Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.5.2
3.5.2 Technische maatregelen en organisatorische maatregelen
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660854:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie ook §2.2.1.
Whitman & Mattord 2011, p. 205; Stallings & Brown 2015, §15.2.
Zie voor meer voorbeelden Akhgar & Arabnia 2013. Zie ook Awesta 2020, §3.3 (inleiding), die bijna alle maatregelen als technische maatregelen kwalificeert.
Whitman & Mattord 2011, p. 205.
Zie over insider threats, het belang daarvan en de maatregelen die tegen insider threats kunnen worden getroffen Colwill 2009; Probst e.a. 2010, p. 1; Neumann 2010, p. 21; Pieters 2011, p. 327; ENISA 2015-I, §3.1; Europees Comité voor gegevensbescherming 2021, guidelines 01/2021, §4. Insider threats kunnen zowel onopzettelijk als opzettelijke plaatsvinden. Bij onopzettelijke inbreuken kan bijvoorbeeld worden aan het geval betreffende Bob Quick, de politieofficier die in 2009 vertrouwelijke informatie in de openbare ruimte op een dusdanige manier vasthad dat het leesbaar was (zie Dodd & Batty, Guardian 9 april 2009). Een voorbeeld van een opzettelijke dreiging door een werknemer is Politiemol Mark M., die terwijl hij niet geautoriseerd was bij gevoelige informatie kon en vertrouwelijke informatie doorverkocht aan derden (Anderinga, NOS 15 januari 2018).
Whitman & Mattord 2011, p. 205; Stallings & Brown 2015, §15.2.
Zie §3.4.
De AVG-beveiligingsbepalingen verplichten verwerkingsverantwoordelijken en verwerkers om ‘technische en organisatorische’ beveiligingsmaatregelen te treffen.1 De EU-wetgever licht niet toe welke beveiligingsmaatregelen technisch zijn, en welke organisatorisch. Ook informatiebeveiligingsspecialisten hebben weinig over deze categorisering geschreven. Zij verdelen maatregelen in technical (technische), operational (operationele) en managerial (bestuurlijke) maatregelen.2 Hoe zich dit relateert tot het in de AVG gemaakte onderscheid tussen technische en organisatorische maatregelen, bespreek ik in deze paragraaf.
Binnen het informatiebeveiligingsdomein wordt de term technische maatregelen gebruikt voor alle maatregelen die gebruik maken van techniek, zoals digitale authenticatie-mechanismen, firewalls en logging systemen.3 Ook meer fysieke maatregelen, zoals sloten op deuren, gelden als technische maatregelen.4 Technische maatregelen vervullen een belangrijke rol bij de beveiliging, maar zijn op zichzelf vaak niet genoeg. Zo vereist een van de grootste dreigingen – de dreigingen die komen vanuit een organisatie zelf, de zogenoemde insider-threats – niet alleen dat informatie wordt beveiligd door middel van wachtwoorden, maar ook dat werknemers zorgvuldig met wachtwoorden omgaan.5
Informatiebeveiligingsspecialisten verdelen de maatregelen die niet technisch van aard zijn in operationele maatregelen en bestuurlijke maatregelen. Operationele maatregelen zien op het management of op procedures en betreffen het functioneren van de operationele kant van de beveiliging van de organisatie. Denk hierbij bijvoorbeeld aan speciale trainingen voor werknemers, en een incident response plan; een beleidsdocument waarin wordt beschreven wat een organisatie doet in het geval van een beveiligingsincident.In de laatste categorie, de bestuurlijke maatregelen, vallen procedures die in het algemeen beschrijven hoe binnen een organisatie met beveiliging wordt omgegaan, wat er moet worden beveiligd en wie er bij deze beveiliging zijn betrokken (de ‘security policy’). Zij schrijven voor wat voor technische en operationele maatregelen in de organisatie moeten worden getroffen, of hoe wordt besloten welke maatregelen moeten worden getroffen. Hieronder valt ook het risicomanagement (zie §3.4).6
Zowel operationele maatregelen als bestuurlijke maatregelen dienen dus te worden afgestemd op de organisatie zelf en organiseren de manier waarop zij met beveiliging omgaat. Het is dan ook aannemelijk dat zowel operationele maatregelen als bestuurlijke maatregelen als ‘organisatorische maatregelen’ in de zin van de AVG-beveiligingsbepalingen kwalificeren. Het belangrijkste voorbeeld van zo’n organisatorische maatregelen is de implementatie van een ISMS.7 De verplichting tot het treffen van passende technische en organisatorische maatregelen omvat al met al alle maatregelen die binnen het informatiebeveiligingsdomein worden onderscheiden. Dat de AVG verwerkingsverantwoordelijken en verwerkers verplicht tot het treffen van beide, lijkt dan ook vooral bedoeld te zijn om te verduidelijken dat het treffen van technische beveiligingsmaatregelen niet voldoende is.