Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Passende beveiliging en privacy by design: be smart

26 april 2017 - 4 minuten leestijd

In deze blog twee onderwerpen, die in de praktijk zeer nauw met elkaar verweven zijn. De media staan bol van inbreuken op onder andere technische beveiligingsmaatregelen (samengevat als ‘hacks’). Bij analyse van applicaties die onderdeel uitmaken van het internet of things (van smartphones via smartfridges, smartsecurity tot smartcars) blijkt de beveiliging van de gebruikte programmatuur niet op orde. Juist bij innovatie, nieuwe of vernieuwde producten en  diensten is een verantwoordelijke verplicht privacy by design in te voeren. Hoe doe je dat nu? Wat betekent het precies?

Beveiligingsmaatregelen

Even terug naar de basis: privacy en dus bescherming van persoonsgegevens maken onderdeel uit van de mensenrechten. Een verantwoordelijke mag alleen persoonsgegevens verwerken voor bepaalde, welomschreven en gerechtvaardigde doeleinden, de verwerking mag niet bovenmatig zijn en de gegevens moeten juist en volledig zijn. Daarbij moet de verwerker zorg dragen voor een passend beschermingsniveau van de persoonsgegevens: organisatorische en technische beveiliging. Het eerste betekent dat u de toegang tot de gegevens zo regelt, dat alleen die personen bij de gegevens kunnen, die erbij moeten kunnen voor de uitoefening van hun taak en dat iedereen behoorlijk wordt geïnstrueerd. Het tweede betekent, dat er sprake is van passende technische beveiliging. De wetgever gaat uit van vier niveaus van beveiliging:

  • Voorkomen: slot op de voor- en achterdeur, adequate alarminstallaties, bewakers, interne geheimhouding, clean-desk-policies, firewalls, softwarebescherming tegen malware, virussen enz. enz.; gebruik van gebruikersnamen en regelmatig wisselende wachtwoorden, maar ook encryptie van gegevens en gebruik van beveiligde portals zijn vormen van preventie;
  • Detecteren: kunnen waarnemen wanneer sprake is van (gedeeltelijk) verlies van of inbreuk op de beveiligingsmaatregelen en wat de gevolgen daarvan zijn door middel van regelmatige of continue registratie (logging);
  • Beperken van de gevolgen: wanneer sprake is van een inbreuk op een beveiligingssysteem, wat kunt u dan doen om de inbreuk te stoppen? Het maken van back-ups (liefst door middel van ‘continuous mirorring’) is raadzaam; maar ook het blokkeren van toegangsmogelijkheden tot websites voor (mogelijk) ontvreemde gebruikersnamen en wachtwoorden is een beperking van negatieve gevolgen, net als het informeren van de Autoriteit Persoonsgegevens en (wanneer nodig) de betrokkenen;
  • Herstel: wat kunt u doen om de (negatieve) gevolgen ongedaan te maken? Bijvoorbeeld een recente back-up terugzetten om verlies van gegevens teniet te doen. Maar ook het (ongevraagd) activeren en uitreiken van nieuwe wachtwoorden aan gebruikers van portals kan een methode van herstel zijn; wanneer de inbreuk bestaat uit verlies van smartphones, kan ‘remote wiping’ van die smartphone een effectief middel zijn.

En de beveiliging moet passend zijn. Dat wil zeggen dat zij in overeenstemming moet zijn met de aard en omvang van de gegevens die u verwerkt, de stand van de techniek, de risico’s die gepaard gaan met de verwerking en de kosten van de beveiligingsmaatregelen. Het is daarmee een bewegend doelwit, waar u op moet mikken. Ervaren schutters weten dan dat ze voldoende voor het doelwit uit moeten mikken om het te kunnen raken. Voorlangs schieten is niet erg, maar achter het doel langs schieten betekent dat u de Wbp (of na 25 mei 2018 de AVG) overtreedt. Met alle consequenties van dien. En ja, als de gegevens die u verzamelt en gebruikt interessant genoeg zijn, zullen hackers altijd wel een toegang kunnen vinden tot uw systeem. Als wij het goed lezen, bevat de wet dan ook geen resultaatverplichting ten aanzien van de beveiliging. Maar dat u beveiligingsmaatregelen moet treffen, staat buiten kijf. En veel eenvoudige maatregelen zijn niet zo kostbaar en gemakkelijk toe te passen, ook in kleine organisaties.

Waarom schieten beveiligingsmaatregelen in het internet of things nu zo vaak tekort? De meeste datalekken ontstaan als gevolg van menselijk falen en het niet toepassen van eenvoudig beschikbare beveiligingsmaatregelen. Innovators en technische ontwikkelaars denken vaak pas achteraf over de privacy-aspecten van een nieuwe vinding, ook bij slimme dingen, die met het internet verbonden zijn. De technische innovatie is leidend en dat (de koppeling van) gegevens ook schadelijk kan zijn voor betrokkenen beseft men niet. Niet zelden zit er helemaal geen slot of een sterk verouderd slot op de deur en gaat men pas nadenken over beveiliging nadat de inbreuk een feit is. De Algemene verordening gegevensbescherming en de Wet bescherming persoonsgegevens gaan er echter vanuit dat partijen die persoonsgegevens verwerken – of zij nu als verantwoordelijke of als bewerker worden gekwalificeerd – hun verantwoordelijkheid op dit gebied nemen. De huidige boetes op niet naleving zijn niet mals en worden per 25 mei 2018 nog aanzienlijk hoger.

Privacy by design

Nu is het dus tijd om privacy by design te gaan toepassen. Vanaf de start van de ontwikkeling van nieuwe of vernieuwende producten of diensten (of de koppeling van bestaande diensten tot een nieuwe dienst), zal u zich aantoonbaar moeten buigen over bescherming van de privacy van de natuurlijke personen van wie de persoonsgegevens worden verwerkt. Ieder innovatief technisch- en commercieel team moet op het netvlies hebben staan, dat de privacy van de relatie ‘heilig’ is. En steeds moet worden bedacht:

  • Is het wel nodig persoonsgegevens te verwerken? Of is het mogelijk door de innovatie minder persoonsgegevens te verwerken?
  • Verandert het doel waarvoor de persoonsgegevens worden verwerkt door de vernieuwing?
  • Verandert de innovatie de aard van de persoonsgegevens (bijvoorbeeld doordat zij door de koppeling van bestanden muteren van gewone – naar bijzondere persoonsgegevens)?
  • Verandert de grondslag op basis waarvan de persoonsgegevens worden verwerkt? Of moet die veranderen? Is een gegeven toestemming nog wel geldig?
  • Zijn door de innovatie de persoonsgegevens wellicht niet meer juist of niet meer volledig?
  • Moeten de betrokkenen worden geïnformeerd over de wijzigingen, die ontstaan door de innovatie?
  • Moet u de organisatorische beveiligingsmaatregelen aanpassen?
  • Moet u de technische beveiligingsmaatregelen aanpassen?

In uw privacybeleid moet u opnemen dat deze afwegingen worden gemaakt, zowel ten aanzien van bestaande gegevensbestanden als innovaties daarop of totaal nieuwe verwerkingen. In uw logboek, het register van persoonsgegevensbestanden (en tot 25 mei 2018 in de meldingen bij de Autoriteit Persoonsgegevens), moet u opnemen wat de uitkomst van deze afwegingen zijn. Daarnaast bent u verplicht in uw beleid op te nemen dat u de afwegingen en uitkomsten periodiek (en niet alleen bij een beveiligingsincident of datalek) evalueert en aanpast met het oog op de stand van de techniek. Dan kunt u daarin ook de stand van de visie op een passend beschermingsniveau en van de rechtspraak meenemen.  Want misschien wijzigt de visie op de aard van bepaalde verwerkingen of de invulling van bepaalde grondslagen voor werking ook wel.

Be as smart as your gadgets, prepare yourself!

Robert van der Wart, advocaat

Wilt u meer weten over dit onderwerp, neem dan contact op met Natascha van Duuren, teamleider IT, IE & Privacy

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?