CBP richtsnoeren: beveiliging van persoonsgegevens

Samenvatting

Verantwoord omgaan met persoonsgegevens valt of staat met een adequate beveiliging van de gegevens. In de praktijk blijkt dat de aandacht voor beveiliging nogal eens tekortschiet. In de media zijn vrijwel dagelijks berichten te vinden over datalekken door onvoldoende beveiliging, waardoor persoonsgegevens op straat liggen. Het College bescherming persoonsgegevens (CBP) ontvangt ook regelmatig signalen over tekortschietende beveiliging en de kwalijke gevolgen ervan.

Beveiliging van persoonsgegevens is een van de speerpunten van het handhavingsbeleid van het CBP. Het CBP houdt toezicht op de naleving van de Wet bescherming persoonsgegevens (Wbp). Artikel 13 van de Wbp eist dat bedrijven en overheden die persoonsgegevens verwerken, ‘passende technische en organisatorische maatregelen’ nemen om persoonsgegevens te beveiligen.

Voldoen aan de wettelijke normen

Wanneer zijn beveiligingsmaatregelen nu ‘passend’ zoals de Wbp eist? Deze richtsnoeren leggen uit hoe het CBP bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. De richtsnoeren vormen de verbindende schakel tussen enerzijds het juridisch domein, met daarbinnen de eisen uit de Wbp, en anderzijds het domein van de informatiebeveiliging, waarin de noodzakelijke kennis en kunde aanwezig is om daadwerkelijk aan die eisen te voldoen.

Dat betekent dat de richtsnoeren in samenhang moeten worden gebruikt met algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging, zoals de Code voor Informatiebeveiliging of de ict-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum.

Op tijd beginnen

Het uitgangspunt om tot een passende beveiliging te komen is dat in een organisatie bestuurders en de mensen die verantwoordelijk zijn voor de informatiesystemen en -beveiliging gezamenlijk nadenken over de wijze van beveiliging, al vóórdat ze persoonsgegevens gaan verzamelen. De beveiliging van persoonsgegevens binnen een organisatie moet gedurende de gehele levensduur van een infor­matiesysteem punt van aandacht zijn, van het allereerste ontwerp tot aan het onomkeerbaar wissen van het laatste back-up-bestand na afloop van de bewaartermijn. De beveiliging past binnen het bredere verband van privacy by design, waarbij de bescherming van persoonsgegevens en de borging van de rechten van de betrokkenen vanaf het allereerste begin in de informatiesystemen wordt ingebouwd.

‘Plan-do-check-act’

Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plan-do-check-act-cyclus in de dagelijkse praktijk van de organisatie noodzakelijk. Dat komt kort gezegd op het volgende neer:

Tot slot

Met deze richtsnoeren wil het CBP duidelijk maken wat het van de beveiliging van persoonsgegevens verwacht. Daarbij heeft een organisatie de ruimte om de beveiliging van persoonsgegevens in te richten op de wijze en met de middelen die in de specifieke situatie van deze organisatie het meest passend zijn. Een organisatie dient hierbij altijd de rechten van de betrokkenen te waarborgen en er moet sprake zijn van adequate, vakkundig toegepaste beveiliging waarbij de organisatie optimaal benut wat het vakgebied informatiebeveiliging te bieden heeft.

Inleiding

Iedereen moet erop kunnen vertrouwen dat zijn of haar persoonsgegevens voldoende worden beveiligd. Als dit niet zo is, kan dat leiden tot schade voor de betrokkenen (degenen op wie de persoonsgegevens betrekking hebben). Datalekken kunnen bijvoorbeeld tot gevolg hebben dat betrokkenen het slachtoffer worden van identiteitsfraude, oplichting of andere vormen van misbruik van hun persoonsgegevens. Ook als persoonsgegevens incorrect, verouderd of onvolledig zijn, kan dit de betreffende personen ernstig belemmeren in hun deelname aan het maatschappelijk leven. Een consequentie van het gebruik van foutieve of achterhaalde persoonsgegevens kan bijvoorbeeld zijn dat mensen geen toegang krijgen tot voorzieningen waar ze recht op hebben. Een van de belangrijkste doelstellingen van de beveiliging van persoonsgegevens is het voorkomen van dergelijke schade en waar deze zich toch voordoet, de gevolgen voor de betrokkenen zo veel mogelijk te beperken.

Het College bescherming persoonsgegevens (CBP) houdt toezicht op de naleving van de Wet bescherming persoonsgegevens (Wbp) en aanverwante wetten. Hoofdstuk 1 van deze richtsnoeren geeft de eisen weer die de Wbp stelt aan het beveiligen van persoonsgegevens. Hoofdstuk 2, 3 en 4 geven aan hoe het CBP de beveiliging van persoonsgegevens beoordeelt en hoofdstuk 5 gaat nader in op het toezicht door het CBP. Deze richtsnoeren dienen voor het CBP als uitgangspunt bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens en bij het toepassen van handhavende maatregelen.

De beveiliging van persoonsgegevens wordt in deze richtsnoeren in algemene zin beschreven, waarbij is aangesloten op standaarden, methoden en maatregelen die in het vakgebied informatiebeveiliging gebruikelijk zijn. In specifieke situaties kunnen organisaties ook met andere standaarden, methoden en maatregelen het vereiste beveiligingsniveau bereiken. Bij onderzoeken en beoordelingen van de beveiliging van persoonsgegevens zijn deze richtsnoeren voor het CBP evenwel het uitganspunt.

In deze richtsnoeren is een aantal praktijkvoorbeelden opgenomen. Deze praktijkvoorbeelden dienen uitsluitend ter illustratie. De voorbeelden gaan uit van de situatie bij het verschijnen van deze richtsnoeren en kunnen in de loop van de tijd door nieuwe ontwikkelingen worden achterhaald.

Deze richtsnoeren gelden voor verwerkingen van persoonsgegevens waarop de Wbp van toepassing is, zowel in de publieke als in de private sector. De richtsnoeren richten zich primair op de bestuurlijke verankering van de beveiliging van persoonsgegevens in organisaties. Bij het implementeren, controleren en evalueren van beveiligingsmaatregelen binnen een organisatie dient de organisatie deze richtsnoeren te gebruiken in samenhang met de algemeen geaccepteerde beveiligingsstandaarden die binnen het vakgebied informatiebeveiliging beschikbaar zijn.

Het beveiligen van persoonsgegevens is een van de verplichtingen die de Wbp oplegt aan verant­woordelijken voor de verwerking van persoonsgegevens. De beveiligingsmaatregelen die de verantwoordelijke treft, zijn onderdeel van het totaal aan maatregelen dat de verantwoordelijke neemt om te voldoen aan de Wbp. Bij de beoordeling van de rechtmatigheid van een verwerking spelen ook de overige bepalingen uit de Wbp een rol. Deze richtsnoeren gaan niet uitputtend in op deze andere bepalingen.

Behalve de Wbp kunnen op verwerkingen van persoonsgegevens nog andere wetten of regels van toepassing zijn. Voorbeelden van dergelijke regels zijn het Besluit voorschrift informatiebeveiliging rijksdienst 2007 (hierna: vir 2007)1Stcrt. 2007, 122, p. 11. Het VIR 2007 geldt voor de ministeries met de daaronder vallende diensten, bedrijven en instellingen. en het Besluit voorschrift rijksdienst – bijzondere informatie (hierna: vir-bi)2Stcrt. 2004, 47; rectificatie in Stcrt. 2004, 49. Het VIR-BI is een aanvulling op het VIR 2007 en is van toepassing op de beveiliging van informatie waarvan de kennisname door niet-gerechtigden schade of nadeel op kan leveren voor de staat, zijn bondgenoten of een of meer ministeries.. Organisaties dienen bij de beveiliging van persoonsgegevens te voldoen aan alle wetten en regels die van toepassing zijn. Deze richtsnoeren gaan niet in op deze overige wet- en regelgeving.

De Registratiekamer, de voorloper van het CBP, bracht in 2001 een publicatie uit over de beveiliging van persoonsgegevens (hierna: a&v 23).3G.W. van Blarkom en drs. J.J. Borking, ‘Beveiliging van persoonsgegevens’, Achtergrondstudies en Verkenningen nr. 23, Registratiekamer, april 2001 (http://www.cbpweb.nl/downloads_av/av23.pdf). Deze richtsnoeren vervangen a&v 23.

a&v 23 schreef op basis van een risicoclassificatie beveiligingsmaatregelen voor. De risico­classificatie was gebaseerd op de aard van de verwerkte persoonsgegevens in combinatie met de hoeveelheid verwerkte persoonsgegevens en de complexiteit van de verwerking. Een risicogerichte benadering, waarbij op basis van analyse van de risico’s gericht beveiligingsmaatregelen worden getroffen, ontbrak. Als gevolg daarvan is a&v 23, in ieder geval waar het gaat om het concreet treffen van beveiligingsmaatregelen, in de loop der jaren steeds verder af komen te staan van de beveiligingspraktijk. In deze richtsnoeren is daarom gekozen voor een methodiek die aansluit bij de gangbare praktijk van de informatiebeveiliging en die verantwoordelijken de flexibiliteit biedt om die beveiligingsmaatregelen te treffen die in hun situatie het meest passend zijn.

Rechterlijke uitspraken kunnen naast wetswijzigingen, technische ontwikkelingen en praktijk­ervaringen aanleiding geven tot aanvulling of herziening van deze richtsnoeren. Het CBP herziet de richtsnoeren in ieder geval bij de invoering van de algemene verordening gegevensbescherming.4De Europese Commissie stelt een nieuw regelgevend kader voor dat bestaat uit een algemene verordening bescherming persoons­gegevens en een richtlijn die betrekking heeft op de bescherming van persoonsgegevens die worden verwerkt in het kader van politiële en justitiële activiteiten. Meer informatie is beschikbaar op de website van de Eerste Kamer (http://www.eerstekamer.nl/eu/edossier/e120003_voorstel_voor_een) en op de website van de Europese Commissie (http://ec.europa.eu/justice/data-protection/).

Bij het opstellen van de richtsnoeren is overigens zo veel mogelijk rekening gehouden met de relevante bepalingen uit de verordening.

Deze richtsnoeren treden in werking met ingang van 1 maart 2013, zijnde de datum van publicatie in de Staatscourant.

1. Beveiliging in de wbp

Dit hoofdstuk gaat in op de wettelijke verplichting om persoonsgegevens te beveiligen zoals die is opgenomen in de Wet bescherming persoonsgegevens (Wbp). De eisen uit de Wbp die voor deze richtsnoeren relevant zijn staan in dit hoofdstuk weergegeven, voorzien van de relevante onderdelen uit de memorie van toelichting bij de Wbp.5In paragraaf 1.3, 1.4 en 1.5 worden de citaten uit de Wbp gecursiveerd weergegeven. De bijbehorende citaten uit de memorie van toelichting volgen direct na het betreffende citaat uit de Wbp.De volledige tekst van de geciteerde wetsartikelen is opgenomen in een bijlage bij deze richtsnoeren.

1.1. Achtergrond

De beveiliging van persoonsgegevens is onderdeel van de informationele privacy: de bescherming van de persoonlijke levenssfeer bij het verzamelen en verwerken van persoonsgegevens. De bescherming van de persoonlijke levenssfeer is een van de grondrechten van onze rechtsorde.6Artikel 10 Grondwet; artikel 8 Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM); artikel 7 en 8 van het EU-Handvest voor de grondrechten. Sinds 2001 wordt hieraan uitvoering gegeven door de Wbp, die tevens de implementatie vormt van de Europese richtlijn 95/46/eg.

1.2. Begrippen uit de Wbp

Voor deze richtsnoeren zijn de volgende begrippen uit de Wbp relevant:

1.3. Artikel 12 Wbp: verwerking in opdracht; geheimhoudingsplicht

Artikel 12 Wbp richt zich op de bewerker en op hen die onder het gezag van de verantwoordelijke of de bewerker werkzaam zijn. Zij verwerken uitsluitend persoonsgegevens in opdracht van de verantwoordelijke:

“Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.”19Artikel 12 lid 1 Wbp.

“Het uitgangspunt is dat de verantwoordelijke verantwoordelijk en aansprakelijk is voor de gegevensverwerking. Deze verantwoordelijkheid kan hij slechts dragen wanneer zijn ondergeschikten of degenen die in opdracht van de verantwoordelijke gegevens verwerken, zich naar zijn aanwijzingen richten.”20Kamerstukken II 1997-1998, 25 892, nr. 3, p. 97.

Verder wordt aan hen een geheimhoudingsplicht opgelegd:

“De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.”21Artikel 12 lid 2 Wbp.

“[Deze] bepaling legt een geheimhoudingsplicht op aan de bewerker, alsmede degenen die onder het gezag van de verantwoordelijke of de bewerker werkzaam zijn. In beginsel kan slechts een uitdrukkelijke wettelijke verplichting op de geheimhoudingsplicht een inbreuk maken.”22Kamerstukken II 1997-1998, 25 892, nr. 3, p. 97.

1.4. Artikel 13 Wbp: beveiliging

De verantwoordelijke treft passende beveiligingsmaatregelen:

“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.”23Artikel 13 Wbp.

“Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan.”24Kamerstukken II 1997-1998, 25 892, nr. 3, p. 98.

De maatregelen garanderen een passend beveiligingsniveau:

“Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico”s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.”25Artikel 13 Wbp.

“In het begrip ‘passend’ ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek. [...] Het begrip ‘passend’ duidt mede op een proportionaliteit tussen de beveiligingsmaatregelen en de te beschermen gegevens. Naarmate bijvoorbeeld de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging.

Er moet sprake zijn van een adequate beveiliging.”26Kamerstukken II 1997-1998, 25 892, nr. 3, p. 99.

“Er kunnen geen algemene uitspraken worden gedaan over wat als een ‘passende beveiligingsmaatregel’ kan worden beschouwd. [...] Dit criterium moet in het licht van de concrete omstandigheden worden ingevuld en is voor een deel dynamisch. Het vereiste niveau van bescherming is hoger naarmate er meer mogelijkheden voorhanden zijn om dat niveau te waarborgen. [...] In het algemeen kan worden gesteld dat indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd deze als ‘passend’ moeten worden beschouwd, terwijl kosten die disproportioneel zijn aan de extra beveiliging die daardoor zou worden verkregen, niet worden vereist. Met zich ontwikkelende techniek zal periodiek een nieuwe afweging moeten worden gemaakt.”27Kamerstukken I 1999-2000, 25 892, nr. 92c, p. 15.

Voor de maatregelen geldt verder:

“Technische en organisatorische maatregelen dienen cumulatief te worden getroffen. Software is een belangrijk instrument tot beveiliging. [De Wbp] geeft de normen die mede met behulp van software dienen te worden gehandhaafd.”28Kamerstukken II 1997-1998, 25 892, nr. 3, p. 99.

Naast de beveiliging van persoonsgegevens ziet artikel 13 Wbp ook op de toepassing van privacy enhancing technologies (pet):

“De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”29Artikel 13 Wbp.

“De beveiligingsverplichting die in dit artikel is opgenomen strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. Juridische normen zullen moeten worden vertaald in de feitelijke inrichting en verdere ontwikkeling van informatiesystemen. Steeds meer zullen ‘privacy enhancing technologies’ (pet) daarvoor onmisbaar zijn. Door te eisen dat de inrichting van systemen mede gericht moet zijn op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens, wordt bewerkstelligd dat in plaats van een voortdurende controle op individuele gevallen van onrechtmatig gegevensgebruik het accent meer gelegd kan worden op de structuur van informatiesystemen.”30Kamerstukken II 1999-2000, 25 892, nr. 22.

pet is de verzamelnaam voor een aantal technieken die de verantwoordelijke kan toepassen om bij het verwerken van persoonsgegevens de risico”s voor de betrokkenen te beperken. Een centraal principe van pet is het verminderen van de herleidbaarheid: de mate waarin persoonsgegevens kunnen worden herleid tot de betrokkenen.

De zwaarste vorm van pet is anonimisering van de verwerkte persoonsgegevens. Van anonimisering is sprake als de gegevens op geen enkele manier meer tot de betrokkene te herleiden zijn. Er is dan geen sprake meer van persoonsgegevens en de Wbp is niet meer van toepassing op de gegevens.