Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen

avg-12OrganisatieverantwoordelijkhedenJuristOntwikkelaarPrivacy en gegevensbeschermingTechnische robuustheid en veiligheid

Vereiste

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

Toelichting

Voor de ontwikkeling en gebruik van algoritmes is data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en het algoritme voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.

Bronnen

Artikel 32 Algemene Verordening Gegevensbescherming|

Van toepassing op

Deze vereiste geldt waarschijnlijk voor jouw algoritmische toepassingen. Bekijk de bronnen om te controleren of dit zo is.

Risico

Er kunnen risico's ontstaan zoals potentiële cyberaanvallen en datalekken. Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking.

Maatregelen

id	Maatregelen
owp-15	Bespreek de vereisten die gelden voor een verantwoorde inzet van algoritmes met aanbieders
owp-16	Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst
owp-21	Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te realiseren
owp-23	Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
owp-27	Maak vereisten onderdeel van het programma van eisen bij een aanbesteding
owp-28	Maak vereisten voor algoritmes onderdeel van de Service Level Agreement
owp-34	Voorkom kwetsbaarheden die geïntroduceerd worden in de supply-chain van het algoritme
dat-04	Bescherm persoonsgegevens door data te anonimiseren, pseudonimiseren of te aggregeren
dat-10	Controleer de data op manipulatie en ongewenste afhankelijkheden
dat-11	Controleer de input van gebruikers op misleiding
owk-01	Ontwerp en ontwikkel het algoritme volgens de principes van ‘security by design’
owk-09	Ontwerp en train het algoritme om bestand te zijn tegen (cyber)aanvallen
owk-10	Zorg dat (gevoelige) informatie niet kan lekken op basis van de output van het algoritme
mon-02	Beveilig de software
mon-03	Maak een noodplan voor beveiligingsincidenten
mon-08	Controleer regelmatig of een algoritme voldoende weerbaar is tegen bekende aanvallen