Meer
Navigatie
HOOFDSTUK I Algemene bepalingen (1-4)
Artikel 1. Onderwerp en doelstellingenArtikel 2. Materieel toepassingsgebiedArtikel 3. Territoriaal toepassingsgebiedArtikel 4. Definities
HOOFDSTUK II Beginselen (5-11)
Artikel 5. Beginselen inzake verwerking van persoonsgegevensArtikel 6. Rechtmatigheid van de verwerkingArtikel 7. Voorwaarden voor toestemmingArtikel 8. Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappijArtikel 9. Verwerking van bijzondere categorieën van persoonsgegevensArtikel 10. Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feitenArtikel 11. Verwerking waarvoor identificatie niet is vereist
HOOFDSTUK III Rechten van de betrokkene (12-23)
Artikel 12. Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkeneArtikel 13. Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameldArtikel 14. Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregenArtikel 15. Recht van inzage van de betrokkeneArtikel 16. Recht op rectificatieArtikel 17. Recht op gegevenswissing („recht op vergetelheid”)Artikel 18. Recht op beperking van de verwerkingArtikel 19. Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperkingArtikel 20. Recht op overdraagbaarheid van gegevensArtikel 21. Recht van bezwaarArtikel 22. Geautomatiseerde individuele besluitvorming, waaronder profileringArtikel 23. Beperkingen
HOOFDSTUK IV Verwerkingsverantwoordelijke en verwerker (24-43)
Artikel 24. Onderwerp en doelstellingenArtikel 25. Gegevensbescherming door ontwerp en door standaardinstellingenArtikel 26. Gezamenlijke verwerkingsverantwoordelijkenArtikel 27. Vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkersArtikel 28. VerwerkerArtikel 29. Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerkerArtikel 30. Register van de verwerkingsactiviteitenArtikel 31. Medewerking met de toezichthoudende autoriteit
Artikel 32. Beveiliging van de verwerking
Artikel 33. Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteitArtikel 34. Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkeneArtikel 35. GegevensbeschermingseffectbeoordelingArtikel 36. Voorafgaande raadplegingArtikel 37. Aanwijzing van de functionaris voor gegevensbeschermingArtikel 38. Positie van de functionaris voor gegevensbeschermingArtikel 39. Taken van de functionaris voor gegevensbeschermingArtikel 40. GedragscodesArtikel 41. Toezicht op goedgekeurde gedragscodesArtikel 42. CertificeringArtikel 43. Certificeringsorganen
HOOFDSTUK V Doorgiften van persoonsgegevens aan derde landen of internationale organisaties (44-50)
Artikel 44. Algemeen beginsel inzake doorgiftenArtikel 45. Doorgiften op basis van adequaatheidsbesluitenArtikel 46. Doorgiften op basis van passende waarborgenArtikel 47. Bindende bedrijfsvoorschriftenArtikel 48. Niet bij Unierecht toegestane doorgiften of verstrekkingenArtikel 49. Afwijkingen voor specifieke situatiesArtikel 50. Internationale samenwerking voor de bescherming van persoonsgegevens
HOOFDSTUK VI Onafhankelijke toezichthoudende autoriteiten (51-59)
Artikel 51. Toezichthoudende autoriteitArtikel 52. OnafhankelijkheidArtikel 53. Algemene voorwaarden voor de leden van de toezichthoudende autoriteitArtikel 54. Regels inzake de oprichting van de toezichthoudende autoriteitArtikel 55. CompetentieArtikel 56. Competentie van de leidende toezichthoudende autoriteitArtikel 57. TakenArtikel 58. BevoegdhedenArtikel 59. Activiteitenverslagen
HOOFDSTUK VII Samenwerking en coherentie (60-70)
Artikel 60. Samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteitenArtikel 61. Wederzijdse bijstandArtikel 62. Gezamenlijke werkzaamheden van toezichthoudende autoriteitenArtikel 63. CoherentiemechanismeArtikel 64. Advies van het ComitéArtikel 65. Geschillenbeslechting door het ComitéArtikel 66. SpoedprocedureArtikel 67. Uitwisseling van informatieArtikel 68. Europees Comité voor gegevensbeschermingArtikel 69. OnafhankelijkheidArtikel 70. Taken van het ComitéArtikel 71. RapportageArtikel 72. ProcedureArtikel 73. VoorzitterArtikel 74. Taken van de voorzitterArtikel 75. SecretariaatArtikel 76. Vertrouwelijkheid
HOOFDSTUK VIII Beroep, aansprakelijkheid en sancties (77-84)
Artikel 77. Recht om klacht in te dienen bij een toezichthoudende autoriteitArtikel 78. Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteitArtikel 79. Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerkerArtikel 80. Vertegenwoordiging van betrokkenenArtikel 81. Schorsing van de procedureArtikel 82. Recht op schadevergoeding en aansprakelijkheidArtikel 83. Algemene voorwaarden voor het opleggen van administratieve geldboetenArtikel 84. Sancties
HOOFDSTUK IX Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking (85-91)
Artikel 85. Verwerking en vrijheid van meningsuiting en van informatieArtikel 86. Verwerking en recht van toegang van het publiek tot officiële documentenArtikel 87. Verwerking van het nationaal identificatienummerArtikel 88. Verwerking in het kader van de arbeidsverhoudingArtikel 89. Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleindenArtikel 90. GeheimhoudingsplichtArtikel 91. Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen
HOOFDSTUK X Gedelegeerde handelingen en uitvoeringshandelingen (92-93)
Artikel 92. Uitoefening van de bevoegdheidsdelegatieArtikel 93. Comitéprocedure
HOOFDSTUK XI Slotbepalingen (94-95)
Artikel 94. Intrekking van Richtlijn 95/46/EGArtikel 95. Verhouding tot Richtlijn 2002/58/EGArtikel 96. Verhouding tot eerder gesloten overeenkomstenArtikel 97. CommissieverslagenArtikel 98. Toetsing van andere Unierechtshandelingen inzake gegevensbeschermingArtikel 99. Inwerkingtreding en toepassing
AVG (GDPR) > Artikel 32. Beveiliging van de verwerking
Download PDF

Artikel 32 AVG (GDPR). Beveiliging van de verwerking

Article 32 GDPR. Security of processing

1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

Richtlijnen & Case Law Verbindingen
Richtlijnen & Case Law Verbindingen

a) de pseudonimisering en versleuteling van persoonsgegevens;

(a) the pseudonymisation and encryption of personal data;

ISO 27701 Richtlijnen & Case Law
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(1)(a) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).

Implementation guidance

The organization should have mechanisms to erase the PII when no further processing is anticipated.

(EN) […]


to read the full text

Richtlijnen & Case Law

b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 6.1.2.

Here is the relevant paragraphs to article 32(1)(b) GDPR:

5.4.1.2 Information security risk assessment

6.1.2 c) 1) is refined as follows:

The organization shall apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability, within the scope of the PIMS.

(EN) […]


to read the full text

c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 12.3.1.

Here is the relevant paragraphs to article 32(1)(c) GDPR:

6.9.3.1 Information backup

Implementation guidance

The organization should have a policy which addresses the requirements for backup, recovery and restoration of PII (which can be part of an overall information backup policy) and any further requirements (e.g. contractual and/or legal requirements) for the erasure of PII contained in information held for backup requirements.

(EN) […]


to read the full text

d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.

Here is the relevant paragraphs to article 32(1)(d) GDPR:

6.15.2.1 Independent review of information security

Implementation guidance

Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization’s policies and procedures.

(EN) […]


to read the full text

2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

ISO 27701 Overwegingen
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.3.

Here is the relevant paragraphs to article 32(2) GDPR:

5.2.3 Determining the scope of the information security management system

When determining the scope of the PIMS, the organization shall include the processing of PII.

(EN) […]


to read the full text

Overwegingen

(83) Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico's te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico's te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico's dient aandacht te worden besteed aan risico's die zich voordoen bij persoonsgegevensverwerking, zoals de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële schade kan leiden.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.

3. Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.

ISO 27701 Verbindingen
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 32(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

Verbindingen

4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.

4. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(4) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.

(EN) […]


to read the full text

Algemene verordening gegevensbescherming (AVG, GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Overwegingen Richtlijnen & Case Law laat een reactie achter
Overwegingen

(83) Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico's te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico's te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico's dient aandacht te worden besteed aan risico's die zich voordoen bij persoonsgegevensverwerking, zoals de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële schade kan leiden.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

(74) De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.

(74) The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons.

(75) Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personenkan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(76) De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, het toepassingsgebied, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat met een risico of een hoog risico.

(76) The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk.

(77) Richtsnoeren voor de tenuitvoerlegging van passende maatregelen, en om aan te tonen dat de verwerkingsverantwoordelijke of de verwerker de regels naleeft, vooral wat betreft de vaststelling van het risico in verband met de verwerking, de beoordeling van de oorsprong, aard, waarschijnlijkheid en ernst daarvan, en de bepaling van beste praktijken om het risico te verminderen, kunnen met name worden verstrekt door middel van goedgekeurde gedragscodes, goedgekeurde certificeringen, richtsnoeren van het Comité of aanwijzingen van een functionaris voor gegevensbescherming. Het Comité kan tevens richtsnoeren uitvaardigen met betrekking tot verwerkingen die waarschijnlijk niet zullen resulteren in een hoog risico voor de rechten en vrijheden van natuurlijke personen, en aangeven met welke maatregelen in dat geval kan worden volstaan om dat risico aan te pakken.

(77) Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk.

Richtlijnen & Case Law laat een reactie achter
[js-disqus]