Articles

Cbp publiceert Richtsnoeren beveiliging van persoonsgegevens

Cbp publiceert Richtsnoeren beveiliging van persoonsgegevens

Cbp publiceert Richtsnoeren beveiliging van persoonsgegevens

27.12.2013 NL law

Het College bescherming persoonsgegevens (Cbp) heeft vandaag de Richtsnoeren beveiliging van persoonsgegevens gepubliceerd. Deze richtsnoeren zullen per 1 maart 2013 in werking treden en vervangen een eerdere publicatie over beveiliging van persoonsgegevens (bekend als A&V 23).

1.   Passende beveiliging
Het Cbp benadrukt dat de mate van beveiliging een afweging van geval tot geval zal vergen. De richtsnoeren bieden echter wel aanknopingspunten voor de mate van beveiliging die het Cbp in beginsel verwacht van verantwoordelijken in de zin van artikel 13 Wet bescherming persoonsgegevens (Wbp).

Het Cbp verwijst daarbij naar de “plan-do-check-act-cyclus” of kwaliteitscirkel en geeft de volgende aanbevelingen:

1. Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich brengen;
2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden; en
3. Controleer voortdurend op de naleving van de maatregelen en het passen van het beveiligingsniveau.

Noodzakelijke randvoorwaarden voor passende beveiligingsmaatregelen acht het Cbp het treffen van maatregelen op basis van risicoanalyse en het toepassen van beveiligingsstandaarden. Daarnaast dient volgens het Cbp een verantwoordelijke de vertaalslag te maken van de risico’s van een verwerking voor één, individuele betrokkene naar de eisen van beschikbaarheid, integriteit en vertrouwelijkheid van het informatiesysteem. Voor deze vertaalslag zijn volgens het Cbp geen algemene regels te geven. Het Cbp geeft echter wel aanwijzingen voor categorieën persoonsgegevens die zij als risicovol aanmerkt.

2.   Bewerkers
Verder wijdt het Cbp een apart hoofdstuk aan beveiliging bij gegevensverwerking door een bewerker. Interessant in dit kader is met name dat het Cbp aangeeft welke onderwerpen het in ieder geval betrekt bij de beoordeling van afspraken in een bewerkersovereenkomst. Het Cbp noemt daarbij onder andere de dienstverlening van de bewerker, transparantie over opgetreden beveiligingsincidenten, verwerking door subbewerkers en verwerking van persoonsgegevens buiten Nederland.

3.   Handhaving
Het Cbp geeft aan dat het niet alle aangebrachte zaken in behandeling kan nemen door de complexiteit en kwantiteit van het aantal zaken. Prioriteit geeft het Cbp naar eigen zeggen aan zaken waarbij het een vermoeden heeft van ernstige, structurele overtredingen die veel mensen treffen en waarbij het Cbp door de inzet van handhavingsinstrumenten effectief verschil kan maken.

Tevens geeft het Cbp aan bij onderzoeken naar overtredingen van de Wbp met een internationaal karakter te zullen samenwerken met collega-toezichthouders. Het gezamenlijk optreden, eerder al gezien in gezamenlijk onderzoek inzake WhatsApp en Google, lijkt daarmee aan belang te winnen.

Het Cbp heeft reeds aangekondigd deze richtsnoeren te zullen herzien bij de invoering van de voorgestelde nieuwe Europese Verordening gegevensbescherming. De Richtsnoeren beveiliging van persoonsgegevens zijn hier te vinden.

Team

Related news

20.11.2018 NL law
Seminar 'Personal data from a broader perspective: overlap inside and outside the privacy domain'

Seminar - On 20 November 2018, Stibbe will host a seminar on privacy. Several Stibbe lawyers will discuss personal data from a broader perspective and the overlap that can occur inside and outside the legal privacy domain.

Read more

12.10.2018 NL law
Tim Berners-Lee's Solid proposal: the future of data traffic?

Short Reads - The General Data Protection Regulation (GDPR) aims to strengthen the rights of individuals in respect of their personal data. Although this aim has been achieved to a certain extent, the fundamental framework of the way personal data is processed remains unchanged. Companies are still able to use large amounts of user data, in many cases without even obtaining their consent. Tim Berners-Lee, the inventor of the World Wide Web, has announced his plans for a decentralised web, in which users remain in control of their personal data.

Read more

10.10.2018 NL law
Ongevraagd advies Raad van State: normering van geautomatiseerde overheidsbesluitvorming

Short Reads - Op 31 augustus 2018 heeft de Afdeling advisering van de Raad van State (hierna: "Afdeling advisering") een 'Ongevraagd advies over de effecten van de digitalisering voor de rechtsstatelijke verhoudingen' betreffende de positie en de bescherming van de burger tegen een "iOverheid" uitgebracht. Het gebeurt niet vaak dat de Afdeling advisering zo een ongevraagd advies uitbrengt. Dit onderstreept het belang van de voortdurend in ontwikkeling zijnde technologie en digitalisering in relatie tot de verhouding tussen de overheid en de maatschappij.

Read more

23.08.2018 EU law
ECJ: Facebook fan page administrator is a joint data controller

Short Reads - On 5 June 2018, the European Court of Justice ("ECJ") decided on several preliminary questions that were raised in an administrative proceeding between the German Data Protection Authority ("GDPA") and Wirtschaftsakademie Schleswig-Holstein GmbH ("Wirtschaftsakademie"), a German educational services provider that offers its services through a Facebook fan page. In its decision, the ECJ held, among other things, that Wirtschaftsakademie qualifies as a data controller ex Article 2 under d Directive 95/46/EC[1] ("Privacy Directive").

Read more

Our website uses cookies: third party analytics cookies to best adapt our website to your needs & cookies to enable social media functionalities. For more information on the use of cookies, please check our Privacy and Cookie Policy. Please note that you can change your cookie opt-ins at any time via your browser settings.

Privacy – en cookieverklaring