Op 1 maart a.s. treden de vorige week door het College Bescherming Persoonsgegevens (CBP) gepubliceerde richtsnoeren “Beveiliging van Persoonsgegevens” in werking. Beveiliging van persoonsgegevens is een van de speerpunten van het handhavingsbeleid van het CBP. Met de richtsnoeren probeert het CBP inzicht te verschaffen in haar handhavingsbeleid ter zake de beveiligingsnormen zoals gesteld in de Wet Bescherming Persoonsgegevens (WBP) opdat partijen die persoonsgegevens verwerken (beter) weten wat er van hen wordt verwacht op het gebied van beveiliging. Het CBP heeft in de richtsnoeren aansluiting gezocht bij de standaarden, methoden en maatregelen die in de informatiebeveiliging gebruikelijk zijn en richt zich primair op het bestuursniveau (implementeren, controleren en evalueren van de beveiligingsmaatregelen).

Wettelijk kader

Op grond van artikel 13 WBP dient de verantwoordelijke (dit is de partij die het doel/de doelen en de middelen van de gegevensverwerking vaststelt) passende technische en organisatorische maatregelen te treffen om verlies, onrechtmatige verwerking, onnodige verzameling en verdere verwerking te voorkomen. Deze maatregelen dienen een passend
beveiligingsniveau te garanderen rekening houdende met de stand van de techniek, de kosten van de te treffen maatregelen en de risico’s van de beoogde verwerking gelet op de aard van de te verwerken persoonsgegevens.

Indien een verantwoordelijke een bewerker in de armen neemt om (een deel van) de gegevensverwerking feitelijk uit te voeren dient de verantwoordelijke op grond van artikel 14 WBP erop toe te zien dat de bewerker voldoende waarborgen biedt opdat aan de beveiligingseisen van artikel 13 en de waarborgen van artikel 12 WBP (‘verwerken in opdracht’ en geheimhoudingsplicht) wordt voldaan. Partijen dienen afspraken te maken over de wijze waarop hier uitvoering aan zal worden gegeven in een zogenaamde bewerkersovereenkomst.

Naast de WBP kunnen andere wetten en regels van toepassing zijn op de beveiliging van persoonsgegevens, zoals het Besluit voorschrift informatiebeveiliging rijksdienst 2007 (VIR 2007). De door het CBP uitgevaardigde richtsnoeren gaan echter uitsluitend in op de beveiligingsnormen zoals gesteld in de WBP.

Verhouding tot A & V 23

De richtsnoeren vervangen de eerdere publicatie over beveiliging van persoonsgegevens van de voormalige Registratiekamer (voorloper van het CBP) uit 2001: ‘Beveiliging van persoonsgegevens’, de Achtergrondstudies en Verkenningen nr. 23.

Kern van de richtsnoeren

Kort gezegd dient beveiliging van persoonsgegevens binnen een bedrijf een continue punt van aandacht te zijn vanaf dat het moment dat wordt aangevangen met de verzameling van de persoonsgegevens tot en met het moment dat de persoonsgegevens worden vernietigd. Hieronder wordt in het kort de door een verantwoordelijke te volgen stappenplan ‘beveiliging persoonsgegevens’ weergegeven.

1. Voordat wordt aangevangen met de verwerking van persoonsgegevens dient een verantwoordelijke een risicoanalyse uit te voeren waarmee hij inzicht verkrijgt in de dreigingen die kunnen leiden tot beveiligingsincidenten, de mogelijke gevolgen van dergelijke beveiligingsincidenten en de kans dat deze gevolgen zich voor zullen doen.
2. Vervolgens vertaalt de verantwoordelijke deze risico’s naar de betrouwbaarheidseisen (beveiligingsniveau) waaraan een informatiesysteem moet voldoen met betrekking tot beschikbaarheid (beveiligen tegen permanent verlies persoonsgegevens), integriteit (waarborg tegen aantasting of onbevoegde wijzigingen van gegevens) en vertrouwelijkheid (waarborg tegen ongeautoriseerde toegang tot de gegevens).  Het CBP geeft aan dat het er hierbij niet toe doet of het risico zich kan verwezenlijken voor één of meerdere betrokkenen. Wel van belang is de aard van de gegevens (bijvoorbeeld gegevens betreffende iemands gezondheid of diens financiële situatie), de hoeveelheid gegevens die van één betrokkene worden verwerkt en de impact die de daarop gebaseerde beslissingen hebben op de betrokkene (doel van de verwerking).
3. Op basis van deze betrouwbaarheidseisen en de beveiligingsstandaarden stelt de verantwoordelijke de te treffen beveiligingsmaatregelen vast (waaronder privacy enhancing technologies: ‘PET’). Algemene beveiligingsstandaarden zijn onder meer de Code voor Informatiebeveiliging (NEN-ISO/IEC 27002:2007 nl) en voor de zorgsector NEN 7510. Meer specifieke beveiligingsstandaarden zijn de standaarden van het Amerikaanse National Institute of Standards and Technology op het terrein van ‘cloud computing’ en de ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie.
4. De te treffen maatregelen worden vastgelegd in interne en externe documenten zoals beleidsdocumenten, functionele en technische beschrijvingen van ICT systemen,  gebruikershandleidingen, werkinstructies en contracten.
5. De verantwoordelijke stelt zich afdoende op de hoogte dat de maatregelen daadwerkelijk worden nageleefd, hij kan hiertoe zelf controles uitvoeren (zoals werkplek controles en beveiligingsassessments), een Third Party Mededeling van de bewerker vragen (verklaring van een onafhankelijke deskundige over de beveiligingsmaatregelen bij de bewerker) of de bewerker vragen om een bewijs van certificering (indien de beveiligingsmaatregelen van bewerker door een geaccrediteerde externe deskundige zijn getoetst aan een beveiligingsnorm, zoals de NEN-ISO/IEC 27001:2005 nl). Pas als de te treffen maatregelen daadwerkelijk worden nageleefd, is naar het oordeel van het CBP sprake van een passend beschermingsniveau.
6. Op periodieke basis evalueert verantwoordelijke de betrouwbaarheidseisen, de beveiligingsmaatregelen en controle daarop.

Lees hier de publicatie van het CBP

Wilt u weten wat deze richtsnoeren betekenen voor uw bedrijf (als verantwoordelijke of als bewerker) of heeft u andere vragen naar aanleiding van deze nieuwsflits dan kunt u contact opnemen met mevrouw mr. I.M. Tempelman.