deze verwerking een dermate vergroot risico voor de betrokkene opleveren dat het gerechtvaardigd is deze verwerking van persoonsgegevens in de hoogste risicoklasse te plaatsen. De maatregelen die voor de beveiliging van dergelijke persoonsgegevens moeten worden genomen, moeten voldoen aan de hoogste normen. Dat geldt onder meer voor de verwerking van persoonsgegevens door opsporingsdiensten met bijzondere bevoegdheden of verwerkingen waarbij de belangen van de betrokkene ernstig kunnen worden geschaad indien dit onzorgvuldig of onbevoegd geschiedt, bijvoorbeeld gegevens uit een DNA-databank.

Deze functie is alleen te gebruiken als je bent ingelogd.