Richtsnoeren CBP Beveiliging van Persoonsgegevens

 in IT-recht

Op 1 maart a.s. treden de vorige week door het College Bescherming Persoonsgegevens (CBP) gepubliceerde richtsnoeren “Beveiliging van Persoonsgegevens” in werking. Beveiliging van persoonsgegevens is een van de speerpunten van het handhavingsbeleid van het CBP. Met de richtsnoeren probeert het CBP inzicht te verschaffen in haar handhavingsbeleid ter zake de beveiligingsnormen zoals gesteld in de Wet Bescherming Persoonsgegevens (WBP) opdat partijen die persoonsgegevens verwerken (beter) weten wat er van hen wordt verwacht op het gebied van beveiliging. Het CBP heeft in de richtsnoeren aansluiting gezocht bij de standaarden, methoden en maatregelen die in de informatiebeveiliging gebruikelijk zijn en richt zich primair op het bestuursniveau (implementeren, controleren en evalueren van de beveiligingsmaatregelen).

Wettelijk kader

Op grond van artikel 13 WBP dient de verantwoordelijke (dit is de partij die het doel/de doelen en de middelen van de gegevensverwerking vaststelt) passende technische en organisatorische maatregelen te treffen om verlies, onrechtmatige verwerking, onnodige verzameling en verdere verwerking te voorkomen. Deze maatregelen dienen een passend
beveiligingsniveau te garanderen rekening houdende met de stand van de techniek, de kosten van de te treffen maatregelen en de risico’s van de beoogde verwerking gelet op de aard van de te verwerken persoonsgegevens.

Indien een verantwoordelijke een bewerker in de armen neemt om (een deel van) de gegevensverwerking feitelijk uit te voeren dient de verantwoordelijke op grond van artikel 14 WBP erop toe te zien dat de bewerker voldoende waarborgen biedt opdat aan de beveiligingseisen van artikel 13 en de waarborgen van artikel 12 WBP (‘verwerken in opdracht’ en geheimhoudingsplicht) wordt voldaan. Partijen dienen afspraken te maken over de wijze waarop hier uitvoering aan zal worden gegeven in een zogenaamde bewerkersovereenkomst.

Naast de WBP kunnen andere wetten en regels van toepassing zijn op de beveiliging van persoonsgegevens, zoals het Besluit voorschrift informatiebeveiliging rijksdienst 2007 (VIR 2007). De door het CBP uitgevaardigde richtsnoeren gaan echter uitsluitend in op de beveiligingsnormen zoals gesteld in de WBP.

Verhouding tot A & V 23

De richtsnoeren vervangen de eerdere publicatie over beveiliging van persoonsgegevens van de voormalige Registratiekamer (voorloper van het CBP) uit 2001: ‘Beveiliging van persoonsgegevens’, de Achtergrondstudies en Verkenningen nr. 23.

Kern van de richtsnoeren

Kort gezegd dient beveiliging van persoonsgegevens binnen een bedrijf een continue punt van aandacht te zijn vanaf dat het moment dat wordt aangevangen met de verzameling van de persoonsgegevens tot en met het moment dat de persoonsgegevens worden vernietigd. Hieronder wordt in het kort de door een verantwoordelijke te volgen stappenplan ‘beveiliging persoonsgegevens’ weergegeven.

  1. Voordat wordt aangevangen met de verwerking van persoonsgegevens dient een verantwoordelijke een risicoanalyse uit te voeren waarmee hij inzicht verkrijgt in de dreigingen die kunnen leiden tot beveiligingsincidenten, de mogelijke gevolgen van dergelijke beveiligingsincidenten en de kans dat deze gevolgen zich voor zullen doen.
  2. Vervolgens vertaalt de verantwoordelijke deze risico’s naar de betrouwbaarheidseisen (beveiligingsniveau) waaraan een informatiesysteem moet voldoen met betrekking tot beschikbaarheid (beveiligen tegen permanent verlies persoonsgegevens), integriteit (waarborg tegen aantasting of onbevoegde wijzigingen van gegevens) en vertrouwelijkheid (waarborg tegen ongeautoriseerde toegang tot de gegevens).  Het CBP geeft aan dat het er hierbij niet toe doet of het risico zich kan verwezenlijken voor één of meerdere betrokkenen. Wel van belang is de aard van de gegevens (bijvoorbeeld gegevens betreffende iemands gezondheid of diens financiële situatie), de hoeveelheid gegevens die van één betrokkene worden verwerkt en de impact die de daarop gebaseerde beslissingen hebben op de betrokkene (doel van de verwerking).
  3. Op basis van deze betrouwbaarheidseisen en de beveiligingsstandaarden stelt de verantwoordelijke de te treffen beveiligingsmaatregelen vast (waaronder privacy enhancing technologies: ‘PET’). Algemene beveiligingsstandaarden zijn onder meer de Code voor Informatiebeveiliging (NEN-ISO/IEC 27002:2007 nl) en voor de zorgsector NEN 7510. Meer specifieke beveiligingsstandaarden zijn de standaarden van het Amerikaanse National Institute of Standards and Technology op het terrein van ‘cloud computing’ en de ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie.
  4. De te treffen maatregelen worden vastgelegd in interne en externe documenten zoals beleidsdocumenten, functionele en technische beschrijvingen van ICT systemen,  gebruikershandleidingen, werkinstructies en contracten.
  5. De verantwoordelijke stelt zich afdoende op de hoogte dat de maatregelen daadwerkelijk worden nageleefd, hij kan hiertoe zelf controles uitvoeren (zoals werkplek controles en beveiligingsassessments), een Third Party Mededeling van de bewerker vragen (verklaring van een onafhankelijke deskundige over de beveiligingsmaatregelen bij de bewerker) of de bewerker vragen om een bewijs van certificering (indien de beveiligingsmaatregelen van bewerker door een geaccrediteerde externe deskundige zijn getoetst aan een beveiligingsnorm, zoals de NEN-ISO/IEC 27001:2005 nl). Pas als de te treffen maatregelen daadwerkelijk worden nageleefd, is naar het oordeel van het CBP sprake van een passend beschermingsniveau.
  6. Op periodieke basis evalueert verantwoordelijke de betrouwbaarheidseisen, de beveiligingsmaatregelen en controle daarop.

Lees hier de publicatie van het CBP

Wilt u weten wat deze richtsnoeren betekenen voor uw bedrijf (als verantwoordelijke of als bewerker) of heeft u andere vragen naar aanleiding van deze nieuwsflits dan kunt u contact opnemen met mevrouw mr. I.M. Tempelman.

 

Recente berichten
  • 16 mei 2022

    AP voert cumulatieve boetebevoegdheid maximaal door

    Sil Kingma
    Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen
    Lees verder
  • 15 maart 2022

    (IT) detacheerders wees scherp op het relatie- en concurrentiebeding!

    Marion Hagenaars
    Werknemers die uit dienst treden om aansluitend (dezelfde) werkzaamheden te gaan verrichten voor de opdrachtgever waar ze eerder gedetacheerd waren. Een ongewenst scenario dat vaak voorkomt. Door het belemmeringsverbod kan de werkgever geen beroep doen op een concurrentie- en relatiebeding. Als deze bedingen ook nog eens niet juist zijn opgesteld – omdat ze geen rekening
    Lees verder
  • 1 februari 2022

    Ongewenst gedrag op de werkvloer – regels en consequent beleid

    Marion Hagenaars
    Door The Voice moest ik weer even terugdenken aan de voorbeelden in mijn eigen praktijk. De afgelopen jaren heb ik van alles voorbij zien komen: van seksueel getinte en discriminerende “grappen” in App-groepen tot porno kijkende collega’s een bureau verder en aanvankelijk gewenste relaties op het werk die volledig escaleren. De impact is vaak groot
    Lees verder

Plaats een reactie

Top