Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.3.4
3.3.4 Beschikbaarheid
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660875:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Pfleeger 2003, p. 504; Dunn 2005, p.4; Art. 29-werkgroep 2018, WP 196, §3.4.3; Orji 2012, §1.3.2.2; Arnbak 2016; p. 156; De Oliveira Albuquerque e.a. 2015, p. 374; Awesta 2020, §3.3.2; ISO 27000:2020, §3.7. Overigens bestaat er wel enige discussie over de precieze definitie van dit beveiligingsdoel, zie Qadir & Quadri 2016. Zie §1.4.3 over het begrip ‘autorisatie’.
Zie Qadir & Quadri 2016.
Zie over deze beveiligingsdoelen §3.3.2 en §3.3.3.
De vernietiging of verwijdering van deze objecten of essentiële onderdelen daarvan, zal immers tot gevolg hebben dat zij geheel of gedeeltelijke ontoegankelijk worden, waardoor geautoriseerde personen en systemen de handelingen waartoe zij zijn geautoriseerd niet meer kunnen verrichten. Zie t.a.v. de betekenis van de termen ‘ongeoorloofd’ en ‘onrechtmatig’ in de context van de AVG §1.4.3.
Zie trouwens anders art. 29-werkgroep 2017, WP 250REV.01, I.B.2, waarin wordt uitgegaan van andere definities beschikbaarheid en integriteit. Hierin wordt de verwijdering van gegevens door ongeautoriseerde partijen als een beschikbaarheidsinbreuk beschreven, en niet als een integriteitsprobleem. Dit is (hoewel deze richtsnoeren door de Europese Toezichthouder voor gegevensbescherming zijn onderschreven) echter niet in lijn met de heersende opinie binnen de informatiebeveiliging of de naam van het AVG-beveiligingsbeginsel.
Zie ook §3.2.
Zie en §2.2.1 en §2.3.3.
Zie §1.4.4.
Art. 29-werkgroep 2017, WP 250REV.01, §I.B.2. Overigens was het CBP van mening dat dit aspect van beschikbaarheid buiten het bereik van de beveiligingsbepaling uit de Wbp viel. Zie CBP 2013, §2.2. Aangezien de AP de beveiligingsbepalingen uit de AVG inhoudelijk gelijk acht aan die van de Wbp, is zij waarschijnlijk dezelfde mening toegedaan onder de AVG (AP Boetebesluit OLVG 2020, §3.3.3.2.).
Stallings & Brown 2015, p. 13; Sherman e.a. 2018, §4.1; Frustaci e.a. 2018, p. 2486.
Zie bijv. Cherdantseva & Hilton 2013 – III, §3. Zie uitgebreid over de definitie van beschikbaarheid en dit beveiligingsdoel an sich: Qadir & Quadri 2016. Overigens kan ook de alternatieve (ICT-)infrastructuur die in werking treedt wanneer een van de componenten van de primaire infrastructuur onbeschikbaar is, tot deze infrastructuur worden gerekend.
Bishop 2005, p. 4; Dowd, McDonald & Schuh 2006, §6.1.2; Frustaci e.a. 2018, p. 2486; Europees Comité voor gegevensbescherming 2021, guidelines 01/2021, §2. Zie deze laatste voor een uitgebreide bespreking van het begrip ransomeware.
Vernietigingen en verwijderingen zijn immers ook integriteitsinbreuken (§3.3.2).
Art. 29-werkgroep 2018, WP 196, §3.4.3.1; Wolters & Jansen 2017, p. 5. Zie t.a.v. de betekenis van de AVG-termen ‘ongeoorloofd’ en ‘onrechtmatig’ §1.4.3.
Bokhorst e.a. 2003, §3.1.2.
Bokhorst e.a. 2003, §3.1.2; Art. 29-werkgroep 2018, WP 196, §3.4.3.1; ISO 27002:2017, §11.2.2 en 17.2; Awesta 2020, §3.3.2.
De Oliveira Albuquerque e.a. 2015, p. 3743; ENISA 2017, p. 35.
ISO 27002:2017, §10.1.
Het derde beveiligingsdoel dat terugkomt in de AVG-beveiligingsbepalingen is beschikbaarheid. De AVG bevat geen definitie van dit begrip. Binnen de informatiebeveiligingspraktijk wordt algemeen aangenomen dat de realisatie van dit doel vergt dat personen en systemen die zijn geautoriseerd tot het verrichten van handelingen ten aanzien van informatie deze handelingen te allen tijde kunnen verrichten.1
Vanuit bedrijfseconomisch oogpunt is het van groot belang dat de beschikbaarheid van informatie wordt gewaarborgd. Binnen het informatiebeveiligingsdomein wordt beschikbaarheid dan ook veelal beschouwd als het belangrijkste beveiligingsdoel.2 Zijn rol in de AVG-beveiligingsbepalingen is op het eerste oog echter kleiner dan die van de twee andere beveiligingsdoelen die deel uitmaken van de CIA-triade.3 Het AVG-beveiligingsbeginsel wordt immers slechts aangeduid als het ‘beginsel van integriteit en vertrouwelijkheid’.
Wanneer iemand persoonsgegevens verliest of vernietigt, kan dit grote gevolgen hebben voor hun beschikbaarheid. Het is daarom opvallend dat art. 5 lid 1 onder f AVG – dat expliciet benoemt dat persoonsgegevens tegen onopzettelijk verlies en vernietiging moeten worden beschermd – slechts wordt aangeduid als ‘het beginsel van integriteit en vertrouwelijkheid’.4 Deze aanduiding is vanuit het informatiebeveiligingsdomein bezien echter niet fout. Het onopzettelijk (of ongeoorloofd of onrechtmatig) verliezen en/of vernietigen van gegevens is namelijk in de eerste plaats een integriteitsinbreuk (zie §3.3.3). Daarnaast kan het een beschikbaarheidsinbreuk opleveren, maar daarvan is niet zonder meer sprake.5 Back-ups en andere maatregelen kunnen dit voorkomen.
Dat art. 5 lid 1 onder f AVG wordt aangeduid als beginsel van integriteit en vertrouwelijkheid, heeft er waarschijnlijk mee te maken dat beschikbaarheidswaarborging meer vereist dan alleen het tegengaan van verlies en vernietiging. Als gegevens daadwerkelijk te allen tijde beschikbaar moeten zijn, zullen personen die zijn geautoriseerd tot het verrichten van verwerkingen met deze gegevens immers altijd toegang tot deze gegevens moeten hebben. Dit vereist ook dat verwerkingssystemen en/of -diensten die deze raadpleging mogelijk maken beschikbaar zijn.6 Dat art. 5 lid 1 onder f AVG wordt aangeduid als het beginsel van integriteit en vertrouwelijkheid, impliceert dat deze aspecten van beschikbaarheidswaarborging – die immers ook niet vallen onder de in art. 5 lid 1 onder f AVG genoemde voorbeelden –7 op grond van dit beginsel niet hoeven te worden gewaarborgd. De waarborging van de beschikbaarheid van gegevens lijkt dan ook van minder belang voor de waarborging van passende beveiligingsniveau.
Dat beschikbaarheid in de context van de AVG minder belangrijk lijkt dan vertrouwelijkheid en integriteit, betekent niet dat beschikbaarheid van gegevens alleen hoeft te worden gewaarborgd voor zover zij samenvalt met vertrouwelijkheids- en/of integriteitswaarborging. Het kan ook van belang zijn dat gegevens te allen tijde beschikbaar zijn voor geautoriseerde personen. Het Europees Comité voor gegevensbescherming heeft in dit kader uitgelegd dat het onbeschikbaar zijn van bijvoorbeeld medische data gevolgen kan hebben voor de rechten en vrijheden van natuurlijke personen, waardoor dit een inbreuk in verband met persoonsgegevens kan opleveren. Nu het plaatsvinden van een inbreuk in verband met persoonsgegevens niet automatisch betekent dat er ook een beveiligingsgebrek heeft plaatsgevonden,8 zal per geval moeten worden bekeken in hoeverre er in een concreet geval risico’s zijn voor deze rechten en vrijheden en in hoeverre de continuïteit van verwerkingssystemen en -diensten moet worden gewaarborgd. Niet ieder beschikbaarheidsgebrek hoeft per se gevolgen voor de rechten en vrijheden van individuen te hebben, vooral niet als het van korte duur is.9
Dat de beschikbaarheid van informatie relevant is, blijkt ook uit art. 32 lid 1 onder c AVG, dat toelicht dat verwerkingsverantwoordelijken en verwerkers onder omstandigheden de beschikbaarheid van verwerkingsdiensten en -systemen moeten waarborgen. Dit staat in nauw verband met de beschikbaarheid van de gegevens zelf: deze kunnen immers niet worden geraadpleegd indien de systemen die toegang tot de gegevens verlenen het niet doen. In gevallen waarin de beschikbaarheid van gegevens van belang is, dienen verwerkingsverantwoordelijken en verwerkers daarom te bewerkstelligen dat de verwerkingssystemen en -diensten ‘up and running’ blijven en dat zij ook altijd toegang geven aan personen en systemen die zijn geautoriseerd tot het verrichten van bepaalde handelingen ten aanzien daarvan.10
Ter waarborging van de beschikbaarheid van persoonsgegevens, moeten er verschillende type dreigingen worden ondervangen.
Zoals gezegd is de beschikbaarheid van persoonsgegevens vaak afhankelijk van de beschikbaarheid en de continuïteit van de daaraan ten grondslag liggende (ICT-)infrastructuur (zie §3.2.1 en 3.5.4).11 Deze beschikbaarheid vereist daarom dat onder meer de in dit kader essentiële hardware, software en netwerken niet buiten werking worden gesteld. Zij moeten worden beveiligd tegen bijvoorbeeld brand en vandalisme, maar ook tegen ransomware en andere digitale bedreigingen die aan hun beschikbaarheid in de weg kunnen staan. Voorbeelden van maatregelen die de beschikbaarheid van zowel persoonsgegevens als verwerkingssystemen en -diensten waarborgen, zijn daarom firewalls, beveiligde ruimtes en brandwerende deuren.12
Er bestaat overlap tussen maatregelen die de beschikbaarheid van informatie waarborgen en maatregelen die de integriteit daarvan waarborgen.13 De beschikbaarheid van persoonsgegevens vereist immers dat deze gegevens niet ongeautoriseerd, ongerechtvaardigd of onopzettelijk worden vernietigd of verloren – oftewel, dat hun integriteit niet op deze manieren wordt aangetast. Andere relevante maatregelen zijn bijvoorbeeld back-ups die regelen dat deze gegevens, indien ze toch worden vernietigd of verloren, via een andere bron beschikbaar blijven.14 Vergelijkbaar is voor de beschikbaarheid van verwerkingssystemen en verwerkingsdiensten van belang dat potentiële problemen op dit gebied worden opvangen.15 Relevant daarvoor is een noodstroomvoorziening waarop de essentiële onderdelen van de betrokken infrastructuur zijn aangesloten, en back-up routes die het mogelijk maken een internetconnectie tot stand te brengen wanneer de primaire methode daarvoor is weggevallen.16
De waarborging van de beschikbaarheid van persoonsgegevens vereist verder dat wordt voorkomen dat geautoriseerde personen de toegang tot deze systemen en diensten wordt ontzegd. Dit betekent dat moet worden gecontroleerd of autorisatiesystemen juist zijn ingesteld en dat moet worden verzekerd dat deze mechanismen niet zomaar worden aangepast.17
Ten slotte kunnen ook organisatorische maatregelen bijdragen aan de waarborging van de beschikbaarheid van zowel persoonsgegevens als verwerkingssystemen en -diensten. Zo moeten verwerkingsverantwoordelijken en verwerkers, wanneer dat passend is, voorkomen dat slechts één persoon weet hoe een bepaald verwerkingssysteem werkt. Verder is het bijvoorbeeld mogelijk om richtsnoeren te formuleren die werknemers voorschrijven hoe zij met gegevens moeten omgaan wanneer deze bijvoorbeeld zijn geprint. Ook een plan voor wat betreft het regelmatig onderhouden van apparatuur is een organisatorische maatregel.18