1.15 Beleid m.b.t. technische ICT-maatregelen

"Passende technische maatregelen"

Art 28 lid 1 AVG:

“Wanneer een verwerking namens een vv wordt verricht, doet de vv uitsluitend een beroep op v’ s die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.

Check-Privacy adviseert organisaties, (zowel VV's als V's), om ISO 27001 of een NEN-7510 (voor overheden) gecertificeerd te zijn. Deze  normen dekken de internationale eisen over beveiliging van ICT-systemen.

Alternatief is om een aantal geselecteerde maatregelen uit die normen te implementeren. Een goede selectie is dan essentieel.

Voor VV's is het van belang om voldoende aandacht te besteden aan het  technische Privacy- en Security-beleid van hun V's. Het alleen ondertekenen van een vovk is onvoldoende. 

Voorbeeldtekst voor in het Handboek:

Het beleid van de Directie m.b.t. het nemen van technische ICT-maatregelen is:

1. dat voor XXX relevante technische maatregelen worden doorgevoerd, als in hoofdstuk 3,
2. dat deze maatregelen jaarlijks worden geëvalueerd.

Het beleid van de Directie m.b.t.  technische ICT-maatregelen bij een externe V is:

1. dat iedere ICT leverancier (V) van XXX bij voorkeur een geldende ISO certificering dient te bezitten,
2. dat, bij het ontbreken van een ISO certificering, in verwerkers- overeenkomst of in een bijlage (addendum) van de bestaande overeenkomst vastgelegd wordt welke maatregelen moeten of behoren te zijn genomen,
3. dat op specifieke aspecten van nader te bepalen onderwerpen uit de ISO certificering, die niet zijn geïmplementeerd bij de externe V, door XXX een (beperkte) risico-inschatting wordt uitgevoerd.