Accreditatierichtlijn beveiliging van bestanden. Doel van beveiliging Wettelijk kader: Zorgvuldige...
-
Upload
helena-groen -
Category
Documents
-
view
212 -
download
0
Transcript of Accreditatierichtlijn beveiliging van bestanden. Doel van beveiliging Wettelijk kader: Zorgvuldige...
Accreditatierichtlijn beveiliging van bestanden
Doel van beveiliging
Wettelijk kader:
Zorgvuldige en behoorlijke verwerking
om verlies of onrechtmatig gebruik te voorkomen
Door:
technische en organisatorische maatregelen (art 13)
(opgelegd door Verantwoordelijke aan Bewerker, art 14)
Gegevens: soorten en maten
Direct herleidbare persoonsgegevens
Indirect herleidbare persoonsgegevens
“Gewone gegevens” / niet herleidbare gegevens
en
Persoonsgegevens
Bijzondere persoonsgegevens: gegevens inzake gezondheid -> medisch geheim
Classificatie afhankelijk van het gegeven zelf maar ook de combinatie met andere gegevens kan bepalend zijn
Focus: verwerkingsprocessen
Opslaan Raadplegen Transporteren Splitsen Manipuleren Printen Vernietigen Etc. etc.
Maar ook Opschrijven op een lijst Opsturen van een lijst
Beveiliging van de processen om verlies/onrechtm gebruik te voorkomen
Beveiligingsmaatregelen
Bestanden zelf Verwerkingsprocessen Computers Het ICT netwerk Informatiedragers De kasten De ruimte / werkplek De servers De serverruimte Het gebouw De personen
En ook protocollen voor vernietiging
Niveau’s van beveiliging (AV23)
Basisniveau: risicoklasse 1 = gewone gegevens
Verhoogd niveau: risicoklasse 2 = (in)direct herleidbare persoonsgegevens
Hoog niveau: risicoklasse 3 = bijzondere persoonsgegevens
Beveiliging basisniveau
Conform normale bedrijfsvoering,
Algemene toegangsrechten Viruscontroles, malware protectie Back up en restore procedures Afsluitbare kasten Beveiligde serverruimte Etc.
Aandachtspunten: Legale software Geen opslag op losse informatiedragers thuiswerkplekken
Beveiliging verhoogd niveau
Bestanden risicoklasse 2, gewone persoonsgegevens,
Exclusieve toegangsrechten (procedure!) Afgeschermd deel van het ICT netwerk Opslag via encryptie Automatisch uitloggen computers Encrypted email / ww verzending apart Encrypted back ups Geheimhoudingsverklaring
Aandachtspunten: Geen verwerking thuiswerkplekken Geen opslag/transport op losse informatiedragers Papieren informatiedragers
Beveiliging hoog niveau
Bestanden risicoklasse , bijzondere persoonsgegevens,
Opslag via veilige encryptie Veilige wachtwoorden Veilige encrypted email / ww via ander medium Interne audits
Aandachtspunten: Geen verwerking thuiswerkplekken Geen opslag/transport op losse informatiedragers papiereninformatiedragers
Last but not least
onderzoeksgegevens en communicatiegegevens
Functiescheiding
Zo min mogelijk verwerken van persoonsgegevens
Zo snel mogelijk vernietigen
Accreditatierichtlijn Uitbesteding
Bewerkersovereenkomst
Naast contract tussen opdrachtgever en meetorganisatie ook een bewerkersovereenkomst
Indien een meetorganisatie zelf uitbesteedt dan naast contract ook een bewerkersovereenkomst afsluiten
Evaluatie van dienstverlening van onderaannemer: ook
toetsing van bewerkersovereenkomst
AccreditatierichtlijnAanspreekpunt
Aanspreekpunt gegvnsbescherming
Verplicht voor scope A, facultatief voor B en C/D
Heeft kennis van wet en regelgeving (-> CBP)
Kent de privacy eisen CKZ (handboek, richtlijnen)
Is (eind)verantwoordelijk voor implementatie
stimuleert juiste cultuur Initieert interne audits