AVG-serie: beveiliging

21 April 2017

Het dagelijks gemak dat smart technology kan brengen, wordt door steeds meer organisaties en personen ingezien. Men lijkt zich echter niet altijd bewust te zijn van de beveiligingsrisico’s die smart technology met zich meebrengt ten aanzien van de bescherming van persoonsgegevens.

Een voorbeeld betreft een “slimme” knuffelbeer die via de bijbehorende app de naam, de geboortedatum en het geslacht van het kind lekte. Dit datalek leek op het oog wellicht onschuldig, maar maakte het voor kwaadwillenden zeer eenvoudig om aan de hand van de gelekte data gedetailleerde valse e-mails op te stellen en inloggegevens van ouders te achterhalen (aangezien daarvoor vaak de naam of geboortedatum van het kind wordt gebruikt).

Dergelijke beveiligingsincidenten maken het belang van waarborgen ten aanzien van de beveiliging van de verwerking van persoonsgegevens duidelijk. De Wet bescherming persoonsgegevens (‘Wbp’) voorziet momenteel in een ‘open’ norm voor deze beveiliging. In de Algemene Verordening Gegevensbescherming (‘AVG’) wordt deze norm aan de hand van voorbeelden iets geconcretiseerd. In dit deel van de AVG-serie zal op deze beveiligingsnorm worden ingegaan.

Wbp

Voor organisaties geldt de verplichting tot het treffen van passende technische en organisatorische maatregelen om een op het risico van de verwerking afgestemd beveiligingsniveau te waarborgen bij de verwerking van persoonsgegevens. Bij het afstemmen van het beveiligingsniveau op het risico van de verwerking, dient rekening te worden gehouden met de beschikbare technologie en de uitvoeringskosten, evenals met de aard, context, omvang en doeleinden van de verwerking.

De Autoriteit Persoonsgegevens, die onder andere als taak heeft het verschaffen van helderheid aan organisaties over de uitleg van wettelijke normen, heeft beleidsregels opgesteld ten aanzien van deze open beveiligingsnorm. Desondanks blijft toepassing van deze norm in de praktijk lastig.

AVG

De AVG geeft een iets concretere invulling aan passende technische en organisatorische maatregelen: pseudonimisering of versleuteling van persoonsgegevens, het vermogen van een organisatie om op permanente basis de geschiktheid van verwerkingssystemen te garanderen, het vermogen tot tijdig herstel in geval van een incident en een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de beveiligingsmaatregelen.

Welke technische en organisatorische maatregelen ‘passend’ worden geacht, is afhankelijk van de verwerking. Bij het vaststellen van de passende maatregelen speelt onder andere mee of gevoelige gegevens zoals bijzondere persoonsgegevens worden verwerkt. Ook in het kader van de AVG zullen voor de praktijk beleidsregels moeten worden opgesteld.

Op het moment van het ontwerpen en inrichten van een verwerkingssysteem dient al rekening te worden gehouden met huidige en toekomstige beveiligingsrisico’s en de daarvoor te treffen passende maatregelen (“privacy by design” en “privacy by default”).

Wanneer de passende technische en organisatorische maatregelen eenmaal zijn vastgesteld en geïmplementeerd, is een organisatie er overigens nog niet. De passendheid van maatregelen is immers onder andere afhankelijk gesteld van de beschikbare technologie. Het komt dus voor dat de eens passende maatregelen vanaf een bepaald moment, wegens technologische ontwikkelingen, niet langer passend zijn. In dat geval zullen snel en eenvoudig nieuwe en/of aanvullende beveiligingsmaatregelen moeten worden getroffen.

De AVG verlangt van een organisatie dus anticipatie, evaluatie en flexibiliteit gedurende de gehele levensduur van een verwerkingssysteem.

Gedragscodes en certificering (NEN-ISO)

Gebruikmaking van sectorspecifieke gedragscodes, certificering (zoals ISO 27001), beveiligingsnormen en -standaarden kan behulpzaam zijn bij het vaststellen en treffen van passende technische en organisatorische maatregelen. Door de Autoriteit Persoonsgegevens goedgekeurde gedragscodes en certificering kunnen bij gebruikmaking daarvan bovendien behulpzaam zijn bij het aantonen dat voldaan is aan de beveiligingsverplichting.

Verwerker

Wanneer een organisatie voor de verwerking van persoonsgegevens gebruik maakt van de diensten van een verwerker, verplicht de AVG de organisatie tot samenwerking met een verwerker die afdoende garanties biedt ten aanzien van de toepassing van passende technische en organisatorische maatregelen. Een organisatie wordt in dergelijke situaties door de AVG aangemerkt als verantwoordelijke voor de verwerking (‘verwerkingsverantwoordelijke’) en de afspraken met een verwerker moeten schriftelijk worden vastgelegd in een verwerkersovereenkomst (onder de Wbp ‘bewerkersovereenkomst’). Op grond van de AVG moeten in een verwerkersovereenkomst meer onderwerpen worden geregeld dan nu het geval is op grond van de Wbp.

Wat betekent dit voor uw organisatie?

Als organisatie maakt u zeer waarschijnlijk gebruik van systemen waarin persoonsgegevens verwerkt worden. Denk bijvoorbeeld alleen al aan uw personeelsregistratie. De beveiligingsverplichting is bijgevolg op uw organisatie van toepassing. De AVG geeft u enkele handvatten voor de te treffen technische en organisatorische maatregelen. U dient echter na te gaan welke van deze technische en organisatorische maatregelen passend zijn voor de verwerking van persoonsgegevens binnen uw bedrijfsvoering. Graag zijn wij u, eventueel samen met onze partners, van dienst bij het concretiseren van de abstracte beveiligingsnorm.

Meer informatie?

Wilt u meer weten over uw beveiligingsverplichting onder de AVG? Wilt u de afspraken met betrekking tot de verwerking van persoonsgegevens door verwerkers onder uw verantwoordelijkheid schriftelijk vastleggen? Of heeft u andere vragen over de AVG?

Neem dan contact op met Huub de Jong of Tom de Wit.

Eerdere berichten

Louwers IP|Technology Advocaten: leading firm Louwers IP|Technology Advocaten is weer geranked in de editie 2023 van The Legal 500 als “leading firm” voo.. Lees meer
Pieter de Laat keert terug bij Louwers Op 1 november 2022 keert onze oud-medewerker Pieter de Laat terug bij Louwers IP|Technology Advocaten. Pieter beschikt o.. Lees meer
Juridische aspecten en meerwaarde van data – terug te kijken op YouTube Op vrijdag 18 februari 2022 nam IP- en techadvocaat Ernst-Jan Louwers als expert deel aan een online “Tafelgesprek” .. Lees meer
Jaarupdate Data Privacy 2021 De Algemene Verordening Gegevensbescherming vierde in 2021 alweer haar derde verjaardag. Privacy is dan ook een onderwer.. Lees meer
15 jaar Louwers IP|Technology Advocaten! Op 1 december 2006 is Louwers IP|Technology Advocaten opgericht. Ons 10-jarig bestaan vierden wij uitbundig met een brui.. Lees meer
Geheimhoudingsovereenkomsten (NDA): belang en looptijd Als (bedrijfs)jurist krijg je er vroeg of laat mee te maken: geheimhoudingsovereenkomsten oftewel Non-Disclosure Agreem.. Lees meer