Doel van de Wet digitale overheid (Wdo) is het regelen van veilig en betrouwbare inlogsystemen voor Nederlandse burgers en bedrijven bij de (semi-)overheid. Bestuursorganen moeten hun diensten dus digitaal beschikbaar maken en kunnen aansluiten op goedgekeurde identificatiemiddelen. Ook verankert deze wet taken, verantwoordelijkheden en bevoegdheden met betrekking tot de digitale voorzieningen voor bestuursorganen. Dit blog gaat in op onderwerpen uit het wetsvoorstel en het aanvullende (concept) Besluit digitale overheid* (hierna: 'het Besluit') die, in aanvulling op de Algemene verordening gegevensbescherming (AVG), van belang zijn in het kader van de bescherming van persoonsgegevens.
De in dit wetsvoorstel genoemde adressaten (Ministers, bestuursorganen en aangewezen organisaties, private partijen) verwerken persoonsgegevens ten behoeve van:
Goede toegang tot elektronische dienstverlening; en,
In het verlengde daarvan, het voorkomen van misbruik of oneigenlijk gebruik van de toegang tot elektronische dienstverlening, persoonsgegevens.
Om de persoonlijke levenssfeer te beschermen beoogt de wet daarom ook eisen te stellen inzake verwerking, beveiliging en betrouwbaarheid van persoonsgegevens.
De verwerking van het Burgerservicenummer (BSN) is enkel toegestaan indien daarvoor een specifieke wettelijke grondslag in het leven is geroepen, zo volgt uit de Uitvoeringswet AVG. Artikel 16 van het huidige wetsvoorstel bevat een dergelijke wettelijke grondslag voor de verwerking van het BSN. Deze wettelijke grondslag is echter slechts beperkt tot verwerking in het kader van:
Authenticatie en de in dat verband betrokken digitale voorzieningen;
Toegangsverlening tot elektronische diensten
Voorkomen, herkennen en herstellen van misbruik en oneigenlijk gebruik.
Het verlenen van elektronische diensten an sich behoort tot het beleidsdomein en de verantwoordelijkheid van het desbetreffende bestuursorgaan of aangewezen organisatie en valt buiten de werkingssfeer van deze wet. Voor de verwerking van het BSN en andere persoonsgegevens in het kader van de betreffende elektronische dienst dient dus een zelfstandige verwerkingsgrondslag aanwezig te zijn.
Het principe 'Privacy by Design', zoals we kennen uit artikel 25 AVG, wordt door de wetgever specifiek van belang geacht. Dit principe houdt in dat gedurende het hele proces – dus vanaf ontwerp tot en met de uitvoering – passende maatregelen moeten worden genomen om te zorgen dat de beginselen van gegevensbescherming op een doeltreffende manier worden uitgevoerd en dat naleving daarvan gewaarborgd is.
De volgende factoren worden in het kader van de Wdo in elk geval van belang geacht:
Dataminimalisatie: elke partij verwerkt voor het verlenen van toegang slechts die persoonsgegevens die noodzakelijk zijn voor het doel;
Het vermijden van hotspots: het zo veel mogelijk vermijden van grote concentraties van persoonsgegevens;
Het gebruik van privacy enhancing technologies: de bescherming van persoonsgegevens wordt waar mogelijk systematisch afgedwongen, door technieken als automatische anonimisatie of het automatisch verwijderen van persoonsgegevens op het moment dat de bewaartermijn bereikt is;
Incident impact beperking: maatregelen die de impact van een eventueel beveiligingsincident direct kunnen beperken.
Vanuit de AVG hangt het principe van 'Privacy by Default' samen met Privacy by Design. Privacy by Default houdt in dat passende maatregelen dienen te worden getroffen om te zorgen dat enkel die persoonsgegevens worden verwerkt die noodzakelijk zijn voor de verwerkingsdoeleinden. Denk hierbij aan de hoeveelheid persoonsgegevens, de mate van verdere verwerking, de duur van de opslag en de toegang tot persoonsgegevens.
Op grond van de AVG dienen beveiligingsmaatregelen te worden genomen die passend zijn met het oog op de mogelijke veiligheidsrisico’s. Zowel technische als organisatorische maatregelen zijn van belang. De AVG bevat echter geen concrete maatregelen – per geval zal moeten worden beoordeeld welke maatregelen passend worden geacht.
De Wdo en het Besluit daarentegen, bevatten wel een aantal concrete maatregelen die in elk geval moeten worden genomen:
Er dient een informatiebeveiligingsbeleid te worden opgesteld, waarin onder meer een veiligheidsplan is opgenomen;
Ook dient de bedrijfsvoering jaarlijks te worden beoordeeld en waar nodig te worden bijgesteld ('plan-do-check-act');
Personeel moet in staat zijn om het beveiligingsbeleid uit te voeren;
Er moet gebruik worden gemaakt van logbestanden die regelmatig worden gecontroleerd;
De beveiligingssystemen worden jaarlijks gecontroleerd middels een audit.
Deze maatregelen zijn na inwerkingtreding niet vrijblijvend, maar juridisch bindend.
Al voor de inwerkingtreding van de AVG bestond in Nederland de meldplicht bij datalekken. Op grond van de AVG geldt deze nog steeds.
In aanvulling daarop dienen bestuursorganen beveiligingsincidenten onverwijld te melden bij de Minister. Beveiligingsincidenten zijn in dat geval: een inbreuk op de beveiliging of de integriteit van een eigen elektronische dienst of van misbruik of oneigenlijk gebruik van de toegang tot de eigen elektronische dienstverlening. Hieronder vallen zowel inbreuken op de (technische) beveiliging (hacken, DDoS-aanvallen) als bewuste inbreuken op de processen voor dienstverlening en systemen van bestuursorganen en aangewezen organisaties.
Deze meldplicht is in het leven geroepen zodat de Minister kan handhaven in geval onveilige of onbetrouwbare situaties. De Minister kan preventief optreden, maar in het meest vergaande geval kan de Minister een dienst volledig afsluiten.
*Het wetsvoorstel is reeds goedgekeurd door de Tweede Kamer en zal, indien het wordt aangenomen door de Eerste Kamer, gefaseerd in werking treden.
Meer artikelen van AKD