Ga naar inhoud

Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen

avg-12OrganisatieverantwoordelijkhedenJuristOntwikkelaarPrivacy en gegevensbeschermingTechnische robuustheid en veiligheid

Vereiste

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

Toelichting

Voor de ontwikkeling en gebruik van algoritmes is data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en het algoritme voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.

Bronnen

Artikel 32 Algemene Verordening Gegevensbescherming|

Van toepassing op

Deze vereiste geldt waarschijnlijk voor jouw algoritmische toepassingen. Bekijk de bronnen om te controleren of dit zo is.

Risico

Er kunnen risico's ontstaan zoals potentiële cyberaanvallen en datalekken. Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking.

Maatregelen

idMaatregelen
owp-15Bespreek de vereisten die gelden voor een verantwoorde inzet van algoritmes met aanbieders
owp-16Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst
owp-21Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te realiseren
owp-23Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
owp-27Maak vereisten onderdeel van het programma van eisen bij een aanbesteding
owp-28Maak vereisten voor algoritmes onderdeel van de Service Level Agreement
owp-34Voorkom kwetsbaarheden die geïntroduceerd worden in de supply-chain van het algoritme
dat-04Bescherm persoonsgegevens door data te anonimiseren, pseudonimiseren of te aggregeren
dat-10Controleer de data op manipulatie en ongewenste afhankelijkheden
dat-11Controleer de input van gebruikers op misleiding
owk-01Ontwerp en ontwikkel het algoritme volgens de principes van ‘security by design’
owk-09Ontwerp en train het algoritme om bestand te zijn tegen (cyber)aanvallen
owk-10Zorg dat (gevoelige) informatie niet kan lekken op basis van de output van het algoritme
mon-02Beveilig de software
mon-03Maak een noodplan voor beveiligingsincidenten
mon-08Controleer regelmatig of een algoritme voldoende weerbaar is tegen bekende aanvallen