Closed rickdenhaan closed 4 months ago
floort
commented
5 months ago Als groot voorstander van duidelijke richtlijnen over de AVG denk ik toch dat het handig is om de BIO als baseline te blijven hanteren zonder daarbij in te gaan op specifieke eisen voor specifieke (maar ook veelvoorkomende) soorten gegevens.
Aethedor
commented
5 months ago Informatiebeveiliging en gegevensbescherming hebben overlap, maar zijn toch echt verschillend. De AVG in de BIO2 behandelen lijkt me dus geen goed idee.
dvebzk
commented
4 months ago De BIO omvat geen specifieke privacyeisen omdat dit buiten het aandachtsgebied valt.
Wel kan BIO 2.0 gekoppeld worden aan een privacy managementsysteem door ISO 27701 toe te passen als aanvulling op ISO 27001. Hierdoor kunnen zowel informatiebeveiliging als privacy-eisen geïntegreerd beheerd worden.
De BIO 1.0 is een verdieping van ISO27002.
Is het een idee om aan BIO 2.0 daarnaast ook concrete maatregelen toe te voegen die ingaan op verplichtingen vanuit de AVG?
De AVG wordt vaak gezien als niets meer dan een privacyrichtlijn, maar dat is eigenlijk te kort door de bocht. Het is de "algemene verordening gegevensbescherming", of de "General Data Protection Regulation". Hoewel er een focus ligt op het beschermen van persoonsgegevens, is in de basis "gegevensbescherming" gewoon een ander woord voor "informatiebeveiliging".
Zaken als "houd bij welke gegevens je verwerkt, met welk doel en waarom je dat mag" (verwerkingsregister), of "zorg dat je omschreven hebt wanneer gegevens hun waarde verliezen en verwijderd of gearchiveerd moeten worden" (bewaartermijn i.c.m. Archiefwet), of "bied de eigenaar van de gegevens de mogelijkheid om te controleren of alles wel klopt" (recht tot inzage en correctie) zijn vrij eenvoudig door te trekken van alleen "persoonsgegevens" naar "gevoelige gegevens" in het algemeen en zouden (vind ik) ook als basisprincipe moeten gelden voor gegevens die onder de VIR-BI gerubriceerd zijn.