CBP: Richtsnoeren beveiliging van persoonsgegevens
CBP, Richtsnoeren `Beveiliging van persoonsgegevens' (5,5 MB), 19 februari 2013, cbpweb.nl.
Beveiliging van persoonsgegevens is een van de speerpunten van het handhavingsbeleid van het cbp. Het cbp houdt toezicht op de naleving van de Wet bescherming persoonsgegevens (Wbp). Artikel 13 van de Wbp eist dat bedrijven en overheden die persoonsgegevens verwerken, ‘passende technische en organisatorische maatregelen’ nemen om persoonsgegevens te beveiligen.
Uit't persbericht: Het College bescherming persoonsgegevens (CBP) publiceert vandaag zijn `Richtsnoeren beveiliging van persoonsgegevens'. De richtsnoeren leggen uit hoe het CBP bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens de beveiligingsnormen uit de Wet bescherming persoonsgegevens (Wbp) toepast. De richtsnoeren vormen de verbindende schakel tussen het juridisch domein, met daarbinnen de eisen uit de Wbp, en het domein van de informatiebeveiliging, waarin de noodzakelijke kennis en kunde aanwezig is om daadwerkelijk aan die eisen te voldoen. De richtsnoeren treden 1 maart 2013 in werking.
Een gemiddelde burger in Nederland zit met zijn gegevens in honderden tot duizenden bestanden, zowel in de publieke als de private sector. Iedereen moet er op kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Onvoldoende beveiliging kan leiden tot verlies en diefstal van persoonsgegevens en vervolgens tot misbruik van persoonsgegevens, zoals identiteitsfraude. Bedrijven en overheden die persoonsgegevens verwerken moeten deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen en hiervoor passende technische en organisatorische maatregelen nemen. “Verantwoord omgaan met persoonsgegevens staat of valt met een adequate beveiliging. Denk na over beveiliging vóórdat je persoonsgegevens gaat verzamelen en laat het een blijvend punt van aandacht zijn”, aldus Wilbert Tomesen, collegelid van het CBP.
Uit de samenvatting:
‘plan-do-check-act’
Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plandocheckactcyclus in de dagelijkse praktijk van de organisatie noodzakelijk. Dat komt kort gezegd op het volgende neer:
1. Beoordeel de risico’s
Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen en bepaal op basis daarvan het gewenste beveiligingsniveau. Inventariseer vervolgens de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die het beveiligingsincident kan hebben en de kans dat deze gevolgen zich voor zullen doen. Tref op basis daarvan gericht beveiligingsmaatregelen die het gewenste beveiligingsniveau kunnen waarborgen.2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden
Het vakgebied informatiebeveiliging kent vele beveiligingsmethoden, standaarden en maatregelen die zijn gebaseerd op ervaringen uit de dagelijkse beveiligingspraktijk. Gebruik bij het nemen van beveiligingsmaatregelen de richtsnoeren in samenhang met de beschikbare beveiligingsstandaarden. Deze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico’s af te dekken.3. Controleer en evalueer regelmatig
Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd. Beoordeel periodiek of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen en of de beveiligingsmaatregelen nog steeds voldoen. Betrek daarbij ook de stand van de techniek en de nieuwste inzichten binnen het vakgebied informatiebeveiliging. Pas waar nodig de beveiligingsmaatregelen aan