Uitgangspunten beveiligingsmaatregelen die noodzakelijk zijn.
Bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens hanteert de Autoriteit Persoonsgegevens als uitgangspunt een aantal beveiligingsmaatregelen die binnen het vakgebied informatiebeveiliging gebruikelijk zijn en die in veel situaties in een of andere vorm noodzakelijk zijn. Het gaat om de volgende maatregelen:
Beleidsdocument voor informatiebeveiliging
Het beleidsdocument gaat expliciet in op de maatregelen die de verantwoordelijke treft om de verwerkte persoonsgegevens te beveiligen. Het document is goedgekeurd op bestuurlijk c.q. leidinggevend niveau en kenbaar gemaakt aan alle werknemers en relevante externe partijen.
Toewijzen van verantwoordelijkheden voor informatiebeveiliging
Alle verantwoordelijkheden, zowel op sturend als op uitvoerend niveau, zijn duidelijk gedefinieerd en belegd.
Beveiligingsbewustzijn
Beveiligingsbewustzijn65 Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met (bijzondere of anderszins gevoelige) persoonsgegevens.
Fysieke beveiliging en beveiliging van apparatuur
IT voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen. De geboden bescherming is in overeenstemming met de vastgestelde risico’s.
Toegangsbeveiliging
Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen. De procedures omvatten alle fasen in de levenscyclus van de gebruikerstoegang, van de eerste registratie van nieuwe gebruikers tot de uiteindelijke afmelding van gebruikers die niet langer toegang tot informatiesystemen en diensten nodig hebben. Waar van toepassing wordt bijzondere aandacht besteed aan het beheren van toegangsrechten van gebruikers met extra ruime bevoegdheden, zoals systeembeheerders.
Logging en controle
Activiteiten die gebruikers uitvoeren met persoonsgegevens worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot verminking of verlies van persoonsgegevens. De logbestanden worden periodiek gecontroleerd op indicaties van onrechtmatige toegang of onrechtmatig gebruik van de persoonsgegevens en waar nodig wordt actie ondernomen. De verantwoordelijke moet er rekening mee houden dat er, als de gegevens in de logbestanden tot personen herleidbaar zijn, sprake is van een verwerking van persoonsgegevens in de zin van de AVG waarop de verplichtingen uit deze wet van toepassing zijn. In dat geval kan er ook sprake zijn van een personeelsvolgsysteem in de zin van artikel 27 lid 1 van de Wet op de ondernemingsraden (WOR), waarvoor instemming van de ondernemingsraad is vereist.
Correcte verwerking in toepassingssystemen
In alle toepassingssystemen, inclusief toepassingen die door gebruikers zelf zijn ontwikkeld, zijn beveiligingsmaatregelen ingebouwd. Tot deze beveiligingsmaatregelen behoort de controle dat de invoer, de interne verwerking en de uitvoer aan vooraf gestelde eisen voldoen (validatie). Voor systemen waarin gevoelige persoonsgegevens worden verwerkt of die invloed hebben op de verwerking van gevoelige persoonsgegevens, kunnen aanvullende beveiligingsmaatregelen nodig zijn.
Beheer van technische kwetsbaarheden
Software, zoals browsers, virusscanners en operating systems, wordt uptodate gehouden. Ook installeert de verantwoordelijke tijdig oplossingen die de leverancier uitbrengt voor beveiligingslekken in deze software. Meer in het algemeen verkrijgt de verantwoordelijke tijdig informatie over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden wordt geëvalueerd en de verantwoordelijke treft geschikte maatregelen getroffen voor de behandeling van de risico’s die daarmee samenhangen.
Incidentenbeheer
Er zijn procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd. Het beoordelen van de risico’s voor de betrokkenen en het effectief informeren van de betrokkenen en, waar van toepassing, de toezichthouder is in deze procedures opgenomen. De lessen getrokken uit de afgehandelde incidenten worden gebruikt om de beveiliging waar mogelijk structureel te verbeteren. Als een vervolgprocedure na een informatiebeveiligingsincident juridische maatregelen omvat (civiel of strafrechtelijk), wordt het bewijsmateriaal verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.
Afhandeling van datalekken en beveiligingsincidenten
De verantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder. Als hij daartoe wettelijk verplicht is, of als er anderszins aanleiding voor is, informeert hij ook de betrokkenen over het beveiligingsincident of het datalek.
Continuïteitsbeheer
Door natuurrampen, ongevallen, uitval van apparatuur of opzettelijk handelen kunnen persoonsgegevens verloren gaan. Door in de organisatie continuïteitsbeheer in te richten worden de gevolgen tot een aanvaardbaar niveau beperkt, waarbij gebruik wordt gemaakt van een combinatie van preventieve maatregelen en herstelmaatregelen.
Wanneer is sprake van een mogelijk ernstig gevolg?
Wanneer onrechtmatige verwerking of verlies van persoonsgegevens leidt of kan leiden tot ernstige gevolgen voor de betrokkene. De Autoriteit heeft een lijst opgesteld (zie onder) van dit soort gegevens, maar de lijst is niet onuitputtelijk. Voor iedere specifieke situatie zal in een Privacy Impact Assessment moeten worden onderzocht of hier sprake van is. Als er sprake is van mogelijk ernstige gevolgen, heeft dit direct invloed op de maatregelen (lees beveiliging) van deze gegevens. Daarnaast bent u als verantwoordelijke verplicht om een datalek niet alléén bij de Autoriteit Persoonsgegeven te melden, maar ook direct bij de betrokkenen.
Lijst van categorieën met mogelijk ernstige gevolgen
Bijzondere persoonsgegevens
Het gaat daarbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
Gegevens over de financiële of economische situatie van de betrokkene
Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, dossiers beschikbaar bij het BKR of een incassodossier bij een advocaat.
Gegevens die betrekking hebben op mensen uit kwetsbare groepen
Het gaat hier bijvoorbeeld om mensen die te maken hebben met stalking of die in een blijfvanmijnlijfhuis verblijven, om klokkenluiders of om informanten van de politie of het Openbaar Ministerie.
Gebruikersnamen, wachtwoorden en andere inloggegevens
De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen.
Gegevens die kunnen worden misbruikt voor (identiteits)fraude
Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het burgerservicenummer (BSN).
Wat zijn bijzondere persoonsgegevens?
Artikel 9 AVG
“Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.”
Overigens wordt de in beleidsregels beveiliging persoonsgegevens en in de Meldplicht Datalekken meer gegevens aangeduid als bijzondere gegevens. Wanneer deze gegevens misbruikt kunnen worden, kan dit een “mogelijk ernstig gevolg” hebben voor de betrokkenen.
Wat is een risicoanalyse en hoe kan deze effectief worden gebruikt?
Een risicoanalyse vormt de basis voor het informatiebeveiligingsbeleid van een organisatie. Zonder risicoanalyse is het niet mogelijk om een adequaat informatiebeveiligingsbeleid te formuleren: pas na een risicoanalyse kunnen de maatregelen voor informatiebeveiliging in prioriteit worden bepaald. De risicoanalyse geeft aan welke risico’s moeten worden afgedekt om aan de gestelde betrouwbaarheidseisen van informatie te voldoen.
Beveiligingsstandaarden kunnen worden gebruikt om de maatregelen te bepalen die daarbij ter beschikking staan. Het treffen van maatregelen op basis van een risicoanalyse stelt de verantwoordelijke in staat om adequate maatregelen te treffen die een passend beveiligingsniveau garanderen. Hiermee wordt voldaan aan de vereisten gesteld in de Wet Bescherming Persoonsgegevens. U voorkomt hiermee een aanwijzing of boete van de Autoriteit Persoonsgegevens of problemen in uw bedrijfsvoering.
Taken van de verantwoordelijke (bestuurder / directeur)
De verantwoordelijke inventariseert de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die dit incident kan hebben en de kans dat deze gevolgen zich voordoen. De dreigingen kunnen onder meer samenhangen met de specifieke kenmerken van de verwerking en de gebruikte technologie. Bij verwerking via internet is bijvoorbeeld hacking een dreiging waarmee rekening moet worden gehouden; bij verwerking op draagbare computers en opslag op draagbare geheugenmedia zijn vermissing en diefstal dreigingen die de verantwoordelijke in de risicoanalyse moet betrekken. De verantwoordelijke treft maatregelen op basis van de uitgevoerde risicoanalyse en kiest de maatregelen zodanig dat wordt voldaan aan de vastgestelde betrouwbaarheidseisen.
Risicoanalyse uitbesteden
Eerst dient u in kaart te brengen wat uw redenen zijn om een risicoanalyse te laten uitvoeren. Dan kan worden bepaald welke risicoanalyse past in de specifieke situatie in uw organisatie. CYCO biedt organisaties drie soorten risico analyses:
- Cyber Risico Analyse (nulmeting volwassenheidsniveau informatiebeveiliging)
- Data Protection Impact Assessment (risico en de gevolgen van uw privacyverantwoordelijkheid)
- Technische Review (de techniek in uw organisatie beoordeeld door de ogen van een hacker)
Informatiebeveiliging, betrouwbaarheid en betrouwbaarheidseisen
Informatiebeveiliging
Informatiebeveiliging omvat het geheel aan maatregelen waarmee organisaties hun informatie beveiligen. Het gaat daarbij om alle informatie die de organisatie verwerkt, zowel digitaal als niet digitaal. Persoonsgegevens, zoals het klantenbestand en de personeelsadministratie, maken hier deel van uit. Organisaties hebben niet alleen informatie nodig om hun bedrijfsprocessen uit te voeren, maar ook om hun interne bedrijfsvoering bij te sturen en strategische beslissingen te nemen. De term ‘informatiebeveiliging’ wordt ook gebruikt voor het vakgebied dat zich bezighoudt met het beveiligen van informatie.
Betrouwbaarheid en betrouwbaarheidseisen
Betrouwbaarheid is de mate waarin een organisatie voor de informatievoorziening kan rekenen op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is de verzamelterm voor drie aspecten van beveiliging die binnen het vakgebied informatiebeveiliging algemeen zijn geaccepteerd: beschikbaarheid, integriteit en vertrouwelijkheid. De betrouwbaarheidseisen geven weer aan welke eisen het informatiesysteem moet voldoen met betrekking tot deze drie aspecten.
Beschikbaarheid
Beschikbaarheid betreft het waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en aanverwante bedrijfsmiddelen (informatiesystemen).
Integriteit
Integriteit betreft het waarborgen van de juistheid, tijdigheid (actualiteit) en volledigheid van informatie en de verwerking ervan.
Vertrouwelijkheid
Met vertrouwelijkheid wordt gedoeld op het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd.
Controleerbaarheid
Controleerbaarheid betreft de mogelijkheid om met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan de eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid.
Beschikbaarheid van minder belang?
De term beschikbaarheid wordt in de richtsnoeren van de Autoriteit Persoonsgegevens “beveiliging van persoonsgegevens” wel genoemd, maar is voor de wetgever in mindere mate van belang. Uit het oogpunt van de volledige informatiestromen in uw organisatie is de beschikbaarheid uit continuïteitsoogpunt vanzelfsprekend van groot belang voor nagenoeg iedere organisatie en adviseren wij de beschikbaarheid altijd mee te nemen in een Risicoanalyse of DPIA
Adequate beveiliging bij de ontwikkeling | privacy by design
De verantwoordelijke kan op de meest efficiënte en effectieve wijze aan de AVG voldoen door al bij het ontwerp van de verwerking rekening te houden met de wettelijke eisen (privacy by design). De beveiliging van persoonsgegevens is een van de aspecten waarmee de verantwoordelijke bij de toepassing van privacy by design rekening moet houden. Andere aspecten zijn onder meer dataminimalisatie (het beperken van de verwerking van persoonsgegevens tot het hoogst noodzakelijke) en transparantie (het adequaat informeren van de betrokkenen over wat er met hun persoonsgegevens gebeurt).
Voorkom geldverspilling | gebruik privacy by design
Hoewel privacy by design niet valt onder de richtsnoeren informatiebeveiliging van de Autoriteit Persoonsgegevens adviseren we u de mogelijkheden te bekijken. Het geeft uw organisatie houvast om alvorens veel te investeren in nieuwe ontwikkelingen rekening te houden met de wetgeving. Hierdoor voorkomt de verantwoordelijke hoge boetes en voorkomt u dat veel geld over de balk wordt gegooid.
De interne toezichthouder | functionaris gegevensbescherming (FG)
De AVG geeft verantwoordelijken en brancheorganisaties de mogelijkheid om een interne toezichthouder aan te stellen: de Functionaris voor de Gegevensbescherming (FG). Bij de beveiliging van persoonsgegevens kan deze een belangrijke rol spelen, onder meer bij de controle op naleving van beveiligingsmaatregelen en bij evaluatie en aanpassing van de beveiliging. Het is echter aan de organisatie en aan de FG zelf om hier invulling aan te geven.
Privacy enhancing technologies worden onmisbaar
De beveiligingsverplichting die in de AVG is opgenomen strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. Juridische normen zullen moeten worden vertaald in de feitelijke inrichting en verdere ontwikkeling van informatiesystemen. Steeds meer zullen privacy enhancing technologies daarvoor onmisbaar zijn. Door te eisen dat de inrichting van systemen mede gericht moet zijn op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens, wordt bewerkstelligd dat in plaats van een voortdurende controle op individuele gevallen van onrechtmatig gegevensgebruik het accent meer gelegd kan worden op de structuur van informatiesystemen.
PET is de verzamelnaam van technieken
PET is de verzamelnaam voor een aantal technieken die de verantwoordelijke kan toepassen om bij het verwerken van persoonsgegevens de risico’s voor de betrokkenen te beperken. Een centraal principe van pet is het verminderen van de herleidbaarheid: de mate waarin persoonsgegevens kunnen worden herleid tot de betrokkenen.
Anonimisering van persoonsgegevens
De zwaarste vorm van pet is anonimisering van de verwerkte persoonsgegevens. Van anonimisering is sprake als de gegevens op geen enkele manier meer tot de betrokkene te herleiden zijn. Er is dan geen sprake meer van persoonsgegevens en de AVG is niet meer van toepassing op de gegevens. Een lichtere vorm van pet is het scheiden van de verwerkte persoonsgegevens in (zeer goed beveiligde) identificerende gegevens en niet identificerende gegevens. Alleen met behulp van de identificerende gegevens kan de identiteit van de betrokkenen worden achterhaald.
Verwerker
Bij de verwerking van persoonsgegevens kan de verantwoordelijke een verwerker inschakelen. “De verwerker is een buiten de organisatie van de verantwoordelijke staande persoon of instelling”. Hij “verwerkt gegevens ten behoeve van de verantwoordelijke, dat wil zeggen overeenkomstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid”. De verwerker “beperkt zich tot het verwerken van persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens. Hij neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enz.”
Betrokkeme
De betrokkene is degene “op wie een persoonsgegeven betrekking heeft” of “waarover de gegevens informatie bevatten”.
Verantwoordelijke
De verantwoordelijke in de zin van de AVG is degene die “het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. De verantwoordelijke bepaalt welke persoonsgegevens, voor welk doel, op welke manier en met welke middelen worden verwerkt.
Verwerking
Een verwerking van persoonsgegevens in de zin van de AVG is “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens”. Verwerkingen zijn “in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”
Persoonsgegevens
Persoonsgegevens in de zin van de AVG zijn alle gegevens “betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Een persoon is identificeerbaar “indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden”.
De Plan-Do-Check-Act cyclus
Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plan-docheck-act cyclus in de dagelijkse praktijk van de organisatie noodzakelijk. Deze cyclus is ook terug te vinden in de ISO27001 norm. Voor implementatie van een goed functionerend Information Security Management System (ISMS) wordt ook gebruik gemaakt van de Plan-Do-Check-Act cyclus. Deze cyclus komt kort gezegd op het volgende neer:
Beoordeel de risico’s
Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen en bepaal op basis daarvan het gewenste beveiligingsniveau. Inventariseer vervolgens de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die het beveiligingsincident kan hebben en de kans dat deze gevolgen zich voor zullen doen. Tref op basis daarvan gericht beveiligingsmaatregelen die het gewenste beveiligingsniveau kunnen waarborgen.
Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden
Het vakgebied informatiebeveiliging kent vele beveiligingsmethoden, standaarden en maatregelen die zijn gebaseerd op ervaringen uit de dagelijkse beveiligingspraktijk. Gebruik bij het nemen van beveiligingsmaatregelen de richtsnoeren in samenhang met de beschikbare beveiligingsstandaarden. Deze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico’s af te dekken.
Controleer en evalueer regelmatig
Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd. Beoordeel periodiek of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen en of de beveiligingsmaatregelen nog steeds voldoen. Betrek daarbij ook de stand van de techniek en de nieuwste inzichten binnen het vakgebied informatiebeveiliging.
Zorg voor continu verbetering
Wanneer na de evaluatie blijkt dat het risico is toegenomen of de maatregelen niet correct functioneren, moet men verbeteringen doorvoeren om het risico weer op het gewenste niveau te brengen. Bijvoorbeeld door het treffen van aanvullende maatregelen of het updaten van een firewall wanneer blijkt dat deze niet correct heeft gefunctioneerd.
De Data Protection Impact Assessment (voorheen PIA – Privacy Impact Assessment) maakt op een systematische wijze inzichtelijk hoe groot de kans is dat privacy wordt geschaad, waar deze risico’s zich voordoen en welke gevolgen dit heeft voor de organisatie en de betrokkenen. Op basis van de uitkomsten kunt u gericht acties ondernemen om risico’s te verminderen en te voldoen aan de privacywetgeving. De Europese wetgeving verplicht bepaalde organisaties tot het uitvoeren van een Data Protection Impact Assessment.
Doelen van een Data Protection Impact Assessment
- Efficiëntere besluitvorming over hoe om te gaan met privacy risico’s;
- Hoger privacy bewustzijn binnen de organisatie;
- Het creëren van vertrouwen van stakeholders hoe de Bedrijvencombinatie persoonsgegevens verwerkt en hierin het privacy aspect respecteert;
- Betere communicatie naar alle stakeholders over privacy en de bescherming van persoonsgegevens;
- Het voldoen aan de regels van de privacywetgeving;
- Minder gevolgen van toezicht en handhaving.
Wat doen we?
We starten met een inventarisatie waarin we de verzamelde en verwerkte persoonsgegevens in kaart brengen. Daarna maakt CYCO een Plan van Aanpak om een nulmeting uit te voeren. Deze nulmeting geeft u inzicht in de datastromen en de volwassenheid van de huidige privacybeschermings-maatregelen in uw organisatie.
Na onze rapportage heeft u inzicht in welke maatregelen u zou moeten nemen om te voldoen aan de privacywetgeving en om de kwaliteit, integriteit en betrouwbaarheid van privacygevoelige data te waarborgen.