Beveiliging van persoonsgegevens - Richtsnoeren College Bescherming Persoonsgegevens

donderdag, 28 maart 2013

Iedere onderneming heeft te maken met de verwerking van persoonsgegevens. Het kan gaan om klantenbestanden met naam- en adresgegevens of personeelsdossiers waar ook salarisgegevens en vaak ook medische gegevens in voorkomen. Bedrijven die persoonsgegevens verwerken dienen op grond van de Wet bescherming persoonsgegevens (Wbp) passende technische en organisatorische maatregelen te treffen om deze persoonsgegevens te beveiligen. Daarbij moeten deze maatregelen een passend beveiligingsniveau garanderen gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen.

In het handhavingsbeleid van het College Bescherming Persoonsgegevens (CBP) vormt de beveiliging van persoonsgegevens één van de speerpunten. Om uit te leggen hoe het CBP de wettelijke beveiligingsnormen toepast heeft het Richtsnoeren ‘Beveiliging van persoonsgegevens’ uitgevaardigd die op 1 maart 2013 in werking zijn getreden. Deze richtsnoeren zullen in samenhang met de algemeen geaccepteerde beveiligingsstandaarden het uitgangspunt vormen bij een onderzoek of beoordeling door het CBP.

Het CBP geeft aan dat een ‘passende beveiliging’ enerzijds betekent dat de beveiliging in overeenstemming is met de stand van de techniek en anderzijds dat de beveiligingsmaatregelen in verhouding moeten zijn met de te beschermen gegevens. Dat houdt in dat voor gegevens met een gevoeliger karakter, zoals salaris- en medische gegevens, zwaardere eisen worden gesteld aan de beveiliging dan voor bijvoorbeeld adresgegevens. Daarnaast dient de inrichting van de gegevensverwerking gericht te zijn op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens. Dit kan onder meer door de persoonsgegevens te scheiden in (goed beveiligde) identificeerbare gegevens en niet-identificeerbare gegevens. Mocht bijvoorbeeld in personeelsdossiers medische gegevens van de werknemers worden vermeld, dan zal voor de verzameling van ziekteverzuimgegevens van het bedrijf geen directe koppeling moeten worden gemaakt met de personeelsdossiers, maar een aparte verzameling zonder identificeerbare gegevens worden aangemaakt.

In hoofdstuk 2 van de richtsnoeren staat een overzicht van elementen uit het vakgebied informatiebeveiliging die door het CBP worden beschouwd als de randvoorwaarden om tot passende beveiligingsmaatregelen te komen. Het gaat om risicoanalyse, toepassen van beveiligingsstandaarden en het volgen van een zogenaamd ‘plan-do-check-act-cyclus’.

De ‘plan-do-check-act-cyclus’ bestaat volgens het CBP uit de volgende drie stappen:

"1. Beoordeel de risico’s
Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen en bepaal op basis daarvan het gewenste beveiligingsniveau. Inventariseer vervolgens de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die het beveiligings­incident kan hebben en de kans dat deze gevolgen zich voor zullen doen. Tref op basis daarvan gericht beveiligingsmaatregelen die het gewenste beveiligingsniveau kunnen waarborgen.

2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden
Het vakgebied informatiebeveiliging kent vele beveiligingsmethoden, ­standaarden en ­maatregelen die zijn gebaseerd op ervaringen uit de dagelijkse beveiligingspraktijk. Gebruik bij het nemen van beveiligingsmaatregelen de richtsnoeren in samenhang met de beschikbare beveiligingsstandaarden. Deze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico’s af te dekken.

3. Controleer en evalueer regelmatig
Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd. Beoordeel periodiek of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen en of de beveiligingsmaatregelen nog steeds voldoen. Betrek daarbij ook de stand van de techniek en de nieuwste inzichten binnen het vakgebied informatiebeveiliging. Pas waar nodig de beveiligingsmaatregelen aan.”

In het derde hoofdstuk van de richtsnoeren staan diverse praktijkvoorbeelden van de beveiliging van persoonsgegevens, waarbij een opsomming wordt gegeven van een aantal - vaak noodzakelijke - beveiligingsmaatregelen. Hoofdstuk 4 heeft betrekking op de beveiliging indien de verwerking van persoonsgegevens door een bewerker, zoals een ICT-dienstverlener, wordt verricht. Tot slot wijst het CBP in het laatste hoofdstuk van de richtsnoeren op zijn eigen handhavende rol en de mogelijkheid tot het toepassen van bestuursdwang indien de Wbp niet wordt nageleefd.

De volledige richtsnoeren zijn te vinden op de website van het CBP, zie: http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf