Moet een verwerker zich aan de BIO houden?

Een leverancier kan een eigen normenkader hanteren zolang de overheid maar in staat blijft om aan de BIG/BIO te voldoen. De BIO kent verschillende beveiligingsniveaus. Afhankelijk van de vorm van de verwerking verschillen de beveiligingsmaatregelen die passend zullen zijn. In dat kader verwijzen wij ook nog naar artikel 32 lid 2 AVG die het voorgaande bevestigt. In artikel 32 lid 1 AVG wordt o.a. aangegeven dat de verwerker passende technische en organisatorische maatregelen treft afhankelijk van de aard, de omvang, de context en de verwerkingsdoeleinden en de risico’s voor de rechten en vrijheden van personen. De bijlagen bij de standaard VWO bieden voldoende ruimte om de beveiligingseisen aan te passen aan het soort verwerking en de risico´s die daarbij horen. Overigens is het advies van de landsadvocaat om de beschrijving van deze maatregelen zo algemeen mogelijk te houden om als verwerkingsverantwoordelijke sterker te staan als het een keer fout gaat. Verwerker heeft namelijk vanuit de AVG de plicht om te zorgen dat zijn beveiligingsmaatregelen te allen tijde actueel en passend zijn.