Eindelijk: Richtsnoeren voor beveiliging van persoonsgegevens van de toezichthouder

Het College bescherming persoonsgegevens (CBP) heeft een richtsnoer uitgebracht voor de beveiliging van persoonsgegevens, meldde Nu.nl. Het is al jaren een lastige discussie: wat moet je doen qua beveiliging van persoonsgegevens. De wet houdt het bij “adequate” maatregelen, maar dat is inderdaad nogal vaag en multi-interpretabel. En zeker als het gaat om techniek willen mensen gewoon harde regels: dit moet, dat is verboden en als je zus doet dan moet je ook zo.

De richtsnoeren zijn geen harde set met eisen, maar vooral een pleidooi voor bedrijven en instellingen om er eens goed voor te gaan zitten en je principes op orde te krijgen. Want eisen dat je SSL gebruikt is leuk, maar helpt je geen zier tegen een aanvaller die met een handige SQL truc je database leegtrekt. En neit alleen een keertje zitten, maar continu verbeteren oftewel het bekende plan-do-check-act:

  1. Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen en bepaal op basis daarvan het gewenste beveiligingsniveau.
  2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden.
  3. Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd.
  4. Pas waar nodig de beveiligings­maatregelen aan.

Je zou zeggen dat dit triviale kost is maar aangezien het huidige beveiligingsproces bij veel clubs neerkomt op

  1. We doen maar wat
  2. Als iemand piept klagen we hem aan
is het kennelijk nodig.

Een punt dat bij beveiliging trouwens vaak wordt vergeten is dat je ook moet streven naar zo min mogelijk gebruik van persoonsgegevens. Het is formeel een overtreding van de Wbp als je kilo’s persoonsgegevens hebt in een perfect veilige omgeving, terwijl je ook met een half ons had toegekund.

Steeds vaker wordt het verwerken van persoonsgegevens uitbesteed. Je administratie gaat via een SaaS-dienst, je CRM systeem gaat de cloud in, voor de mail gebruik je Outlook.com en de nieuwsbrieven gaan via zo’n handige dienst die ook het afmelden voor z’n rekening neemt. Heel mooi allemaal maar dan heb je wel een bewerkersovereenkomst nodig (ADV: maak er eentje met onze nieuwe bewerkersovereenkomstgenerator) want wettelijk gezien zijn al deze dienstverleners ‘bewerkers’ en dan is zo’n contract verplicht. Ja, ook als ze alleen een database met interface bieden en jij nog steeds zelf aan de knopjes moet draaien.

De verantwoordelijke is verantwoordelijk voor het bewerken door de bewerker. Ook waar het de beveiliging betreft. Lekt zo’n nieuwsbriefsysteem dus e-mailadressen, dan mogen de adreseigenaren jou daar aansprakelijk voor stellen. In die bewerkersovereenkomst kun je hier onderlinge afspraken over maken, gebaseerd op hetzelfde plan-do-check-act principe. Een recht van audit is dus vrij cruciaal.

Individuele afspraken zijn hierbij soms lastig, en bovendien zit niet iedere bewerker te wachten op een audit door elke individuele klant. Het middel van de Third Party Memorandum (wat het CBP in goed stonecoaldutch Third Party Mededeling noemt) biedt dan wellicht soelaas. De TPM biedt dan inzage in hoe de bewerker werkt, en als dat niveau van werken goed genoeg is dan kun je met die bewerker in zee.

Een ander punt dat je écht moet gaan regelen is hoe je omgaat met datalekken. Want het is niet de vraag óf dat gaat gebeuren maar wanneer. Zeker als je met zo’n handige clouddienst werkt. Wie gaat dan melden aan de betrokkenen dat dit is gebeurd, en wie draait op voor de reputatie- en andere schade?

Het blijft jammer dat het Cbp weinig meer kan doen dan richtsnoeren uitgeven en waarschuwen. Daadwerkelijk handhaven is moeilijk: ze hebben bar weinig menskracht én ze mogen niet beboeten. Ze kunnen alleen waarschuwen en dan een dwangsom opleggen voor de toekomst. Dat is frustrerend want veel bedrijven redeneren dan, ik wacht wel tot ik gewaarschuwd ben en tot die tijd loop ik lekker snel en goedkoop binnen met mijn bestandjes en lijsten. Het wordt tijd dat ze, net zoals de OPTA bij de telecommunicatieregels gewoon meteen mag beboeten. Tenminste, als je een effectieve privacywet en een goede beveiliging van persoonsgegevens wilt afdwingen.

Arnoud

3 reacties

  1. Gemiste kans van het CPB. Bij de titel richtsnoeren kun je nog enthousiast worden, maar de inhoud is erg mager. Het hele rapport van tientallen bladzijden had op 2 A4-tjes gepast qua richtsnoeren: 1) processen (voorbeelden), 2) maatregelen (voorbeelden), 3) standaarden (voorbeelden, waar de processen en maatregelen nader worden uitgediept).

    De twee goede dingen rapport is dat het suggereert dat men iets moet doen en dat het geen opsomming bevat van minimale maatregelen welke individuele verantwoordelijkheid mogelijk zou reduceren tot het afvinken van het CPB lijstje (papieren compliance).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.