Accreditatierichtlijn beveiliging van bestanden

Doel van beveiliging

Wettelijk kader:

Zorgvuldige en behoorlijke verwerking

om verlies of onrechtmatig gebruik te voorkomen

Door:

technische en organisatorische maatregelen (art 13)

(opgelegd door Verantwoordelijke aan Bewerker, art 14)

Gegevens: soorten en maten

Direct herleidbare persoonsgegevens

Indirect herleidbare persoonsgegevens

“Gewone gegevens” / niet herleidbare gegevens

en

Persoonsgegevens

Bijzondere persoonsgegevens: gegevens inzake gezondheid -> medisch geheim

Classificatie afhankelijk van het gegeven zelf maar ook de combinatie met andere gegevens kan bepalend zijn

Focus: verwerkingsprocessen

Opslaan Raadplegen Transporteren Splitsen Manipuleren Printen Vernietigen Etc. etc.

Maar ook Opschrijven op een lijst Opsturen van een lijst

Beveiliging van de processen om verlies/onrechtm gebruik te voorkomen

Beveiligingsmaatregelen

Bestanden zelf Verwerkingsprocessen Computers Het ICT netwerk Informatiedragers De kasten De ruimte / werkplek De servers De serverruimte Het gebouw De personen

En ook protocollen voor vernietiging

Niveau’s van beveiliging (AV23)

Basisniveau: risicoklasse 1 = gewone gegevens

Verhoogd niveau: risicoklasse 2 = (in)direct herleidbare persoonsgegevens

Hoog niveau: risicoklasse 3 = bijzondere persoonsgegevens

Beveiliging basisniveau

Conform normale bedrijfsvoering,

Algemene toegangsrechten Viruscontroles, malware protectie Back up en restore procedures Afsluitbare kasten Beveiligde serverruimte Etc.

Aandachtspunten: Legale software Geen opslag op losse informatiedragers thuiswerkplekken

Beveiliging verhoogd niveau

Bestanden risicoklasse 2, gewone persoonsgegevens,

Exclusieve toegangsrechten (procedure!) Afgeschermd deel van het ICT netwerk Opslag via encryptie Automatisch uitloggen computers Encrypted email / ww verzending apart Encrypted back ups Geheimhoudingsverklaring

Aandachtspunten: Geen verwerking thuiswerkplekken Geen opslag/transport op losse informatiedragers Papieren informatiedragers

Beveiliging hoog niveau

Bestanden risicoklasse , bijzondere persoonsgegevens,

Opslag via veilige encryptie Veilige wachtwoorden Veilige encrypted email / ww via ander medium Interne audits

Aandachtspunten: Geen verwerking thuiswerkplekken Geen opslag/transport op losse informatiedragers papiereninformatiedragers

Last but not least

onderzoeksgegevens en communicatiegegevens

Functiescheiding

Zo min mogelijk verwerken van persoonsgegevens

Zo snel mogelijk vernietigen

Accreditatierichtlijn Uitbesteding

Bewerkersovereenkomst

Naast contract tussen opdrachtgever en meetorganisatie ook een bewerkersovereenkomst

Indien een meetorganisatie zelf uitbesteedt dan naast contract ook een bewerkersovereenkomst afsluiten

Evaluatie van dienstverlening van onderaannemer: ook

toetsing van bewerkersovereenkomst

AccreditatierichtlijnAanspreekpunt

Aanspreekpunt gegvnsbescherming

Verplicht voor scope A, facultatief voor B en C/D

Heeft kennis van wet en regelgeving (-> CBP)

Kent de privacy eisen CKZ (handboek, richtlijnen)

Is (eind)verantwoordelijk voor implementatie

stimuleert juiste cultuur Initieert interne audits