De Algemene verordening gegevensbescherming (AVG) legt organisaties heel wat verplichtingen op. Zo moeten ze in veel gevallen een verwerkingsregister optuigen en zelfs een functionaris voor de gegevensbescherming aanstellen. De verplichting om persoonsgegevens te beschermen met ‘passende technische en organisatorische maatregelen’ geldt echter altijd. Hoe zien die maatregelen eruit?
88 pagina’s tekst, onderverdeeld in 99 artikelen. Daarin zal toch wel staan welke ‘passende organisatorische en technische maatregelen’ organisaties moeten treffen om persoonsgegevens te beschermen? Helaas. De wettekst duidt bijvoorbeeld wel op continuïteitsmaatregelen en de noodzaak om encryptie en pseudonimisering toe te passen, maar een lijst met concrete maatregelen ontbreekt.
De wetgever heeft het in artikel 32, dat gaat over de maatregelen, redelijk algemeen gehouden. Het komt erop neer dat de verwerker en verwerkingsverantwoordelijke maatregelen treffen die passen bij het risico die een verwerking met zich meebrengt. Hoe die maatregelen eruitzien, is onder andere afhankelijk van de stand van de techniek, de uitvoeringskosten en de aard en omvang van de verwerking. Voor een ziekenhuis zal de invulling van maatregelen dus anders zijn dan voor een groenteboer.
Categorieën maatregelen
Daarmee weten organisaties nog steeds niet om welke maatregelen het precies gaat. De AVG benoemt wel enkele typen maatregelen die organisaties ‘waar passend’ kunnen inzetten. We bekijken artikel 32 van de AVG vanuit securityoptiek en benoemen bij elk lid concrete maatregelen:
1. Pseudonimisering en versleuteling van persoonsgegevens
Bijvoorbeeld de HRM- en CRM-systemen die in gebruik zijn, hebben vaak al functionaliteiten voor pseudonimisering. Deze bieden de mogelijkheid om gegevens zoals kopieën van identiteitsbewijzen en contactgegevens onleesbaar te maken voor bepaalde medewerkers.
Vanuit de privacywetgeving is encryptie een van de belangrijkste beveiligingsmaatregelen. Door het versleutelen van data wordt namelijk de schade geminimaliseerd als er sprake is van een inbreuk op de beveiliging van persoonsgegevens.
Bij encryptie kan worden gedacht aan versleuteling van e-mailberichten, bestanden en mappen. Voor bedrijven die nog niets hebben gedaan aan encryptie, is de versleuteling van harde schijven in bijvoorbeeld laptops een logische eerste stap. Dit kan vrij eenvoudig met tools als Microsofts BitLocker of Apple’s FileVault.
Een ander veel voorkomend ‘zwakke schakel’ zijn mobiele devices, zoals de smartphone, waarop persoonsgegevens rondzwerven. Met Mobile Device Management (MDM)-oplossingen kunnen deze data op een effectieve manier worden versleuteld.
2. Borgen beschikbaarheid, integriteit en vertrouwelijkheid
De ‘BIV-triade’ is waar het bij informatiebeveiliging allemaal om draait. De beschikbaarheid, integriteit en vertrouwelijkheid zijn de drie aspecten die gezamenlijk de informatiebeveiliging van verwerkingssystemen definiëren. Om deze drie aspecten te garanderen, is het dus van belang om niet alleen een focus te hebben op de implementatie van maatregelen. Het gaat verder dan het aanschaffen van een ‘tool’ of het inrichten van een proces.
Om dit te borgen in een organisatie is een kapstok nodig, oftewel een raamwerk. Vanuit DearBytes hanteren we onderstaand Privacy Governance Framework. In dit raamwerk wordt een continue cyclus voorgesteld, waar aandacht is voor beleid en governance, techniek en proces, maar ook voor controle op naleving.
Figuur 1: Privacy Governance Framework
Het selecteren van de juiste maatregelen moet volgens de wetgever nauw verband houden met het risico van de verwerking. In ons raamwerk gaan we uit van een baseline, en naarmate het risico van de verwerkingsgegevens hoger is, zullen er aanvullende maatregelen getroffen moeten worden.
Figuur 2: Verwerkingsrisico
Maatregelen als encryptie, MDM en Data Loss Prevention (DLP) komen in de context van databeveiliging vrijwel altijd naar voren. Met een MDM-oplossing kun je bijvoorbeeld verloren telefoons traceren en op afstand de content wissen van de telefoon. Zo blijven de mobiele persoonsgegevens onder controle.
Ook DLP is binnen deze categorie een voor de hand liggende oplossing. Na classificatie van de data kun je met behulp van beslisregels bepalen wat gebruikers wel en niet mogen. Zo kan een beslisregel zijn dat alleen de afdeling finance creditcardgegevens mag versturen, maar hr en sales niet. Of dat gebruikers met minder rechten bepaalde data wel kunnen inzien, maar deze niet mogen wijzigen of versturen.
3. Incident-response
Onder de AVG moeten organisaties ervoor zorgen dat persoonsgegevens na een incident zo snel mogelijk weer beschikbaar zijn en het gegevensverlies beperkt blijft. De ‘B’ uit de BIV-triade moet gewaarborgd zijn.
Dit punt vraagt van organisaties onder andere dat ze analyseren wat de impact is van het niet beschikbaar zijn van persoonsgegevens en dat ze plannen opstellen voor het snel herstellen van de toegang tot persoonsgegevens. Goede back-ups en geteste recoveryprocedures zijn cruciaal voor een snel herstel. Binnen security spreken we hier over bedrijfscontinuïteitplannen en incident-responsemanagement.
4. Toegangscontrole
Artikel 32 stelt ook beperkingen aan de toegang tot persoonsgegevens. Die mogen alleen toegankelijk zijn voor personen die van de ‘verwerkingsverantwoordelijke’ de opdracht hebben gekregen om ze te verwerken.
Processen voor autorisatie en authenticatie moeten die toegang beperken. Medewerkers krijgen bijvoorbeeld op basis van hun rol rechten toegewezen waarmee ze wel of niet toegang hebben tot persoonsgegevens. Zaken als een strikt wachtwoordbeleid en tweefactorauthenticatie zorgen voor de controle ‘aan de poort’.
Je kunt je voorstellen dat de verwerking van bijzondere gegevens in bijvoorbeeld een ziekenhuis vraagt om een strengere maatregel (tweefactorauthenticatie) dan een gemiddelde mkb-productiebedrijf zal toepassen. Wellicht volstaat voor de mkb’er een strikt wachtwoordbeleid.
5. Evaluatie van de maatregelen
De AVG dwingt organisaties om te controleren of de geïmplementeerde maatregelen effectief genoeg zijn. Dit kan onder andere door het uitvoeren van in- en externe audits en penetratietesten. Zwakheden in de beveiliging komen ook door logging en monitoring aan het licht.
Logging en controle is ook van belang voor het onderzoek na een melding. Neem het voorbeeld van de bekende Nederlander Samantha de Jong (Barbie). Er is aangegeven dat meerdere onbevoegde personen haar medisch dossier hebben ingezien. Het ongeautoriseerd inzien van persoonsgegevens is in dit geval als een datalek te beschouwen. Door de logging te analyseren, kan het ziekenhuis nagaan hoeveel en welke personen dit binnen en buiten het ziekenhuis zijn geweest.
Privacy Governance Framework
Uit dit laatste punt blijkt duidelijk dat het treffen van de passende maatregelen geen eenmalige actie is, maar een continu proces van ‘plan, do, check, act’. Hiermee komen we terug op het ‘Privacy Governance Framework’ dat alle stappen omvat.
