AVG & AP: beveiliging persoonsgegevens topprioriteit?

De beveiliging van persoonsgegevens is al lange tijd een topprioriteit van de Autoriteit Persoonsgegevens (AP). Ook sinds de komst van de Algemene Verordening Gegevensbescherming (AVG of ook GDPR genoemd) is dit niet anders. Al meerdere organisaties zijn op de vingers getikt door de AP, omdat de beveiliging niet voldoende op orde was.

Waarom is beveiliging van persoonsgegevens belangrijk? Hoe moeten persoonsgegevens zijn beveiligd? Wat zijn concrete en passende beveiligingsmaatregelen?

In deze blog krijg je niet alleen een antwoord op deze vragen, maar delen we ook een checklist die als hulpmiddel kan dienen bij het opstellen van een beveiligingsbeleid.

Dit is deel 3 van onze blogreeks: ‘AVG & AP: 8 ontwikkelingen en actualiteiten’.

In de eerste plaats voor je reputatie. Een bericht in de krant dat je de persoonsgegevens van je klanten niet goed beveiligt geeft een deuk in het vertrouwen in je organisatie.

Een slechte beveiliging kan bovendien leiden tot een datalek met alle kosten van dien. Denk hierbij aan de kosten om het datalek aan te pakken en de kosten om mensen te informeren en gerust te stellen. In beide gevallen met het reële risico dat klanten overstappen naar een concurrent.

De Autoriteit Persoonsgegevens (AP) handhaaft ook actief als het gaat om de beveiliging van persoonsgegevens. In het najaar van 2018 heeft de AP het UWV een sanctie opgelegd om het UWV te dwingen om de persoonsgegevens in het werkgeversportaal beter te beveiligen. Als het UWV op 31 oktober van dit jaar het beveiligingsniveau van het werkgeversportaal nog niet op orde heeft, zal het UWV 150.000 euro per maand moeten betalen aan dwangsommen met een maximum van 900.000 euro.

Ook de Nationale Politie kreeg een sanctie van de AP en moest 40.000 euro betalen, omdat ze geen passende beveiligingsmaatregelen had getroffen. Inmiddels is bekend gemaakt dat de Nationale Politie voldoet aan de gestelde eisen.

Persoonsgegevens moeten op grond van de Algemene Verordening Gegevensbescherming (AVG) passend worden beveiligd tegen vernietiging, verlies, wijziging of ongeoorloofde toegang. Passend betekent dat de beveiligingsmaatregelen moeten zijn afgestemd op de risico’s voor de personen van wie gegevens worden verwerkt.

Er is dus een risicoanalyse nodig om de juiste maatregelen te kunnen treffen. Daarbij moet beoordeeld worden welke risico’s de aard van de persoonsgegevens meebrengen en wat de risico’s van de verwerking zelf zijn. Zo is je e-mailadres een stuk minder gevoelig dan de hoogte van je salaris of je medisch dossier.

Het leidt ook tot andere risico’s wanneer er in een gesloten systeem maar een paar personen toegang hebben tot de gegevens in vergelijking met gegevens die online beschikbaar zijn.

Hoe je deze risico’s kunt vertalen naar concrete beveiligingsmaatregelen omschrijft de AP in haar Richtsnoeren Beveiliging Persoonsgegevens. Daarin geeft de AP onder meer aan dat relevant is welke gevolgen een betrokkene kan ondervinden bij het verlies of de onrechtmatige verwerking van zijn persoonsgegevens. Denk daarbij onder meer aan: blootstelling aan identiteitsfraude, financiële verliezen, stigmatisering, reputatieschade of schade aan de gezondheid. Hoe groter de gevolgen kunnen zijn, hoe beter de persoonsgegevens beveiligd moeten worden.

De AVG noemt een aantal concrete maatregelen die passend kunnen zijn. Dat zijn:

Het gaat bij beveiligingsmaatregelen niet alleen om technische maatregelen, zoals een firewall of een beveiligde verbinding, maar ook om organisatorische maatregelen, zoals een clean desk policy. Uit de informatie op de website van de AP en uit de onderzoeken van de AP die betrekking hebben op de beveiliging van persoonsgegevens kunnen een aantal concrete maatregelen afgeleid worden die de AP verwacht in het kader van een passende beveiliging. Ik noem er twee.

In het rapport van de UWV gaat het om toegangsbeveiliging. De AP geeft aan dat de verwerking van gezondheidsgegevens via internet alleen is toegestaan met behulp van (minimaal) meerfactorauthenticatie. Dit is een vorm van (toegangs)beveiliging waarbij de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te krijgen tot een computer of applicatie. Bijvoorbeeld met een wachtwoord in combinatie met een sms-code of een one time password.

In het onderzoek van de Nationale Politie wijst de AP over het belang van logging en het controleren van de logbestanden. Via logbestanden kan worden nagegaan of er pogingen zijn geweest om ongeautoriseerd toegang te krijgen tot bepaalde gegevens. Om dat te achterhalen moeten de logbestanden natuurlijk wel worden gecontroleerd. En daar ging het volgens de AP mis bij de Nationale Politie.

Op grond van de AVG moet je kunnen aantonen dat je de persoonsgegevens goed hebt beveiligd. Daarvoor is een beveiligingsbeleid essentieel. Daarin moeten niet alleen de getroffen maatregelen worden opgenomen, maar ook aard van de verwerkingen, de categorieën van persoonsgegevens, de risicoanalyses en het borgen van de plan-do-check-act cyclus binnen de organisatie.

Ik heb aan de hand van de genoemde Richtsnoeren beveiliging van persoonsgegevens van de AP een checklist opgesteld die als hulpmiddel kan dienen bij het opstellen van een beveiligingsbeleid. Die checklist kun je hier downloaden.

Uiteraard houden we je op de hoogte van de uitkomsten van de controles door de AP. Wil je meer weten over de AVG of de acties van de AP? Abonneer je dan op de blog update Ondernemerszaken en/of het thema Privacy.

Mocht je vragen hebben over privacy of de AVG, neem dan contact op met één van onze privacy specialisten Chantal Grouls of Marieke Thijssen.