Ga naar inhoud

Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen.

avg-12OrganisatieverantwoordelijkhedenJuristOntwikkelaarPrivacy en gegevensbeschermingTechnische robuustheid en veiligheid

Vereiste

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

Toelichting

Voor de ontwikkeling en gebruik van algoritmes is data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en het algoritme voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.

Bronnen

Artikel 32 Algemene Verordening Gegevensbescherming|

Wanneer van toepassing?

Risico

Er kunnen risico's ontstaan zoals potentiële cyberaanvallen en datalekken. Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking.

Maatregelen

idMaatregelen
owp-15Bespreek de vereisten die gelden voor een verantwoorde inzet van algoritmes met aanbieders.
owp-16Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst.
owp-22Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te realiseren
owp-24Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
owp-28Maak vereisten onderdeel van het programma van eisen bij een aanbesteding
owp-29Maak vereisten voor algoritmes onderdeel van de Service Level Agreement
owp-36Voorkom kwetsbaarheden die geïntroduceerd worden in de supply-chain van het algoritme.
dat-04Bescherm persoonsgegevens door data te anonimiseren, pseudonimiseren of te aggregeren
dat-11Controleer de data op manipulatie en ongewenste afhankelijkheden
dat-12Controleer de input van gebruikers op misleiding
owk-01Ontwerp en ontwikkel het algoritme volgens de principes van ‘security by design’
owk-09Ontwerp en train het algoritme om bestand te zijn tegen (cyber)aanvallen
owk-09Zorg dat er (gevoelige) informatie niet kan lekken op basis van de output van het algoritme.
mon-02Beveilig de software
mon-03Maak een noodplan voor beveiligingsincidenten
mon-08Controleer regelmatig of een algoritme voldoende weerbaar is tegen bekende aanvallen.