Beveiliging van de verwerking

avg-12OrganisatieverantwoordelijkhedenPrivacy en gegevensbeschermingTechnische robuustheid en veiligheid

Vereiste¶

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

Toelichting¶

Voor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.

Bronnen¶

Artikel 32 Algemene Verordening Gegevensbescherming|

Wanneer van toepassing?¶

Risico¶

Er kunnen risico's ontstaan zoals potentiële cyberaanvallen en datalekken. Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking.

Maatregelen¶

Maatregelen	Rollen	Levenscyclus	Onderwerpen
Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.	proceseigenaar aanbieder data-scientist data-engineer security-officer privacy-officer	ontwerp dataverkenning-en-datapreparatie ontwikkelen	privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid
Bespreek de vereiste met aanbieder of opdrachtnemer	proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer	ontwerp ontwikkelen	publieke-inkoop
Zorg voor een goede beveiliging van een algoritme.	projectleider informatiebeheerder security-officer privacy-officer	ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer	technische-robuustheid-en-veiligheid governance
Creëer ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.	proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten	projectleider informatiebeheerder security-officer proceseigenaar	organisatieverantwoordelijkheden	technische-robuustheid-en-veiligheid governance
Maak de vereiste onderdeel van het programma van eisen	proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
Maak de vereiste onderdeel van de contractovereenkomst	behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
Maak de vereiste onderdeel van Service Level Agreement	proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder	ontwerp ontwikkelen	publieke-inkoop
Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden	proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
Pas het principe van security by design toe	projectleider informatiebeheerder security-officer	ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer	technische-robuustheid-en-veiligheid governance transparantie menselijke-controle
Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst	proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop