Beveiliging persoonsgegevens AVG. Wat zijn passende maatregelen rekening houdend met de stand van de techniek?

De Algemene Verordening Gegevensbescherming (AVG) is nagenoeg niemand ontgaan. De laatste maanden stond de verwerking van persoonsgegevens volop in de schijnwerpers. Nu de invoering van de AVG een feit is, worstelen veel organisaties met de toepassing van de AVG in hun organisatie. De veelal open normen en vaag omschreven verplichtingen zorgen voor veel onduidelijkheid en soms ook onterechte interpretaties.

Een van de open normen in de AVG wetgeving betreft de beveiliging van persoonsgegevens. Als er persoonsgegevens worden verwerkt, dan moeten de persoonsgegevens op een adequate wijze worden beschermd en beveiligd. De AVG wet spreekt over “passende technische en organisatorische maatregelen, rekening houdend met de stand van de techniek”. Wat houdt dit concreet in? Aan welke eisen moet worden voldaan? Hoe moeten persoonsgegeven worden beschermd? Wanneer zijn maatregelen passend en welke maatregelen zijn redelijk? Kortom, genoeg vragen die een antwoord nodig hebben.

Wilt u graag vrijblijvend advies van onze Privacy en ICT recht advocaat? Neem contact met ons op.

Wat zegt de wet?

De verplichting om persoonsgegevens deugdelijk te beveiligen, is opgenomen in artikel 32 van de AVG. Dit artikel bepaalt:

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: (…)

In het vervolg van artikel 32 AVG worden een aantal concrete beveiligingsmaatregelen genoemd waaronder pseudonimisering, vertrouwelijkheid, integriteit, testen, etc. Ondanks dat de formulering van dit artikel er in de AVG ten opzichte van oude Wet bescherming persoonsgegevens (Wbp) er duidelijker op is geworden, is er nog veel ruimte voor eigen interpretatie en invulling.

Vóór de invoering van de AVG heeft de Autoriteit Persoonsgegevens (AP) richtsnoeren opgesteld om de beveiliging van persoonsgegevens meer concreet te maken. In onderzoeken die de AP heeft uitgevoerd, is de beveiliging van de persoonsgegevens herhaaldelijk onderzocht. Aan de hand daarvan zijn een aantal concrete dingen te zeggen over de verplichting om persoonsgegevens goed te beveiligen.

De beveiliging van persoonsgegevens laat zich in een proces van drie stappen vatten:

  1. Vaststellen van de beveiligingseisen;
  2. Opstellen van een risicoanalyse;
  3. Invulling van de concrete beveiligingsmaatregelen.

Stap 1: Vaststellen van de beveiligingseisen

Als eerste moet een organisatie die persoonsgegevens verwerkt, vaststellen welke persoonsgegevens zij nodig heeft en welke beveiligingseisen dit met zich mee brengt. De aard en de soort van de persoonsgegevens zijn namelijk van belang voor het vaststellen van de benodigde beveiligingseisen. Zo zal aan software voor medische gegevens, zeer hoge beveiligingseisen worden gesteld. Een eenvoudig contactformulier dat wordt ingevuld op een website van bijvoorbeeld een kledingwebshop, daarentegen veel minder. De AP maakt bij het indelen van de gevoeligheid van de persoonsgegevens gebruik van een handreiking van het Forum voor Standaardisatie. Deze handreiking geeft vier categorieën:

Klasse 0 persoonsgegevens: Openbare persoonsgegevens waarvan algemeen aanvaard is dat deze geen risico opleveren voor de betrokkene. Denk bijvoorbeeld aan gegevens uit telefoonboeken, brochures en websites. Betrouwbaarheidsniveau: geen

Klasse I persoonsgegevens (basis): Er is sprake van een beperkt aantal (niet-bijzondere) persoonsgegevens per individu. Er is sprake van één type vastlegging, bijvoorbeeld één lidmaatschap, arbeidsrelatie of klantrelatie. Betrouwbaarheidsniveau: laag

Klasse II persoonsgegevens (verhoogd risico): Er worden bijzondere persoonsgegevens gebruikt (zoals genoemd in artikel 8 AVG) of financieel-economische gegevens van de betrokkene. Betrouwbaarheidsniveau: substantieel

Klasse III persoonsgegevens (hoog risico): Er worden gegevens van opsporingsdiensten gebruikt, gegevens uit DNA-databanken, gegevens waar een bijzondere, wettelijk bepaalde, geheimhoudingsplicht op rust en gegevens die onder het beroepsgeheim vallen (zoals medische gegevens). Betrouwbaarheidsniveau: hoog

Het vooraf vaststellen van de nodige beveiligingseisen kan worden gedaan door een Privacy Impact Assessment (PIA). Een PIA is voor sommige verwerkingen ook verplicht op grond van art. 35 AVG. Een PIA is een instrument om privacyrisico’s in een vroegtijdig stadium op een gestructureerde en heldere manier in beeld te kunnen brengen. Een PIA stimuleert organisaties om proactief na te denken over vragen als wat is de impact van het beoogde project op de privacy van betrokkenen? Wat zijn de risico’s voor de betrokkenen en voor de organisatie? Is een aanpak die minder gevolgen heeft voor de privacy ook mogelijk, gegeven de doelstellingen van het project? Door het gebruik van de PIA kan bescherming van persoonsgegevens op een gestructureerde manier onderdeel uitmaken van de belangenafweging en besluitvorming over een project. De beroepsorganisatie voor IT-auditors (NOREA) heeft op haar website een handreiking voor het uitvoeren van een PIA gepubliceerd.

In art. 32 AVG staan een aantal onderwerpen genoemd waaraan de beveiliging moet voldoen. Deze punten moeten dan ook betrokken worden bij de PIA en het vaststelling van de beveiligingseisen. Kort samengevat gaat het hier om:

  • vertrouwelijkheid, integriteit, beschikbaarheid;
  • herstel van toegang bij incidenten;
  • het op gezette tijdstippen testen, beoordelen en evalueren van de beveiliging van de verwerking;
  • Risico’s bij vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van de persoonsgegevens.

Stap 2: De risicoanalyse

Zonder een risicoanalyse kan geen adequaat beveiligingsbeleid  worden geformuleerd. Daarom is een goede risicoanalyse noodzakelijk om de juiste beveiligingsmaatregelen te kunnen inzetten. Een risicoanalyse vormt de basis om passende maatregelen te nemen en is ook een verplichting die voortvloeit uit art. 32 AVG. Bij een risicoanalyse gaat om het om vragen als: welke risico’s zijn er bij de verwerking van persoonsgegevens? Met welke situaties moet rekening gehouden worden? Denk hierbij aan situaties als hacken, datalekken, verlies van gegevens en ongeautoriseerde toegang. Een risicoanalyse moet voldoen aan de norm NEN 7510.

De uitkomst van de risicoanalyse en het vaststelling van de beveiligingseisen, geeft de mogelijkheid om de concrete beveiligingsmaatregelen vast te stellen.

Stap 3: Welke concrete beveiligingsmaatregelen?

In z’n algemeenheid zijn een aantal zaken op te merken over de concrete beveiligingsmaatregelen. Het inzetten van beveiligingsmaatregelen op zich betekent niet automatisch dat er sprake is van een passend beveiligingsniveau. Dat is pas het geval als de gekozen beveiligingsmaatregelen onderdeel zijn van de dagelijkse praktijk van de organisatie. Daarnaast moeten beveiligingsmaatregelen zijn gespecificeerd en geïntegreerd in functionele en technische beschrijvingen van ICT-systemen. Documentatie van de beveiligingsmaatregelen is dus essentieel om te voldoen aan eis van een passend beveiligingsniveau.

Het frequent uitvoeren van bijvoorbeeld penetratie- en security testen waarbij een inbreuk op de beveiliging een laag risico vormt, is geen reden om vereiste beveiligingsmaatregelen niet door te voeren. Het uitvoeren van deze testen garandeert namelijk geen hoger beveiligingsniveau. Als de gevoeligheid van de verwerkte persoonsgegevens een bepaald beveiligingsniveau vereist, dan kan daar niet van afgeweken worden.

Bij het kiezen van de concrete beveiligingsmaatregelen moet een afweging worden gemaakt tussen de beschikbare technische mogelijkheden enerzijds en anderzijds de uitvoeringskosten en de risico’s die bij de verwerking van de persoonsgegevens aanwezig zijn. Het is met andere woorden dus een belangenafweging.

1. Toegangsbeveiliging

Passwords

Veel systemen zijn beveiligd met een wachtwoord. Of de beveiliging van persoonsgegevens met enkel een wachtwoord voldoende is, hangt van een aantal zaken af. De norm van art. 32 AVG vereist in ieder geval dat er een beleidsdocument aanwezig is, waarin het beleid rondom het aanvragen, gebruiken en wijzigingen van wachtwoorden is vastgelegd.

Twee-factor authenticatie

Bij belangrijke of gevoelige persoonsgegevens kan toegangsbeveiliging door middel van een wachtwoord niet voldoende zijn. Dit is het geval bij medische gegevens of gegevens waarop wettelijke geheimhouding van toepassing is. Deze gegevens vallen onder de categorie Hoog Risico (Klasse II en III). Er moet dan gebruik worden gemaakt  van een extra authenticatie-methode, zodat er een twee-factor-authenticatie ontstaat. Deze tweede mogelijkheid kan bestaan in een biometrische authenticatie of door gebruik van een token of sms-authenticatie (zoals bijvoorbeeld het inloggen met de Digid).

Scheiding van netwerken

Toegangsbeveiliging moet ook plaatsvinden door het onmogelijk maken om vanaf bepaalde locaties/computers toegang te krijgen tot persoonsgegevens. Dit kan door het (fysiek) scheiden van netwerken zodat toegang tot het gedeelte waar persoonsgegevens opgeslagen zijn, vanaf bepaalde fysieke locaties/computers onmogelijk is. Een herkenbaar voorbeeld is het fysiek scheiden van wifi-netwerken voor gasten, werknemers en systeembeheer. De Autoriteit Persoonsgegevens oordeelde in 2014 dat het Groene Hart Ziekenhuis in strijd handelde met art.  32 AVG (destijds art. 13 Wbp) doordat het netwerk niet gescheiden was. Door het grote netwerk was de kans reëel dat ongewenste toegang verkregen kon worden tot een slecht beveiligde computer, en dat daarmee het hele netwerk toegankelijk was.

Ongeautoriseerde toegang

Toegangsbeveiliging ziet ook op technische beveiliging om ongewenste toegang (van buitenaf) te voorkomen. De Autoriteit Persoonsgegevens oordeelde in een onderzoek bij de Hogeschool Utrecht dat beveiligingsmaatregelen tegen Cross Site Scripting (XSS) en SQL-injecties ontbraken en dat de hogeschool daarmee in strijd handelde met art. 32 AVG (destijds art. 13 Wbp).

2. Logging en controle

Controle mechanismen zijn essentieel voor een passend beveiligingsniveau. Bij gevoelige persoonsgegevens (Klasse II en III) is een jaarlijkse audit de norm. De uitkomsten van de audit moeten daarbij ook op een passende en adequate wijze worden opgevolgd. Een audit alleen is niet voldoende, er moet ook sprake zijn van een constante monitoring van inbreuken, zoals Intrusion Detection System (IDS) en Intrusion Protection System (IPS)

Passende maatregelen gezien de stand van de techniek voor het beveiligen van persoonsgegevens bevatten in ieder geval de plicht om een log bij te houden. Alle activiteiten met betrekking tot de persoonsgegevens moeten in een logfile worden opgeslagen. Dit geldt tevens voor het vastleggen van pogingen om ongeautoriseerde toegang te verkrijgen. Naast deze verplichting moet het logfile ook periodiek worden bekeken en beoordeeld. Het gaat dan om een preventieve beoordeling. Zo oordeelde de Autoriteit Persoonsgegevens dat de Hogeschool Utrecht in strijd handelde met art. 32 AVG (destijds art. 13 Wbp) door wel een logfile bij te houden, maar deze vervolgens niet periodiek te beoordelen. Bij de beoordeling van logfiles zoekt de Autoriteit Persoonsgegevens aansluiting bij hoofdstuk 10.10.1 van de Code voor Informatiebeveiliging (ISO 27002).

Ook is het noodzakelijk dat er een firewall aanwezig is, die zowel het interne als het externe verkeer monitort. Ook hierbij geldt dat een periodieke beoordeling van de gegevens van de firewall verplicht is op basis van art. 32 AVG. De AP was in 2014 van mening dat het Groene Hart Ziekenhuis niet aan art. 32 AVG (destijds art. 13 Wbp) voldeed doordat slechts beperkte monitoring plaatsvond en er niet structureel rapportages werden opgesteld. Bij het Groene Hart Ziekenhuis maakte de firewall uitsluitend melding van verdachte verkeersstromen naar servers of IP-adressen waarvan het bekend is dat zij malware verspreiden of onderdeel uitmaken van een botnet. Dit achtte de AP onvoldoende.

3. Beheer van technische kwetsbaarheden

Bij beheer van technische kwetsbaarheden gaat het om o.a. het up-to-date houden van software zoals virusscanners, browsers en operating systems (OS). Bij virusscanners is het vooral van belang dat de virusdefinities regelmatig worden bijgewerkt en dat een (eventueel) abonnement niet is verlopen. Tevens geldt daarbij dat in ieder geval van een recente versie wordt gebruikt gemaakt die door de softwareleverancier nog wordt ondersteund. Het is daarom belangrijk om periodiek te kijken of de softwareleverancier nog ondersteuning verleent voor een bepaalde virusscanner.

Bij een OS is van groot belang dat geen gebruik wordt gemaakt van een end of life versie. Recent voorbeeld hiervan is verlopen van de ondersteuning door Microsoft voor Windows XP. Met een end of life OS zijn de persoonsgegevens blootgesteld aan een beveiligingsrisico. In het Groene Hart Ziekenhuis werd in 2014 nog gebruik gemaakt van Windows 2000 en Windows XP (beide end of life). De Autoriteit Persoonsgegevens was daar van mening dat dit in strijd was met art. 32 AVG (destijds art. 13 Wbp).

4. Privacy Enhancing Technology (PET)

Bij het toepassen van beveiligingsmaatregelen moet gebruik worden gemaakt van Privacy Enhancing Technologies (PET). Hashing, encryptie en anonimisering kunnen hierbij worden gebruikt. Deze technieken zijn echter aan verandering onderhevig zodat belangrijk is te weten of de gebruikte techniek nog passend is gezien de stand van de techniek.

Hashing

Hashing is een manier van verwerken van informatie die niet omkeerbaar is. Van de informatie wordt een hash (unieke code) gemaakt, waarbij geldt dat het hashen van dezelfde informatie altijd dezelfde hash oplevert. Bij gebruik van hashing is alertheid geboden. In hash-algoritmes worden met enige regelmaat kwetsbaarheden blootgelegd, zodat ineens beveiligingsrisico’s kunnen ontstaan. Het volgen van de ontwikkelingen op dat gebied is dus essentieel.

Encryptie

In tegenstelling tot hashing, is encryptie wel omkeerbaar. De ingevoerde informatie wordt versleuteld en is met bepaalde sleutel te decoderen. Evenals bij hashing zijn er verschillende encryptie algoritmen beschikbaar die gebruikt kunnen worden. Niet elk algoritme is even waterdicht. Ook hier geldt dat periodiek beoordeeld moet worden of een gebruikte methode nog voldoende bescherming biedt.

Anonimisering

Bij anonimiseren van persoonsgegevens worden persoonsgegevens zo geanonimiseerd dat de persoonsgegevens niet meer zijn te herleiden tot een bepaald persoon. Echter kan het zo zijn dat door een nieuwe technische mogelijkheden, de gegevens wel weer herleidbaar zijn tot specifieke personen. Als dat mogelijk is, is niet meer voldaan aan art. 32 AVG. Het is dan ook belangrijk om bij deze methode voortdurend te kijken of er methodes zijn die er voor kunnen zorgen dat de persoonsgegevens niet meer anoniem zijn.

Pseudonimisering

Pseudonimisering is een minder vergaande vorm van anonimisering. Identificerende gegevens worden vervangen door een pseudoniem. Het koppelen van persoonsgegevens uit verschillende bronnen blijft in tegenstelling tot anonimisering mogelijk. Een herkenbaar voorbeeld hiervan is het vervangen van patiëntnamen door een nummer, waarbij het nummer nog wel te herleiden is, als dat noodzakelijk is. Het combineren van persoonsgegevens uit verschillend bronnen dient onder strikte voorwaarden te gebeuren en mag slechts mogelijk zijn door bepaalde personen. Op deze wijze biedt pseudonimisering een extra waarborg bij het verwerken van persoonsgegevens. Ontwikkel in een dergelijk geval dan ook beleid rondom het toepassen van pseudonimisering en technische (on)mogelijkheden om dit daadwerkelijk te kunnen realiseren.

Conclusie

Zodra gegevens als persoonsgegevens kwalificeren, is de norm van art. 32 AVG van toepassing die verplicht tot het nemen van beveiligingsmaatregelen, rekening houdend met de stand van de techniek. Om goede maatregelen te nemen is het van belang te inventariseren welke persoonsgegevens worden verkregen en welke risico’s dat met zich meebrengt. Als dit in kaart is gebracht kunnen passende beveiligingsmaatregelen genomen worden. De methodes die worden gebruikt moeten voldoende veilig zijn rekening houdend met de stand van de techniek. Het is daarom van groot belang dat periodiek wordt bekeken of de gebruikte beveiligingsmethoden nog voldoende veiligheid bieden en of verdere mogelijkheden noodzakelijk zijn. Het voldoen aan de verplichting van art. AVG is dus een doorgaand proces.