Passende maatregelen

De AVG schrijft voor dat “passende technische en organisatorische maatregelen” worden genomen om “een op het risico afgestemd beveiligingsniveau te waarborgen”. Om die maatregelen te nemen, – maar ook om te kunnen beoordelen of de genomen maatregelen wel “passend” zijn – moet je eerst inzicht hebben in de mogelijke risico’s. Hieronder noemen we er een paar.

De stelling: Hoe minder data en verwerkingen, hoe minder risico’s lijkt misschien een open deur, maar wel degelijk relevant bij de beoordeling wat “passende” technische en organisatorische maatregelen zijn. Artikel 25 van de AVG beschrijft een minimale gegevensverwerking. Een organisatie wordt geacht uitsluitend persoonsgegevens te verwerken die noodzakelijk zijn voor elk specifiek doel van de verwerking.  Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Door dit voorschrift wordt onder meer voor gezorgd voor een grote mate van “menselijke” bemoeienis bij het toezicht op de toegang tot de gegevens. 

Allereerst geldt het credo: hoe minder gegevens hoe minder risico’s. Een voorbeeld: Soms wordt verlangd dat een organisatie de identiteit van iemand controleert aan de hand van een geldig identiteitsbewijs (rijbewijs, ID kaart of paspoort). Het controleren of het gezicht op de foto overeenkomt en het registreren van het nummer van het ID is dan voldoende. Heel vaak wordt echter een kopie van het identiteitsbewijs gemaakt. Als dat gebeurt moet het BSN nummer en de pasfoto worden afgedekt. Dat is iets wat in de praktijk zelden gebeurt. De medewerker van de betreffende organisatie weet (of zou moeten weten) dat het verwerken van het BSN slechts bij hoge uitzondering is toegestaan en dat voor het verwerken van de pasfoto meestal de grondslag ontbreekt – en dus strafbaar is. Bovendien nemen de risico’s op identiteitsdiefstal bij een datalek in hoge mate toe. Dus dat moet je als organisatie niet willen. Maar eigenlijk zou ook de betrokkene dit moeten weten en aan de bel moeten trekken. Zie de informatie en vragen over het identiteitsbewijs op deze pagina.

Persoonsgegevens vertegenwoordigen een waarde. Ze worden wel het nieuwe goud genoemd. Er is een levendige handel in persoonsgegevens. Naast de dreiging van raadpleging door onbevoegden of een aanval met ramsonware moet zeker ook rekening worden gehouden met het risico van de diefstal van persoonsgegevens.

Een voorbeeld: Zowel bij de opslag van gegevens, als uitwisseling daarvan wordt gebruik gemaakt van standaarden en protocollen. Feitelijk maken die de communicatie tussen computersystemen mogelijk en kunnen voorkomen dat menselijke tussenkomst is vereist. Standaarden worden voortdurend ontwikkeld. Soms wordt in een standaard een kwetsbaarheid ontdekt dat een beveiligingsprobleem oplevert. Dat wordt dan hersteld met een zogenaamde “patch” of in een nieuwe versie. Voor de bescherming van gegevens is het dus van groot belang dat altijd de meest actuele versie van software, een standaard of protocol gebruik wordt gemaakt. Gebeurt dat niet, dan wordt dat door een hacker als “laaghangend fruit” beschouwd. Het systeembeheer van een organisatie moet daar dus zeer scherp op zijn en betrokkenen moeten er op kunnen rekenen dat deze kwaliteit wordt geboden.

In een aantal gevallen schrijft de AVG voor, dat een zogenaamde DPIA (Data Protection Impact Assessment) wordt uitgevoerd. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Hoewel het niet wettelijk verplicht is om de DPIA te publiceren, wordt het wel aangeraden omdat dit de transparantie vergroot en het vertrouwen in de organisatie kan versterken.