Volgens de Algemene verordening gegevensbescherming (AVG) moeten bedrijven en overheden voor het beveiligen van persoonsgegevens passende technische en organisatorische maatregelen nemen. Waar moet dan precies aan worden voldaan?
Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen. Verder moeten ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens? Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. Beveiliging van persoonsgegevens moet daarnaast binnen een organisatie een blijvend punt van aandacht zijn. Als organisaties andere partijen inschakelen om persoonsgegevens te verwerken, moeten deze verwerkers voldoende maatregelen treffen om de gegevens te beveiligen. Organisaties die gegevensverwerking door een verwerker laten uitvoeren, blijven verantwoordelijk voor de naleving van de AVG.
Datalekregister en datalek melden
Elke organisatie moet een datalekregister bijhouden. Heeft een organisatie een ernstig datalek? Dan moet de organisatie het datalek direct melden bij de Autoriteit Persoonsgegevens en soms ook aan de mensen van wie gegevens zijn gelekt.
Vijf vragen en antwoorden ten aanzien van persoonsgegevens beveiligen:
Vraag 1. Mag je persoonsgegevens delen via e-mail, app, cloudprovider x?
In de AVG staat niet expliciet dat het gebruik van deze diensten verboden is. Wel kan het in sommige gevallen als een ‘gebrek aan beveiliging’ worden gezien. Bijvoorbeeld wanneer je gevoelige persoonsgegevens opslaat in een gratis clouddienst. En deze dienst gratis is, omdat de aanbieder de gegevens verkoopt aan onbekende derden voor marketingdoeleinden. Of het gebruik van deze diensten in jouw situatie passend is, is volledig afhankelijk van de risicoanalyse en het totale beveiligingsplan.
Vraag 2. Hoe kan je veilig persoonsgegevens via e-mail versturen?
Aan het verzenden van informatie via e-mail zitten risico’s. Dus wil je persoonsgegevens via e-mail versturen? Bijvoorbeeld gegevens over klanten, burgers of andere relaties? Dan ben je er als organisatie verantwoordelijk voor dat je die gegevens veilig verstuurt. Je moet voor e-mail maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. In de wet staat niet precies omschreven welke maatregelen je moet treffen. Wel dat deze passend moeten zijn.
Twee voorbeelden van passende maatregelen.
- Het versleutelen van de persoonsgegevens in een e-mailbijlage.
- Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaard(en). Voorbeelden van moderne internetstandaarden zijn DANE, DKIM, PGP, S/MIME, SPF en STARTTLS.
Vraag 3. Moet je registreren (loggen) wie toegang heeft gehad tot gegevens?
In de AVG staat niet expliciet dat het loggen van wie toegang heeft gehad tot persoonsgegevens verplicht is. Wel is het in de meeste gevallen een noodzakelijke beveiligingsmaatregel. Als organisatie moet je de persoonsgegevens die je verwerkt passend beveiligen. Door middel van logging worden gebeurtenissen op jouw systemen vastgelegd. Bijvoorbeeld, wie bepaalde gegevens heeft bekeken of aangepast. Maar ook pogingen om ongeautoriseerd toegang te krijgen. Door de logbestanden regelmatig te controleren of automatisch te analyseren, kun je bijvoorbeeld inbreuken op de beveiliging ontdekken. Ook kun je datalekken signaleren. Of juist uitsluiten dat er een datalek is geweest. Op basis van de verkregen informatie uit het loggen, kun je efficiënter in actie komen bij een datalek. En/of bepalen welke aanvullende technische en organisatorische maatregelen je moet treffen. In sommige sectoren is logging wel verplicht. Het gaat dan om situaties waarin er met gevoelige persoonsgegevens wordt gewerkt, zoals in de zorg.
Vraag 4. Wat is meerfactorauthenticatie?
Authenticatie is het proces waarbij de identiteit van een gebruiker wordt gecontroleerd. Meerfactorauthenticatie is een vorm van (toegangs)beveiliging waarbij de gebruiker zich met een combinatie van minimaal twee verschillende typen authenticatiefactoren moet authentiseren om toegang te krijgen tot een computer, (besturings)systeem of applicatie.
Drie mogelijke authenticatiefactoren zijn:
- Iets wat de gebruiker weet, bijvoorbeeld een wachtwoord, een pincode of de beantwoording op een beveiligingsvraag.
- Iets wat de gebruiker heeft, bijvoorbeeld een telefoon of een token.
- Iets wat de gebruiker is, bijvoorbeeld een biometrisch gegeven zoals een vingerafdruk, spraakherkenning of gezichtsherkenning.
Geen meerfactorauthenticatie
Een combinatie van hetzelfde type authenticatiefactor is géén meerfactorauthenticatie, bijvoorbeeld wanneer er meerdere combinaties van gebruikersnamen en wachtwoorden nodig zijn om toegang te krijgen. Gebruikersnamen en wachtwoorden vallen beide binnen het type authenticatiefactor ‘iets wat de gebruiker weet’, waardoor deze combinaties niet als meerfactorauthenticatie kwalificeren.
Over het algemeen zijn de volgende voorbeelden géén authenticatiefactoren voor het gebruik van een computer of applicatie:
- een toegangspas waarmee toegang wordt verkregen tot een ruimte waar meerdere mensen toegang hebben;
- een unieke telefoon of unieke computer, tenzij de mobiele telefoon een tijdelijk paswoord of wachtwoord genereert of gebruik maakt van een ingebouwde authenticatiefactor;
- een uniek IP-adres.
Voorbeelden van meerfactorauthenticatie zijn:
- de combinatie van het gebruik van een wachtwoord én een eenmalig te gebruiken paswoord of wachtwoord (token) per sms;
- de combinatie van een vingerafdruk én een wachtwoord;
- de combinatie van een irisscan én een smartcard als token;
- het gebruik van een app of hardwaretoken die wisselende wachtwoorden genereert in combinatie met een wachtwoord of pincode.
Vraag 5. Wat is pseudonimiseren?
Pseudonimiseren is een beveiligingsmaatregel waarbij persoonsgegevens worden verwerkt zonder dat daarbij duidelijk wordt over welke personen de gegevens gaan. Bij pseudonimiseren van persoonsgegevens kunnen gegevens alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens. Pseudonimisering van persoonsgegevens is een verwerking van persoonsgegevens waarbij je je nog steeds moet houden aan de AVG. Bij pseudonimisering moet je technische en organisatorische maatregelen nemen om ervoor te zorgen dat onbevoegden de koppeling met het bestand met aanvullende gegevens niet kunnen maken. Bij pseudonimisering moet je rekening houden met informatie uit externe bronnen als de Basisregistratie Personen, de Kamer van Koophandel, het Kadaster, de Telefoongids, Facebook en Twitter. En met de ontwikkeling van nieuwe databronnen en -methoden. Bevatten de gepseudonimiseerde gegevens een locatie, datum en tijd? Dan kan er mogelijk een koppeling worden gemaakt met bijvoorbeeld beschikbare camerabeelden of pintransacties. Ook moet je als verwerkingsverantwoordelijke rekening houden met de ontwikkeling van nieuwe databronnen en -methoden waarmee pseudonieme gegevens alsnog te herleiden kunnen zijn.
Pseudonimisering is geen anonimisering
Zijn de gegevens volledig geanonimiseerd? Dan is de AVG niet meer van toepassing.
Geanonimiseerde gegevens zijn gegevens die helemaal geen betrekking meer hebben op individuen. Er mogen bij anonimisering dus géén aanvullende gegevens beschikbaar zijn waarmee iemand alsnog een koppeling kan maken met een specifiek persoon.
Bron: Beveiliging van Persoonsgegevens op de site van de Autoriteit Persoonsgegevens