In dit artikel wordt uiteengezet wat de belangrijkste ontwikkelingen zijn rondom de Algemene verordening gegevensbescherming (AVG) en informatiebeveiliging, en wat de samenhang hiertussen is. De volgende onderwerpenkomen aan de orde: de samenhang tussen privacy en informatiebeveiliging, wetten en normen, ISO 27701 als framework voor de AVG, Data Protection Impact Assessments (DPIA) en het omgaan met en het voorkomen van datalekken.
coauteur: Erie Berhitu
Voor veel organisaties gelden de termen privacy en informatiebeveiliging als synergetische, overlappende onderwerpen. Heb je het over privacy, dan bedoel je vaak informatiebeveiliging, en vice versa. Niet heel gek, want privacy en informatiebeveiliging gaan hand in hand met elkaar. Eigenlijk verschillen beide concepten vooral op een essentieel vlak: privacy gaat namelijk over het correct, voor een bepaald doel, gebruiken van verzamelde persoonsgegevens. Informatiebeveiliging daarentegen draait om de inspanningen die we verrichten om te zorgen dat deze gegevens vertrouwelijk, integer en beschikbaar blijven.
Kort gezegd: een organisatie mag alleen die persoonsgegevens verzamelen die nodig zijn voor het achterliggende doel (privacy), maar heeft vervolgens wel de plicht om te zorgen dat deze gegevens niet in verkeerde handen vallen, niet onjuist zijn en altijd beschikbaar zijn wanneer de situatie hierom vraagt (informatiebeveiliging). In dat opzicht hebben privacy en informatiebeveiliging een soort doel-middelrelatie met elkaar. Steeds vaker wordt daarom gekozen voor een geïntegreerde aanpak van de twee onderwerpen. Later in deze factsheet gaan wij verder in op deze geïntegreerde aanpak aan de hand van ISO 27701, de nieuwste norm op het gebied van zowel informatiebeveiliging als privacy.
Er was vanaf het eerste moment al kritiek op de informatiebeveiligingsbepalingen van de AVG. Deze zouden niet duidelijk genoeg zijn, waardoor organisaties niet wisten wat voor maatregelen zij moesten treffen om hun informatiebeveiliging compliant te krijgen. Al snel bleek dat de oplossing hiervoor lag in het volgen van bepaalde normenkaders. Privacy wordt vooralsnog overwegend gedreven vanuit wetgeving. Informatiebeveiliging wordt juist gedreven vanuit normenkaders, zoals de ISO 27001-norm. De (toch wel) abstracte algemene wetgeving aan de ene kant en het concrete specifieke normenkader aan de andere kant.
Het voor- en nadeel van wetgeving is dat het ruim te interpreteren valt. Het voordeel is dat je de vrijheid hebt om privacy en informatiebeveiliging in te richten zoals jij dat passend acht, zonder dat je de wet met voeten treedt. Het nadeel is dat je niet zeker weet wanneer je nou wel of niet aan de wet voldoet.
Het voor- en nadeel van een ISO-norm daarentegen is dat het actueler is en als graadmeter kan worden gezien voor ‘de stand van de techniek’. Het voordeel is dat je snel kunt inspelen op veranderingen in technologie, wetgeving en bedrijfsrisico’s. Het nadeel is dat je het duurzaam moet inrichten, het tijd en geld kost om te onderhouden en implementatie ervan ingrijpend kan zijn voor de dagelijkse bedrijfsvoering. Vanzelfsprekend betekent conformeren aan de norm ook dat je enigszins inboet aan vrijheid, maar daar zekerheid voor terugkrijgt.
Waar informatiebeveiliging al lang niet meer is weg te denken uit de moderne bedrijfsvoering, komt de bescherming van privacy, sinds de komst van de AVG, eigenlijk pas net om de hoek kijken. De vraag naar concrete handvatten om aantoonbaar privacy te kunnen beschermen neemt flink toe.
De wetgeving blijft namelijk vrij abstract. In de AVG spreekt men, in het kader van informatiebeveiliging, in artikel 32 bijvoorbeeld over het nemen van ‘passende’ maatregelen. Maar, hoe weet je nou of de maatregelen die je hebt genomen ‘passend’ zijn? De AVG beschrijft dit als volgt:
Er moet rekening worden gehouden met de ‘stand van de techniek’ en de ‘uitvoeringskosten’ bij het nemen van technische en organisatorische beveiligingsmaatregelen, en;
De aard, omvang, context, doeleinden en risico’s van persoonsgegevensverwerkingen zijn bepalend voor het niveau van de beveiligingsmaatregelen.
Erg duidelijk is dit dus niet. In ieder geval staat hiermee vast dat je als organisatie zelf moet bepalen wat je nou wel of niet implementeert. Maar, hoe weet je nou of je de juiste maatregelen neemt? Dat doe je door informatiebeveiligingsrisico’s te inventariseren en vervolgens te mitigeren tot een acceptabel niveau.
Voor informatiebeveiliging wordt als risicogebaseerde aanpak al jaren gebruik gemaakt van wereldwijd geaccepteerde normen, zoals de ISO 27001-norm. ISO 27001 helpt om procesmatig en cyclisch informatierisico’s te kunnen beheersen door middel van de implementatie van een ‘Information Security Management System’ (ISMS). Hierbij wordt gekeken naar de kans dat een bedreiging zich voordoet en naar het gevolg ervan voor de bedrijfsvoering. De kern van een ISMS wordt gevormd door een Plan-Do-Check-Act (PDCA)-cyclus, dit houdt in dat continu wordt gestreefd naar verbetering. ISO 27001 zorgt ervoor dat een organisatie aantoonbaar in control is over informatiebeveiligingsrisico’s dankzij de implementatie van een set van maatregelen, processen en procedures die de beschikbaarheid, integriteit en vertrouwelijkheid van informatie verhogen. Iedere organisatie die ISO 27001-norm heeft geïmplementeerd kan zich ook laten certificeren om aan te tonen dat zij serieus omgaan met informatiebeveiliging. ISO 27001 schrijft beleid, maatregelen, processen en procedures voor die onder andere betrekking hebben op het beheersen van beveiligingsincidenten, toegangsbeveiliging, fysieke beveiliging, leveranciersrelaties, bedrijfscontinuïteit en de interne organisatie omtrent informatiebeveiliging.
Het ISMS en de PDCA-cyclus
Het ISMS bestaat uit zowel technische (IT) als organisationele onderdelen (zoals gedrag van medewerkers, beleid, de interne organisatie en procedures en richtlijnen). Dankzij het ISMS krijgt een organisatie grip op informatiebeveiliging. Een aantal activiteiten, zoals het periodiek uitvoeren van interne audits en risicoanalyses, is daarbij verplichte kost. Door het juist inrichten van een ISMS en het uitvoeren van de verplichte activiteiten kan een organisatie aantonen dat voldoende aandacht wordt besteed aan informatiebeveiliging.
Het ISMS gaat uit van de zogenaamde PDCA-cyclus (Plan, Do, Check, Act). Je bepaalt achtereenvolgens wat bedrijfskritisch is en welke risico’s moeten worden beheerst (Plan), wat je vervolgens moet doen om dit te verbeteren (Do), of een risico daadwerkelijk aanwezig is (Check) en hoe je uiteindelijk het proces verbetert (Act). Continu anticiperen en verbeteren is het uitgangspunt om goed te kunnen acteren op steeds veranderende dreigingen.
Waar dit soort praktische raamwerken voor informatiebeveiliging al jaren als norm gelden, is er voor privacy en de AVG angstvallig weinig op dit gebied. Hoe ideaal zou het echter zijn als je ook de garantie kunt afgeven dat je persoonsgegevens op een privacyvriendelijke manier verwerkt? Gelukkig is daar nu ISO 27701,(1) een norm die bedoeld is om de verbanden tussen de AVG- en ISO-wereld te leggen.
Ook ISO 27701 kent een Plan-Do-Check-Act-cyclus, waarmee privacy in het ISMS wordt geïntegreerd. Op die manier wordt deels invulling gegeven aan het juridische begrip ‘passend’, zoals in artikel 32 van de AVG. Werken via een PDCA-cyclus dwingt een organisatie er namelijk toe om continu verbeteringen door te voeren – en daarmee beter aan te sluiten bij – wat de AVG 'de stand van de techniek’ noemt. En uiteraard is er ook aandacht besteed aan specifieke onderwerpen als de verplichtingen voor de verwerkingsverantwoordelijke, de verwerker en de functionaris voor de gegevensbescherming (FG).
Hoe ISO 27701 in de praktijk werkt bespreken we in een latere editie van deze reeks factsheets.
De AVG vereist in bepaalde omstandigheden dat bij beoogde gegevensverwerkingen risicogebaseerd moet worden gekeken naar de risico’s van de verwerking voor de betrokkenen. Deze risicoanalyse staat ook wel bekend als een Data Protection Impact Assessment (DPIA). In artikel 35 van de AVG staat beschreven dat vóór de verwerking een beoordeling moet plaatsvinden van de gevolgen op de bescherming van persoonsgegevens. Het is vormvrij hoe een DPIA wordt uitgevoerd, maar de wet stelt in ieder geval de volgende eisen:
Allereerst dient op beknopte wijze alle relevante informatie over de gegevensverwerking te worden vastgelegd. Hierbij valt te denken aan de wijze waarop persoonsgegevens worden verwerkt, wie er intern verantwoordelijk is voor de verwerkingsactiviteit en wat de achterliggende doeleinden zijn.
Vervolgens moet gekeken worden of de voorgenomen activiteit voldoet aan de AVG. Dit gebeurt door te kijken naar de noodzakelijkheid en de evenredigheid van de verwerking met betrekking tot de verwerkingsdoeleinden, bijvoorbeeld door te beoordelen of er niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk.
Deze wettelijke toets vormt de basis om daarna de privacyrisico’s voor betrokkenen te beoordelen. Het kan namelijk zijn dat een betrokkene een hoog risico loopt op identiteitsfraude of discriminatie.
Uiteindelijk zal het totaal aan gevonden risico’s gemitigeerd moeten worden tot een acceptabel risiconiveau. Dit doe je door technische en organisatorische beveiligingsmaatregelen te nemen waar de risico’s het grootst zijn. Het is dan handig om te kijken in hoeverre één beheersmaatregel meerdere risico’s kan afdekken.
Het is al sinds de vorige privacywet, de Wet bescherming persoonsgegevens (Wbp), verplicht om datalekken te melden aan de Autoriteit Persoonsgegevens, en in sommige gevallen zelfs aan de betrokkenen zelf. Hiervoor zijn wederom de privacyrisico’s voor de betrokkenen leidend. In de artikelen 33 en 34 van de AVG staat beschreven dat een datalek zelfs al binnen 72 uur na ontdekking moet worden gemeld.
Niet ieder informatiebeveiligingsincident is een datalek. De beschikbaarheid, integriteit of vertrouwelijkheid van een systeem of applicatie kan worden aangetast zonder dat betrokkenen hierbij een privacyrisico lopen. Een klassiek voorbeeld hiervan is een gestolen laptop die versleuteld is of op afstand reeds is gewist. Het is dan niet nodig om een melding te maken. Maar, ook het omgekeerde kan waar zijn. Een informatiebeveiligingsincident dat vrij onschuldig lijkt kan juist weer wel een datalek zijn. Hierbij valt te denken aan een e-mail met gevoelige informatie die aan één verkeerde persoon is gestuurd. Ook in dat geval is het verplicht om een melding te maken.
Er is een breed scala aan technische en organisatorische maatregelen te bedenken om de kans op datalekken te verkleinen. Denk hierbij op organisatorisch vlak aan het maken van werkinstructies, het initiëren van bewustwordingscampagnes en het bepalen van rollen en verantwoordelijkheden omtrent privacybescherming. En denk op technisch vlak aan maatregelen als het afdwingen van wachtwoorden en automatische vergrendeling, het inrichten van logisch toegangsbeheer of het faciliteren van een VPN-verbinding.
Echter, ook hierbij geldt: de juiste maatregelen moeten worden geselecteerd op basis van de uitkomsten van een risicoanalyse. Het uitgangspunt hierbij is dat je met reële middelen de verschillende risico’s maximaal beheerst.
(1) https://www.privacy-web.nl/artikelen/iso-27701-en-privacy-informatiemanagement
Zie ook: Dataprivacy: een vakgebied in ontwikkeling
Meer artikelen van BDO