1.16 Beleid m.b.t. technische ICT-maatregelen

"Passende technische maatregelen"

Art 28 lid 1 AVG:

“Wanneer een verwerking namens een vv wordt verricht, doet de vv uitsluitend een beroep op v’ s die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.

Check-Privacy adviseert organisaties, (zowel VV's als V's), om ISO 27001 of een NEN-7510 (voor overheden) gecertificeerd te zijn. Deze  normen dekken de internationale eisen over beveiliging van ICT-systemen.

Alternatief is om een aantal geselecteerde maatregelen uit die normen te implementeren. Een goede selectie is dan essentieel.

Voor VV's is het van belang om voldoende aandacht te besteden aan het  technische Privacy- en Security-beleid van hun V's. Het alleen ondertekenen van een vovk is onvoldoende. 

Voorbeeldtekst voor in het Handboek:

Het beleid van Check-Privacy m.b.t. de eigen organisatie is:

1. dat relevante ISO-maatregelen worden doorgevoerd. In hoofdstuk 3 zijn deze maatregelen vastgelegd,
2. dat deze maatregelen jaarlijks worden geëvalueerd door een onafhankelijke adviseur.

Het beleid van Check-Privacy m.b.t. maatregelen bij een V van een VV is:

1. ICT-leveranciers (V's) dienen ISO 207001 (of gelijkwaardig) gecertificeerd te zijn, 
2. indien dit niet zo is, zal in de Vovk in een bijlage (addendum) van de bestaande overeenkomst vastgelegd welke specifieke beveiligingsmaatregelen moeten zijn genomen,
3. op aspecten van niet-geselecteerde maatregelen wordt een risico-analyse uitgevoerd.