Beveiliging persoonsgegevens: denk aan controle logbestanden!
Op 20 september 2018 kwam het bericht van de Autoriteit Persoonsgegevens dat zij 40.000 euro heeft gevorderd van de Nationale Politie. Het gaat om een dwangsom die de Nationale Politie moet betalen, omdat zij haar logbestanden niet regelmatig controleert. Om persoonsgegevens voldoende te beveiligen moet het gebruik van systemen worden geregistreerd. Ook moet het geregistreerde gebruik regelmatig worden gecontroleerd.
Passende beveiliging
Eén van de belangrijkste vereisten van de privacyregelgeving is de beveiliging van persoonsgegevens. Persoonsgegevens moeten op grond van de Algemene Verordening Gegevensbescherming (AVG) passend worden beveiligd tegen vernietiging, verlies, wijziging of ongeoorloofde toegang. Wat passend is hangt af van de risico’s voor de persoon wiens gegevens worden verwerkt. Daarvoor is relevant om welk soort gegevens het gaat. Niet zo’n gevoelige gegevens, zoals een naam of e-mailadres kunnen beveiligd worden met andere beveiligingsmaatregelen dan erg gevoelige gegevens, zoals gezondheidsgegevens of inlogcodes. Om te bepalen welke maatregelen passend zijn zal daarom een risicoanalyse moeten worden uitgevoerd.
Technische én organisatorische maatregelen
Om de systemen te beveiligen en ervoor te zorgen dat alleen bevoegde personen toegang hebben tot bepaalde gegevens zijn technische maatregelen nodig. Maar alleen technische maatregelen zijn onvoldoende om persoonsgegevens passend te beveiligen. Als iemand zijn inlogcodes ‘op straat gooit’, dan kunnen onbevoegden toch bij de beveiligde gegevens. Om te kunnen nagaan of persoonsgegevens onrechtmatig worden ingezien of gebruikt, is loggen essentieel. Aan de hand van logbestanden kan namelijk worden achterhaald wie toegang had tot welke gegevens en wie welke gegevens heeft gewijzigd. Om dat te achterhalen moeten de logbestanden natuurlijk wel worden gecontroleerd. En daar gaat het mis bij de Nationale Politie.
Dwangsom Nationale Politie
De Autoriteit Persoonsgegevens (AP) heeft in 2015 onderzocht hoe de Nationale Politie gegevens verwerkte bij het gebruik van het nationaal Schengeninformatiesysteem van de tweede generatie (N.SIS II). Daarbij constateerde de AP vijf kwetsbaarheden, waarvoor een last onder dwangsom werd opgelegd van 200.000 euro. Binnen de termijn van zes maanden zijn vier van de vijf noodzakelijke maatregelen getroffen. De vijfde maatregel was de regelmatige en proactieve controle op de logbestanden. Dat is nog onvoldoende geregeld, waardoor de Nationale Politie een vijfde van 200.000 euro, dus 40.000 euro moet betalen. De Nationale Politie moet van de AP beter controleren wie bepaalde gegevens gebruikt of inziet.
Loggen en meldplicht datalekken
Beveiliging van persoonsgegevens en de meldplicht datalekken liggen in elkaars verlengde. Als er een inbreuk op de beveiliging plaatsvindt en daarbij persoonsgegevens verloren gaan of deze kunnen toegankelijk zijn voor onbevoegden, dan is er sprake van een datalek. Als niet gelogd en gecontroleerd wordt of onbevoegden toegang hebben gehad tot je systemen, dan weet je ook niet of je een datalek hebt dat gemeld zou moeten worden.