De beveiliging van persoonsgegevens
Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.4.5:3.4.5 Uitvoering en verbetering
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.4.5
3.4.5 Uitvoering en verbetering
Documentgegevens:
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660994:1
- Vakgebied(en)
Privacy (V)
Toon alle voetnoten
Voetnoten
Voetnoten
ISO 27001:2017, §8.1.
ISO 27001:2017, §8.8, 8.2 en 8.3. Dit betekent dat er moet worden gecontroleerd of deze derden voldoen aan de vereisten voor beveiliging. Ook moet de organisatie controleren of deze derden voldoende doen om de geformuleerde beveiligingsdoelen te halen.
Bishop 2005, §1.6.2. Zie ook §3.5.4.
Vgl. Saint-Germain 2005, p. 62; Cosic & Boban 2010, p. 84. Vgl. Borking 2010, §4.5.
ISO 27000:2020, §4.5.7.
ISO 27000:2020, §4.5.7; ISO 27001:2017, §10.2.
ISO 27001:2017, §10.
Deze functie is alleen te gebruiken als je bent ingelogd.
Nadat de vormgeving van een ISMS is afgerond, is het tijd voor de do-fase. Hierin wordt het systeem operationeel gemaakt.1 Tijdens deze fase moet de organisatie die het ISMS heeft geïmplementeerd de uitkomst van de (herhaaldelijk uitgevoerde) risicobeoordelingen en de bijbehorende information security risk treatments documenteren. Ook indien zij bepaalde processen heeft uitbesteed, moet zij zich ervan verzekeren dat deze processen worden gedocumenteerd.2
Door ontwikkelingen op het gebied van relevante kwetsbaarheden, beveiligingsdreigingen en beveiligingsmaatregelen, kan een beveiligingssysteem dat de risico’s initieel voldoende beheerste dit langzaamaan niet meer doen. Informatiebeveiligingssystemen dienen daarom geregeld te worden geactualiseerd. Dit vereist herhaaldelijke risicobeoordelingen en een voortdurende controle van het ISMS.3 Deze controle vindt plaats in de check-fase. Hierin wordt nagegaan of het ISMS nog voldoet aan de eisen die door de organisatie zelf (en indien het systeem ISO-gecertificeerd is, door de ISO) zijn gesteld. Wanneer er meer duidelijkheid is verkregen omtrent wettelijke eisen kunnen ook die daarbij worden meegenomen. Omdat de PDCA-cyclus voortdurend moet worden doorlopen, zal het ISMS frequent moeten worden gemonitord en beoordeeld.4
De act-fase draait om de verbetering van het ISMS. Het doel is om de kans op realisatie van de beveiligingsdoelen te vergroten.5 ISO 27001 vereist dat er voortdurend wordt gezocht naar verbeterpunten. Dit voorkomt dat ervan uit wordt gegaan dat het huidige systeem afdoende is.6 Wanneer het tijdens de check-fase duidelijk wordt dat het ISMS een gebrek heeft, moet dit in de act-fase worden gecorrigeerd en moeten er maatregelen worden getroffen om de reeds verwezenlijkte nadelige gevolgen van dit gebrek te beperken.7