Beveiliging van de verwerking
Dataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenPrivacy en gegevensbeschermingData
Vereiste¶
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Toelichting¶
Voor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.
Bronnen¶
| Bron |
|---|
| Artikel 32 Algemene Verordening Gegevensbescherming |
Wanneer van toepassing?¶
| niet-impactvol | impactvol |
|---|---|
| niet-impactvol | impactvol | hoog-risico-ai |
|---|---|---|
| niet-impactvol | impactvol | hoog-risico-ai |
|---|---|---|
Risico¶
Er kunnen risico's ontstaan zoals potentiële cyberaanvallen en datalekken. Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking.
Maatregelen¶
| Maatregel | Uitleg |
|---|---|
| Stel een autorisatiematrix op | Uitsluitend bevoegde personen mogen de data verwerken en mogen werken aan de ontwikkeling van de algoritmes en AI-systemen. Maak hierover afspraken met de aanbieder. |
| Bespreek de vereiste met aanbieder of opdrachtnemer | Ga met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste. |
| Pas maatregelen toe om (persoons)gegevens te beschermen | Pas maatregelen toe als dataminimalisatie, pseudonimisering, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de (trainings)data. |
| Maak de vereiste onderdeel van het programma van eisen | Door de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen. |
| Maak de vereiste onderdeel van contractvoorwaarden | Door de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen. |
| Maak de vereiste onderdeel van de contractovereenkomst | Door de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar. |
| Maak de vereiste onderdeel van Service Level Agreement | Onderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening. |
| Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst | Het is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. |
| Maatregel | Uitleg |
|---|
| Maatregel | Uitleg |
|---|---|
| Bespreek de vereiste met aanbieder of opdrachtnemer | Ga met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste. |
| Maak de vereiste onderdeel van het programma van eisen | Door de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen. |
| Maak de vereiste onderdeel van contractvoorwaarden | Door de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen. |
| Maak de vereiste onderdeel van de contractovereenkomst | Door de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar. |
| Maak de vereiste onderdeel van Service Level Agreement | Onderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening. |
| Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst | Het is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. |