AVG Uitgediept #9: Beveiliging van persoonsgegevens

Op grond van artikel 13 van de Wet bescherming persoonsgegevens is iedere organisatie die persoonsgegevens verwerkt, reeds nu verplicht om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking. Verlies van persoonsgegevens houdt in dat persoonsgegevens voor de verwerkingsverantwoordelijke verloren gaan, bijvoorbeeld door het uitbranden van een datacentrum of het door een menselijke fout wissen van een database, terwijl geen back-up is gemaakt. Als persoonsgegevens worden verwerkt door personen van binnen of buiten de organisatie die daartoe niet bevoegd zijn, bijvoorbeeld door onbevoegde inzage of verspreiding van persoonsgegevens, wordt gesproken van onrechtmatige verwerking.

Hoewel de begrippen ‘verlies’ en ‘onrechtmatige verwerking’ daarin niet meer met zoveel woorden zijn opgenomen, komt deze beveiligingsverplichting na de inwerkingtreding van de Algemene Verordening Gegevensbescherming per 25 mei 2018 terug in artikel 32 AVG. Op grond van dat artikel dienen zowel de verwerkingsverantwoordelijke als de verwerker passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen. Als voorbeelden van maatregelen die, waar passend, moeten worden genomen noemt artikel 32 lid 1 AVG onder meer:

1. pseudonimisering en versleuteling van persoonsgegevens;
2. maatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen;
3. maatregelen gericht op het tijdig kunnen herstellen van de beschikbaarheid van en de toegang tot persoonsgegevens bij een fysiek of technisch incident; en
4. het vaststellen van adequate procedures voor het periodiek evalueren van de doeltreffendheid van de genomen veiligheidsmaatregelen.

Artikel 32 AVG verplicht de verwerkingsverantwoordelijke en de verwerker niet om steeds de allerzwaarste beveiligingsmaatregelen te nemen. Het beveiligingsniveau moet worden afgestemd op de risico’s die met een bepaalde verwerking van persoonsgegevens gepaard gaan. Naarmate bijvoorbeeld gegevens met een gevoeliger karakter worden verwerkt of de context waarbinnen deze gegeven worden verwerkt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van die persoonsgegevens. De verantwoordelijke of verwerker dient derhalve een inschatting te maken van de risico’s die die de verwerking van bepaalde persoonsgegevens met zich mee brengt. Een Privacy Impact Assessment (PIA), waarop in een volgend deel van deze blogreeks nader zal worden ingegaan, vormt daarvoor een goed instrument. De verantwoordelijke of verwerker dient vervolgens passende maatregelen te nemen om deze risico’s te kunnen beheersen. Welke maatregelen van de verantwoordelijke of verwerker kunnen worden gevergd, is afhankelijk van alle omstandigheden van het geval. Daarbij spelen onder meer de volgende gezichtspunten een rol:

• de aard van de persoonsgegevens die worden verwerkt;
• de omvang van de verwerking van persoonsgegevens;
• de doeleinden waarvoor verwerking plaatsvindt;
• de mogelijke dreigingen;
• de ernst van de gevolgen die een beveiligingsincident zou kunnen hebben;
• de kans dat deze gevolgen zich zouden verwezenlijken;
• de stand van de techniek;
• de kosten van tenuitvoerlegging van beveiligingsmaatregelen; en
• de omvang en financiële mogelijkheden van de organisatie.

In het algemeen kan worden gesteld dat indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd deze als ‘passend’ moeten worden beschouwd, terwijl kosten die disproportioneel zijn aan de extra beveiliging die daardoor zou worden verkregen, niet worden vereist. De beveiligingsverplichting van artikel 32 AVG vormt tot slot een ‘levende verplichting’. Dit betekent dat de verantwoordelijke of de verwerker aantoonbaar van tijd tot tijd dient te evalueren of het beveiligingsniveau, rekening houdende met onder meer voornoemde gezichtspunten, nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen of dat aanvullende maatregelen zijn vereist om de bescherming van persoonsgegevens te waarborgen.

De verantwoordelijke of verwerker dient als gezegd zowel technische als organisatorische beveiligingsmaatregelen te nemen. Technische beveiligingsmaatregelen zijn technische voorzieningen die erop zijn gericht om verlies of onrechtmatige verwerking van persoons-gegevens te voorkomen of beperken dan wel de ernst van de gevolgen daarvan zo beperkt mogelijk te houden. Daarbij kan onder meer worden gedacht aan:

• pseudonimisering en versleuteling van persoonsgegevens;
• twee factor authenticatie;
• logging;
• firewalls;
• virusscanners;
• software tegen malware-aanvallen;
• het periodiek maken van back-ups;
• software waarmee de verantwoordelijke of verwerker wordt geattendeerd op het dreigende verstrijken van een bewaartermijn.

De gemiddelde ondernemer zal niet beschikken over de vereiste technische kennis om zelf zorg te dragen voor een passend technisch beveiligingsniveau. Dat geldt overigens ook voor de gemiddelde advocaat. Wij adviseren onze cliënten daarom een specialist in de arm te nemen. Het privacyteam van Ten Holter Noordam advocaten brengt u uiteraard graag in contact met in de technische beveiliging van persoonsgegevens gespecialiseerde ICT-leveranciers.

Naast technische beveiligingsmaatregelen dient de verantwoordelijke of verwerker ook organisatorische beveiligingsmaatregelen te nemen. De verantwoordelijke dient er voor te zorgen dat persoonsgegevens alleen toegankelijk zijn voor die personen binnen de organisatie die de gegevens nodig hebben voor de uitvoering van hun taken. Daarbij kan onder meer worden gedacht aan:

• het beperken van de kring van functionarissen die toegang hebben tot bepaalde persoonsgegevens tot die personen die de gegevens nodig hebben voor de uitoefening van hun werkzaamheden;
• het verlenen van toegang aan deze personen tot enkel persoonsgegevens die zij nodig hebben voor de uitoefening van hun werkzaamheden;
• het overeengekomen van een geheimhoudingsbeding met een boeteclausule met alle personen aan wie toegang tot persoonsgegevens zal worden verleend;
• het bewaren van persoonsgegevens op servers in een afgesloten ruimte;
• het bewaren van papieren dossiers in afsluitbare kasten;
• het creëren van informatieveiligheidsbewustzijn onder medewerkers;
• het opstellen van duidelijke protocollen en procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging;
• het houden van adequaat toezicht op de naleving van protocollen en wet- en regelgeving.

Als de verantwoordelijke de verwerking van persoonsgegevens uitbesteedt aan een derde (de verwerker) dan dient de verantwoordelijke ervoor in te kunnen staan dat de verwerker een passend beveiligingsniveau biedt en dient de verantwoordelijke daar ook actief op toe te zien. De uitbesteding van de verwerking van persoonsgegevens mag derhalve niet leiden tot een lager beveiligingsniveau. In de verwerkersovereenkomst dient op grond van artikel 28 lid 3 onder c AVG dan ook verplicht te worden opgenomen dat de verwerker zorg draagt voor passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Op grond van artikel 28 lid 3 onder b AVG dient tevens in de verwerkersovereenkomst te worden overeengekomen dat de verwerker waarborgt dat alle personen die in het kader van hun werkzaamheden kennis zullen nemen van door de verantwoordelijke aan de verwerker ter beschikking gestelde persoonsgegevens zijn gebonden aan een wettelijke of contractuele verplichting tot geheimhouding, hetgeen een schoolvoorbeeld is van een organisatorische beveiligingsmaatregel. Voor een verdere toelichting op de minimale inhoud van een verwerkersovereenkomst, wijs ik u graag op de blog van mijn kantoorgenoot Emiel de Joode die eerder verscheen in deze reeks.

De advocaten van ons privacyteam helpen u graag bij het inventariseren en beoordelen van uw beveiligingsrisico’s en beveiligingsmaatregelen. Ook voor advies en/of vragen kunt u uiteraard bij ons terecht.