5 juni 2013

Beveiliging van persoonsgegevens

image for Beveiliging van persoonsgegevens image

De Richtsnoeren beveiliging van persoonsgegevens1 van het College Bescherming Persoonsgegevens (CBP) geven in minder dan veertig bladzijden een heldere uiteenzetting van het wettelijke systeem van de Wet bescherming persoonsgegevens (Wbp), gelardeerd met aansprekende voorbeelden. Ze zijn op 1 maart 2013 in de Staatscourant verschenen en zijn, anders dan de titel ‘Richtsnoeren’ doet vermoeden, niet vrijblijvend. De richtsnoeren lopen vooruit op de Algemene verordening gegevensbescherming die gaat volgen op komende regelgeving van de Europese Commissie.

De Richtsnoeren beveiliging van persoonsgegevens1 van het College Bescherming Persoonsgegevens (CBP) geven in minder dan veertig bladzijden een heldere uiteenzetting van het wettelijke systeem van de Wet bescherming persoonsgegevens (Wbp), gelardeerd met aansprekende voorbeelden. Ze zijn op 1 maart 2013 in de Staatscourant verschenen en zijn, anders dan de titel ‘Richtsnoeren’ doet vermoeden, niet vrijblijvend. De richtsnoeren lopen vooruit op de Algemene verordening gegevensbescherming die gaat volgen op komende regelgeving van de Europese Commissie. En zij moeten nu al worden gezien in het licht van het regeerakkoord ‘Bruggen slaan’, dat het college ruimere bevoegdheden geeft, waaronder het opleggen van zwaardere sancties wanneer niet aan de Wbp wordt voldaan. Het CBP zal de richtsnoeren hanteren als een toetsingskader. De richtsnoeren maken de eisen, waar iedere beheerder of verwerker van persoonsgegevens aan moet voldoen, transparant.

Verantwoordelijkheid
De definitie van persoonsgegevens, zoals die voortvloeit uit artikel 8 van het Europese verdrag tot bescherming van de rechten van de mens, artikel 10 van onze Grondwet en uit de Wbp zelf, is ruim: ‘alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Een persoon is identificeerbaar “indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden.” Het is evident dat ‘documenten’ dergelijke gegevens kunnen bevatten. Degene die in de zin van de Wbp verantwoordelijk is – dat is hij, die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt –, draagt aldus ook verantwoordelijkheid voor de privacybeschermde omgang met documenten waar persoonsgegevens in staan. Die verantwoordelijkheid rust ook op bewerkers, degenen die niet behoren tot de organisatie van de verantwoordelijke, die overeenkomstig diens instructies en onder diens verantwoordelijkheid (documenten die) persoonsgegevens (bevatten) bewerken of verwerken. Zij zijn allen “verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.” Zij moeten in alle onderdelen van het ketenproces van gegevensverwerking afdoende organisatorische en technische beveiligingsmaatregelen treffen tegen verlies of enige vorm van onrechtmatige verwerking. Al in het ontwerp van dat ketenproces moet met de wettelijke eisen rekening worden gehouden: dit privacy by design is een van de uitgangspunten van de richtsnoeren. Zij laten zich niet uit over dataminimalisatie – het beperken van de verwerking van persoonsgegevens tot het hoogst noodzakelijke – noch over ‘proportionaliteit’ – de verhouding van de beveiligingsinspanningen tot het belang van de zaak – en ook niet over doelbinding – de beperking van gegevensgebruik tot een wettelijk omschreven doel.

Wat zijn persoonsgegevens?
De richtsnoeren geven de volgende, niet uitputtende opsomming:

  • bijzondere persoonsgegevens, die iets zeggen over iemands godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksueel leven, lidmaatschappen, onrechtmatig of hinderlijk gedrag, en andere gegevens die kunnen leiden tot stigmatisering of uitsluiting zoals school- of werkprestaties of relatieproblemen;
  • gegevens over de financiële of economische situatie;
  • gegevens die betrekking hebben op mensen werkzaam in bepaalde beroepen, zoals informanten van politie en justitie, klokkenluiders;
  • gebruikersnamen, wachtwoorden en andere inloggegevens. Een e-mailadres kan herleidbaar zijn tot een natuurlijke persoon en is dan privacygevoelig in combinatie met andere gegevens;
  • gegevens die kunnen worden misbruikt voor identiteits- en ander fraude: het burgerservicenummer (BSN), biometrische gegevens en (kopieën van) identiteitsbewijzen.

Principes
Wanneer zijn persoonsgegevens goed beveiligd? Voor het antwoord op die vraag maken de richtsnoeren in hoofdstuk 2 een uitstapje naar het vakgebied informatiebeveiliging, dat vier principes huldigt:

  • beschikbaarheid: waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en aanverwante bedrijfsmiddelen (informatiesystemen);
  • integriteit: waarborgen van de juistheid, tijdigheid (actualiteit) en volledigheid van informatie en de verwerking daarvan;
  • vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd; en
  • controleerbaarheid: de mogelijkheid om met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan voornoemde eisen van beschikbaarheid, integriteit en vertrouwelijkheid.

Deze principes liggen vast in voor de hele overheid verplichte normen en standaarden als NEN-ISO/IEC 27002:2007, en NEN 7510 – de Code voor Informatiebeveiliging voor de zorgsector. Het CBP let erop of aan deze eisen en normen wordt voldaan: is er een beleidsdocument voor informatiebeveiliging vastgesteld? Zijn verantwoordelijkheden toegewezen? Is het – ook ingehuurd – personeel beveiligingsbewust? Is fysieke en logische toegangsbeveiliging afdoende geregeld? Worden beveiligingsactiviteiten en incidenten gelogd en is controle mogelijk? Is controle (validatie) mogelijk op de correcte verwerking van gegevens? En zo meer. Belangrijk is dat alle technische en organisatorische maatregelen in samenhang zijn beschreven en ook werkelijk worden toegepast. Pas dan kan sprake zijn van een passend beveiligingsniveau.

In de praktijk
Hoofdstuk 3 van de richtsnoeren geeft weer hoe beveiliging van privacygevoelige (persoons)gegevens in praktijk kan worden gebracht volgens de plan-do-check-act-cyclus. De cyclus begint met een risicoanalyse, waaruit de betrouwbaarheidsvereisten voortvloeien, en vervolgens de preventieve, detectieve, repressieve en herstelmaatregelen, waarmee beveiligingsincidenten voorkomen en opgelost kunnen worden. De risicoanalyse, aan het begin van de cyclus, moet worden uitgevoerd in de vorm van een privacy impact assessment (PIA), in de aankomende Europese regelgeving ‘privacyeffectbeoordeling’ genoemd. Die helpt de risico’s te beoordelen die een verwerking van persoonsgegevens met zich meebrengt voor de rechten en vrijheden van de betrokkenen en om in voorkomende gevallen de genoemde maatregelen te kunnen treffen. Volgens het regeerakkoord wordt een PIA verplicht, want zo lezen wij: “Bij de bouw van systemen en het aanleggen van databestanden is bescherming van persoonsgegevens uitgangspunt. Daar hoort een zogenaamd privacy impact assessment (PIA) standaard bij.”

De praktijkvoorbeelden laten zien dat bijzonder moet worden gelet op combinaties van gegevens die op zichzelf neutraal zijn (zoals BSN, DigID, PIN-code) met bijzondere, bijvoorbeeld medische, persoonsgegevens die via het internet toegankelijk kunnen zijn. Wanneer daartegen ontoereikende maatregelen worden getroffen kan het CBP een last onder dwangsom opleggen. De last kan bijvoorbeeld zijn dat een risicoanalyse alsnog wordt gemaakt en aan het CBP wordt gerapporteerd. Het CBP kan onderzoek instellen en in actie komen wanneer een belanghebbende daar om verzoekt (dat kan onder meer via www.mijnprivacy.nl), maar ook op eigen initiatief. De onderzochte organisatie is wettelijk verplicht tot medewerking.

Eisen aan verwerkers
In hoofdstuk 4 van de richtsnoeren wordt uiteengezet hoe de verantwoordelijke zijn eisen ook kan stellen aan de bewerkers. Een risicoanalyse moet uitwijzen of en onder welke voorwaarden zij “voldoende waarborgen bieden ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen” en de verantwoordelijke in staat stellen “toe te zien op de naleving van die maatregelen.” De verwerkingsketen is zo veilig als de zwakste schakel. Het CBP zal bij de toetsing van verwerkingsovereenkomsten onder meer letten op de omschrijving van de dienstverlening, de betrouwbaarheidseisen die van toepassing zijn, de organisatorische en technische beveiligingseisen en -maatregelen waarop de verwerker zich vastlegt en de verantwoording die hij daarover aflegt. Ook moet uit de overeenkomst duidelijk blijken of verwerking door subbewerkers (zeg maar onderaannemers) is toegestaan en zo ja, dat zij aan ten minste dezelfde eisen zijn onderworpen.

De richtsnoeren zijn belangrijk, ook voor de werking van documenten die persoonsgegevens bevatten. Neem er dus kennis van en vraag je af of in jouw organisatie en in de organisaties waarmee verwerkingsovereenkomsten zijn gesloten, aan de richtsnoeren is voldaan. 

kees.duijvelaar@gmail.com, Kees Duijvelaar redactielid Od.


1 De richtsnoeren zijn te vinden op, en te downloaden van http://www.cbpweb.nl/downloads_rs/rs_20071211_persoonsgegevens_op_internet_definitief.pdf