AVG-serie: beveiliging

Het dagelijks gemak dat smart technology kan brengen, wordt door steeds meer organisaties en personen ingezien. Men lijkt zich echter niet altijd bewust te zijn van de beveiligingsrisico’s die smart technology met zich meebrengt ten aanzien van de bescherming van persoonsgegevens.

Een voorbeeld betreft een “slimme” knuffelbeer die via de bijbehorende app de naam, de geboortedatum en het geslacht van het kind lekte. Dit datalek leek op het oog wellicht onschuldig, maar maakte het voor kwaadwillenden zeer eenvoudig om aan de hand van de gelekte data gedetailleerde valse e-mails op te stellen en inloggegevens van ouders te achterhalen (aangezien daarvoor vaak de naam of geboortedatum van het kind wordt gebruikt).

Dergelijke beveiligingsincidenten maken het belang van waarborgen ten aanzien van de beveiliging van de verwerking van persoonsgegevens duidelijk. De Wet bescherming persoonsgegevens (‘Wbp’) voorziet momenteel in een ‘open’ norm voor deze beveiliging. In de Algemene verordening gegevensbescherming (‘AVG’) wordt deze norm aan de hand van voorbeelden iets geconcretiseerd. In dit deel van de AVG-serie zal op deze beveiligingsnorm worden ingegaan.

Wbp

Voor organisaties geldt de verplichting tot het treffen van passende technische en organisatorische maatregelen om een op het risico van de verwerking afgestemd beveiligingsniveau te waarborgen bij de verwerking van persoonsgegevens. Bij het afstemmen van het beveiligingsniveau op het risico van de verwerking, dient rekening te worden gehouden met de beschikbare technologie en de uitvoeringskosten, evenals met de aard, context, omvang en doeleinden van de verwerking.

De Autoriteit Persoonsgegevens, die onder andere als taak heeft het verschaffen van helderheid aan organisaties over de uitleg van wettelijke normen, heeft beleidsregels opgesteld ten aanzien van deze open beveiligingsnorm. Desondanks blijft toepassing van deze norm in de praktijk lastig.

AVG

De AVG geeft een iets concretere invulling aan passende technische en organisatorische maatregelen: pseudonimisering of versleuteling van persoonsgegevens, het vermogen van een organisatie om op permanente basis de geschiktheid van verwerkingssystemen te garanderen, het vermogen tot tijdig herstel in geval van een incident en een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de beveiligingsmaatregelen.

Welke technische en organisatorische maatregelen ‘passend’ worden geacht, is afhankelijk van de verwerking. Bij het vaststellen van de passende maatregelen speelt onder andere mee of gevoelige gegevens zoals bijzondere persoonsgegevens worden verwerkt. Ook in het kader van de AVG zullen voor de praktijk beleidsregels moeten worden opgesteld.

Op het moment van het ontwerpen en inrichten van een verwerkingssysteem dient al rekening te worden gehouden met huidige en toekomstige beveiligingsrisico’s en de daarvoor te treffen passende maatregelen (“privacy by design” en “privacy by default”).

Wanneer de passende technische en organisatorische maatregelen eenmaal zijn vastgesteld en geïmplementeerd, is een organisatie er overigens nog niet. De passendheid van maatregelen is immers onder andere afhankelijk gesteld van de beschikbare technologie. Het komt dus voor dat de eens passende maatregelen vanaf een bepaald moment, wegens technologische ontwikkelingen, niet langer passend zijn. In dat geval zullen snel en eenvoudig nieuwe en/of aanvullende beveiligingsmaatregelen moeten worden getroffen.

De AVG verlangt van een organisatie dus anticipatie, evaluatie en flexibiliteit gedurende de gehele levensduur van een verwerkingssysteem.

Gedragscodes en certificering (NEN-ISO)

Gebruikmaking van sectorspecifieke gedragscodes, certificering (zoals ISO 27001), beveiligingsnormen en -standaarden kan behulpzaam zijn bij het vaststellen en treffen van passende technische en organisatorische maatregelen. Door de Autoriteit Persoonsgegevens goedgekeurde gedragscodes en certificering kunnen bij gebruikmaking daarvan bovendien behulpzaam zijn bij het aantonen dat voldaan is aan de beveiligingsverplichting.

Verwerker

Wanneer een organisatie voor de verwerking van persoonsgegevens gebruik maakt van de diensten van een verwerker, verplicht de AVG de organisatie tot samenwerking met een verwerker die afdoende garanties biedt ten aanzien van de toepassing van passende technische en organisatorische maatregelen. Een organisatie wordt in dergelijke situaties door de AVG aangemerkt als verantwoordelijke voor de verwerking en de afspraken met een verwerker moeten schriftelijk worden vastgelegd in een bewerkersovereenkomst. Op grond van de AVG moeten in een bewerkersovereenkomst meer onderwerpen worden geregeld dan nu het geval is op grond van de Wbp (waarover later meer).

Wat betekent dit voor uw organisatie?

Als organisatie maakt u zeer waarschijnlijk gebruik van systemen waarin persoonsgegevens verwerkt worden. Denk bijvoorbeeld alleen al aan uw personeelsregistratie. De beveiligingsverplichting is bijgevolg op uw organisatie van toepassing. De AVG geeft u enkele handvatten voor de te treffen technische en organisatorische maatregelen. U dient echter na te gaan welke van deze technische en organisatorische maatregelen passend zijn voor de verwerking van persoonsgegevens binnen uw bedrijfsvoering. Graag zijn wij u, eventueel samen met onze partners, van dienst bij het concretiseren van de abstracte beveiligingsnorm.

Meer informatie?

Wilt u meer weten over uw beveiligingsverplichting onder de AVG? Wilt u de afspraken met betrekking tot de verwerking van persoonsgegevens door verwerkers onder uw verantwoordelijkheid schriftelijk vastleggen? Of heeft u andere vragen over de AVG?

Neem dan contact op met Huub de Jong of Tom de Wit.