Question 1

Wanneer is het toetsingskader uit het framework voldoende en wanneer geldt de wet?

Leo Bakker · Accepted Answer

De wet vraagt aan elke organisatie die persoonsgegevens verwerkt om “passende technische en organisatorische maatregelen” te treffen.

Het is aan de organisatie om invulling te geven aan wat “passend” is. “Passend” verwijst naar een relatie tussen de beveiliging en hetgeen wordt beveiligd. Door te inventariseren welke gegevens en systemen gebruikt worden en aan welke bedreigingen deze worden blootgesteld (een zogenaamde risicoanalyse) kan een organisatie deze relatie expliciet maken.

Concreet betekent dit dat een instelling die gebruik maakt van het framework IBP in het mbo als uitgangspunt hanteert dat niveau twee van alle maatregelen de basis is. De instelling moet zelf, op basis van bijvoorbeeld een risicoanalyse of incidenten, regelmatig evalueren of niveau twee afdoende is. Het kan heel goed zijn, bijvoorbeeld bij het verwerken van bijzondere persoonsgegevens, dat een instelling niveau drie of hoger ambieert.

“Passend” heeft in de praktijk ook een relatie met de tijd. Je kan niet van de ene op de andere dag alle maatregelen hebben geïmplementeerd. Dus je moet keuzes maken. Ook dit kun je doen op basis van de risicoanalyse: de maatregelen die gekoppeld zijn aan de grootste risico’s implementeer je eerst.

Het framework IBP in het mbo ondersteunt dit met een continu verbeterproces. In 2017 implementeer je een aantal maatregelen die dan het meest belangrijk zijn. In 2018 kies je weer een nieuwe set aan maatregelen die daarna de focus verdienen. Kijk niet één keer per jaar naar de lijst met te implementeren maatregelen. Zorg ervoor dat nieuwe ontwikkelingen, incidenten en inzichten maatregelen kunnen toevoegen of wijzigen. Op die manier zorg je dat je op elk gegeven moment “passend” bezig bent.

Wat nu als leveranciers niet mee willen werken?

Als instelling ben je niet alleen zelf met persoonsgegevens bezig, maar je hebt ook leveranciers van systemen waarin persoonsgegevens staan of zelfs externe partijen wiens taak het is om voor jou persoonsgegevens te verwerken zoals de salarisadministratie. De wet schrijft voor dat je dan als verantwoordelijke moet zorgen dat ook zij “passende technische en organisatorische maatregelen” treffen.

Dit kan bijvoorbeeld door het afsluiten van een verwerkersovereenkomst waarin je dit duidelijk afspreekt. Uiteindelijk zal je dus met al deze partijen, die voor jou persoonsgegevens verwerken, verwerkersovereenkomsten moeten afsluiten. Ook dat zal je niet in één dag lukken. Dus daar geldt eigenlijk hetgeen hierboven al staat: maak een geprioriteerde lijst van al je leveranciers en werk deze stelselmatig af. Hiermee toon je aan dat je het voor jouw instelling inzichtelijk en onder controle hebt en dat je binnen een redelijke termijn alles hebt geregeld.

Question 2

Wanneer is het toetsingskader uit het framework voldoende en wanneer geldt de wet?

Leo Bakker · Accepted Answer

De wet vraagt aan elke organisatie die persoonsgegevens verwerkt om “passende technische en organisatorische maatregelen” te treffen.

Het is aan de organisatie om invulling te geven aan wat “passend” is. “Passend” verwijst naar een relatie tussen de beveiliging en hetgeen wordt beveiligd. Door te inventariseren welke gegevens en systemen gebruikt worden en aan welke bedreigingen deze worden blootgesteld (een zogenaamde risicoanalyse) kan een organisatie deze relatie expliciet maken.

Concreet betekent dit dat een instelling die gebruik maakt van het framework IBP in het mbo als uitgangspunt hanteert dat niveau twee van alle maatregelen de basis is. De instelling moet zelf, op basis van bijvoorbeeld een risicoanalyse of incidenten, regelmatig evalueren of niveau twee afdoende is. Het kan heel goed zijn, bijvoorbeeld bij het verwerken van bijzondere persoonsgegevens, dat een instelling niveau drie of hoger ambieert.

“Passend” heeft in de praktijk ook een relatie met de tijd. Je kan niet van de ene op de andere dag alle maatregelen hebben geïmplementeerd. Dus je moet keuzes maken. Ook dit kun je doen op basis van de risicoanalyse: de maatregelen die gekoppeld zijn aan de grootste risico’s implementeer je eerst.

Het framework IBP in het mbo ondersteunt dit met een continu verbeterproces. In 2017 implementeer je een aantal maatregelen die dan het meest belangrijk zijn. In 2018 kies je weer een nieuwe set aan maatregelen die daarna de focus verdienen. Kijk niet één keer per jaar naar de lijst met te implementeren maatregelen. Zorg ervoor dat nieuwe ontwikkelingen, incidenten en inzichten maatregelen kunnen toevoegen of wijzigen. Op die manier zorg je dat je op elk gegeven moment “passend” bezig bent.

Wat nu als leveranciers niet mee willen werken?

Als instelling ben je niet alleen zelf met persoonsgegevens bezig, maar je hebt ook leveranciers van systemen waarin persoonsgegevens staan of zelfs externe partijen wiens taak het is om voor jou persoonsgegevens te verwerken zoals de salarisadministratie. De wet schrijft voor dat je dan als verantwoordelijke moet zorgen dat ook zij “passende technische en organisatorische maatregelen” treffen.

Dit kan bijvoorbeeld door het afsluiten van een verwerkersovereenkomst waarin je dit duidelijk afspreekt. Uiteindelijk zal je dus met al deze partijen, die voor jou persoonsgegevens verwerken, verwerkersovereenkomsten moeten afsluiten. Ook dat zal je niet in één dag lukken. Dus daar geldt eigenlijk hetgeen hierboven al staat: maak een geprioriteerde lijst van al je leveranciers en werk deze stelselmatig af. Hiermee toon je aan dat je het voor jouw instelling inzichtelijk en onder controle hebt en dat je binnen een redelijke termijn alles hebt geregeld.