Passende maatregelen

De AVG schrijft voor dat “passende technische en organisatorische maatregelen” worden genomen om “een op het risico afgestemd beveiligingsniveau te waarborgen”. Om die maatregelen te nemen, – maar ook om te kunnen beoordelen of de genomen maatregelen wel “passend” zijn – moet je eerst inzicht hebben in de mogelijke risico’s. Risico’s die veelal ontstaan door (combinaties van) datahonger, profiling, bezuinigingen en efficiency doelstellingen, nalatigheid en/of ondoordacht handelen.

In Artikel 25 van de AVG staat, dat een organisatie zo weinig mogelijk persoonsgegevens verwerkt. Die “minimale gegevensverwerking” betreft zowel de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Hoe minder data en verwerkingen, hoe minder risico’s. Voor iedere verwerking ligt helder vast voor welk specifiek doel die plaatsvindt. Ook moet kunnen worden aangetoond dat de betrokkene expliciet en goed geïnformeerd toestemming heeft gegeven voor die verwerking. De vraag of dat ook het geval is kan zonder meer met een duidelijk NEE worden beantwoord. Bovendien heeft dit artikel tot doel om een grote mate van “menselijke bemoeienis’ bij het toezicht op de toegang tot de gegevens te borgen. In de praktijk blijkt dat juist wordt gestreefd naar het omgekeerde: Zo veel mogelijk algoritmes en zo weinig mogelijk menselijke bemoeienis.

Een voorbeeld: Soms wordt verlangd dat een organisatie de identiteit van iemand controleert aan de hand van een geldig identiteitsbewijs (rijbewijs, ID kaart of paspoort). Het controleren of het gezicht op de foto overeenkomt en het registreren van het nummer van het ID is dan voldoende. Heel vaak wordt echter een kopie van het identiteitsbewijs gemaakt. Als dat gebeurt moet het BSN nummer en de pasfoto worden afgedekt. Dat is iets wat in de praktijk zelden gebeurt. De medewerker van de betreffende organisatie weet (of zou moeten weten) dat het verwerken van het BSN slechts bij hoge uitzondering is toegestaan en dat voor het verwerken van de pasfoto meestal de grondslag ontbreekt – en dus strafbaar is. Bovendien nemen de risico’s op identiteitsdiefstal bij een datalek in hoge mate toe. Dus dat moet je als organisatie niet willen. Maar eigenlijk zou ook de betrokkene dit moeten weten en aan de bel moeten trekken. Zie de informatie en vragen over het identiteitsbewijs op deze pagina.

Criminelen maken van phishing mails of sms’jes gebruik, waarbij ze zich voordoen als een overheidsinstelling, bank of bedrijf. Vaak zijn de berichten niet van echt te onderscheiden. “De betalingstermijn van de boete voor uw verkeersovertreding is overschreden! Klik hier om de wettelijke verhoging te voorkomen” of “we hebben uw betaalpas gedeactiveerd, klik hier snel om hem weer te activeren” of “uw bestelling is onderweg – klik op deze link om te zien hoe laat we het bezorgen”). Een gevolg van het klikken op een link kan zijn dat ransomware wordt geïnstalleerd en/of toegang wordt verkregen tot het systeem. Als de juiste en moderne Internetstandaarden worden toegepast kunnen risico’s worden beperkt doordat extra controles (op echtheidskenmerken) worden toegepast. Maar dan moet dat wel gebeuren! Via een site kan iedereen op een eenvoudige manier, en zonder uitgebreide kennis toetsen of een organisatie die maatregelen inderdaad heeft genomen.

Een voorbeeld: Zowel bij de opslag van gegevens, als uitwisseling daarvan wordt gebruik gemaakt van standaarden en protocollen. Feitelijk maken die de communicatie tussen computersystemen mogelijk en kunnen voorkomen dat menselijke tussenkomst is vereist. Standaarden worden voortdurend ontwikkeld. Soms wordt in een standaard een kwetsbaarheid ontdekt dat een beveiligingsprobleem oplevert. Dat wordt dan hersteld met een zogenaamde “patch” of in een nieuwe versie. Voor de bescherming van gegevens (bijvoorbeeld het tegengaan van phishing) is het dus van groot belang dat altijd de meest actuele versie van software, een standaard of protocol gebruik wordt gemaakt. Gebeurt dat niet, dan wordt dat door een hacker als “laaghangend fruit” beschouwd. Het systeembeheer van een organisatie moet daar dus zeer scherp op zijn en net als in de gezondheidszorg, moeten bezoekers van een site en bij de uitwisseling van e-mails er op kunnen rekenen dat deze kwaliteit wordt geboden.

In een aantal gevallen schrijft de AVG voor, dat een zogenaamde DPIA (Data Protection Impact Assessment) wordt uitgevoerd. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking goed in kaart te brengen voordat besloten wordt tot een verwerking. Hoewel het niet wettelijk verplicht is, nemen sommige organisatie de moeite om hun doelgroep(en) uitgebreid te informeren over het besluitvormingsproces en de weging van die risico’s en versterken daardoor het vertrouwen in de organisatie.