4.1. Wettelijke verplichting tot beveiliging

De Financial Times van woensdag 21 november 2007 kopte op de voorpagina met "Massive data loss hits UK". De Britse Revenue and Customs Office had 25 miljoen gedetailleerde persoonsgegevens van kinderbijslaggerechtigden verloren door twee niet-versleutelde computerschijven niet aangetekend per post te versturen. De twee schijven kwamen vervolgens niet op hun bestemming aan.

Privacyincidenten komen vaak voor. Burgers en consumenten lopen een groot risico dat hun persoonsgegevens niet correct verwerkt worden of kwijt raken. Volgens het Privacy Rights Clearinghouse1 dat de gegevens over privacyinbreuken dagelijks in de Verenigde Staten bijhoudt, werden er van 2005 tot en met 2007 alleen al in de Verenigde Staten 170.000.000 gegevensdragers met persoonsgegevens gestolen. ChoicePoint,2 een bedrijf dat data aggregeert, bedrijfsinformatie verstrekt en databanken beheert met achtergrondinformatie (> 19 miljard documenten) over bijna alle Amerikaanse burgers, is een van de voorbeelden. Op 18 februari 2005 maakte ChoicePoint bekend dat 163.000 consumenten ernstige privacyrisico's zouden kunnen lopen doordat kort daarvoor gegevens uit verschillende databanken van het bedrijf waren gestolen.3 Tenminste achthonderd gevallen van identiteitsdiefstal (fraude met andermans identiteit) waren daar het gevolg van. De Federal Trade Commission (FTC) gaf het bedrijf een boete van 15 miljoen dollar.4 De Eurobarometer nummer 250 van mei 2009 rapporteerde dat persoonsgegevens van 5% tot 15% van de inwoners van de EU verloren gaan en dat de helft van de betrokkenen schade lijden.5

Binnen de Europese Unie zijn organisaties (de verantwoordelijke) verplicht om de persoonsgegevens die zij onder zich hebben, te beveiligen. De artikelen 17 van de EU Richtlijn 95/46/EG,6 4 van de EU Richtlijn 2002/58/EG7 en de daarbij behorende overwegingen 46 respectievelijk 30 en artikel 3 (c) van de Richtlijn 99/ 5/EG8 vormen binnen de EU de wettelijke grondslag hiervoor. De wettelijke verplichting houdt in dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen verlies, ongewilde of onrechtmatige vernietiging, wijziging, vervalsing, niet toegestane openbaarmaking, onrechtmatige toegang en tegen enige andere vorm van onrechtmatige verwerking. Om persoonsgegevens adequaat te beveiligen moeten deze juridische normen worden 'vertaald' naar het ontwerp en de feitelijke inrichting van informatiesystemen.9 Koorn merkt hierover op: "de beveiliging die moet worden gerealiseerd, gaat verder dan informatiebeveiliging. Het is een misvatting te denken dat informatiebeveiliging een op een overeenkomt met bescherming van persoonsgegevens. Een bekend misverstand — met name onder ict'ers — is het als bijna synoniem zien van beveiliging en privacy: 'Als we de beveiligingsmaatregelen hebben getroffen volgens de Code voor Informatiebeveiliging, dan hebben we direct de privacybescherming geregeld'. Dit is echter een misvatting, aangezien beveiliging slechts één van de zeven privacyprincipes kan invullen".10

Koorn gaat uit van zeven privacyprincipes, terwijl ik elf privacy realisatiebeginselen onderscheid. Dit is het gevolg van interpretatie. Uiteindelijk leiden beide interpretaties tot het zelfde resultaat, namelijk dat de persoonsgegevens optimaal worden beschermd. Informationele privacy en informatiebeveiliging is niet hetzelfde. Wel overlappen beide disciplines elkaar gedeeltelijk. Een belangrijk spanningsveld tussen informatiebeveiliging en informationele privacy betreft het privacyrealisatiebeginsel van transparantie (o.a imagerecht) en de toegangsbeveiliging, omdat de inzage van documenten een beveiligingsrisico oproept.

Figuur 4.1 illustreert waar informationele privacy en informatie beveiliging elkaar deels overlappen (de verzameling shared practices):

Alle vereisten betreffende de verwerking van persoonsgegevens moeten bij de informatiebeveiliging in aanmerking genomen te worden. Niet alleen die vallen binnen het ict-domein van de informatiebeveiliging, maar ook de additionele beveiligingsmaatregelen, die verzekeren dat de privacywet- en regelgeving worden nageleefd. In Overweging 46 van de Richtlijn 95/46/EG is bepaald dat de verantwoordelijke niet alleen met de beveiligingseisen rekening moet houden bij de gegevensverwerking, maar ook bij het ontwerp van informatiesystemen.11 Concreet houdt dit onder meer in dat de verantwoordelijke al in de ontwerpfase voorzieningen moet treffen om onbevoegde toegang tot gegevens, programmatuur en apparatuur tegen te gaan. Degenen die opdracht geven tot de bouw van informatiesystemen zijn dus verplicht erop toe te zien dat zodanige beveiligingsmaatregelen in het ontwerp worden opgenomen, dat persoonsgegevens adequaat volgens de laatste stand van de techniek beveiligd zijn. Indirect zou dit voorschrift geïnterpreteerd kunnen worden als een ontwerpverplichting waar deskundige ontwerpers van systemen dan ook rekening mee hebben te houden. Het vereiste van een adequate beveiliging betekent feitelijk dat gebruikers van het informatiesysteem onderworpen zullen worden aan identificatie en authenticatie, wachtwoorden zullen moeten gebruiken en dat logging van de toegang tot persoonsgegevens noodzakelijk is.

Artikel 17 van de DPD is in de Wet bescherming persoonsgegevens (Wbp)12getransponeerd als artikel 13. Dit artikel luidt: "De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen".

Het begrip risico wordt niet in de Wbp gedefinieerd. Het begrip risico wordt veelvuldig gebruikt alsof het voor iedereen een eenduidig begrip is. Bij nadere beschouwing is dat nog maar de vraag. Gratt, voorzitter van de Amerikaanse Society of Risk Analysis (SRA) concludeerde na een tweejarige studie, dat "(...) a consensus was not being reached for the key definitions of risk and risk analysis".13 Er zijn vele definities van risico in omloop. Miletti definieert bijvoorbeeld risico als "the probability of an event or condition occurring"14 en Hewitt15 als "an exposure to dangers, adverse or undesirable prospects, and conditions that contribute to danger". Tettero16 verstaat onder risico: "a probability that, due to a particular threat, a particular vulnerability is exploited causing damage to an asset". In de DIN-norm 31000,17 wordt risico in artikel 1.1.1 onder e gedefinieerd als: "die Kombination aus der Wahrscheinlichkeit und der Schwere einer Verletzung oder eines Gesundheitsschadens, die in einer Gefáhrdungssituation eintreten Urmen". Als definitie voor risico gebruik ik de volgende formule: het risico dat een organisatie loopt (r), is de waarschijnlijkheid van een gebeurtenis (in casu het beveiligings- of privacyincident) (p), vermenigvuldigd met de schade (e), dus: r = p x e. Met deze formule kan het risico beter worden gekwantificeerd.

Om privacyrisico's vast te stellen en investeringen in beveiligingsmaatregelen te rechtvaardigen moet het risico ingeschat worden, zoals zal blijken uit de privacyrisico-, bedreiging- en effect- (impact)analyses, die in dit hoofdstuk en paragraaf 7.14 worden besproken. Door de risicoberekening moet duidelijk worden in welke volgorde van belangrijkheid, waar en op welke manier er geld en inspanningen (tegenmaatregelen) moeten worden geïnvesteerd om de risico's te voorkomen. De vraag, die telkens terugkomt bij het bepalen van privacybedreigingen is, hoe ernstig de consequenties zijn van de privacyinbreuk voor de persoon, die bepaalde persoonlijke informatie heeft verstrekt. Datzelfde geldt ook vanuit het oogpunt van aansprakelijkheid voor de organisatie, die de onderhavige persoonsgegevens beheert. Risicoanalisten wegen het risico door er een waarde aan toe te kennen. De waarde kan worden uitgedrukt in een willekeurige eenheid, liefst, wanneer dat mogelijk is, in een financiële eenheid, en anders in een eenheid, die weging mogelijk maakt. Het probleem is dat bij privacyrisico's het moeilijk is een waarde toe te kennen aan imponderabilia, zoals persoonlijke informatie en reputatieschade, omdat niemand weet hoeveel persoonlijke informatie precies waard is. Dat geldt ook voor andere beveiligingscomponenten.18

Een organisatie moet nagaan welke technische en organisatorische maatregelen zij moet nemen om persoonsgegevens op een passend niveau te beveiligen en behoorlijk en zorgvuldig te verwerken.19 Organisatorische maatregelen zijn maatregelen voor de inrichting van de organisatie en voor het verwerken van persoonsgegevens (zoals toekenning en deling van verantwoordelijkheden, bevoegdheden, instructies, trainingen en calamiteitenplannen). Technische maatregelen zijn de logische en fysieke maatregelen in en rondom informatiesystemen (zoals toegangscontroles, vastlegging van gebruik en back-up). Het vereiste niveau van beveiliging van persoonsgegevens zal onder meer afhangen van de door de verantwoordelijke ingeschatte risico's. In dertien Wbp zijn de criteria: `laatste stand der techniek' (the state of the art)20 en 'de kosten van de tenuitvoerlegging van de maatregelen'21 opgenomen. Deze zijn van invloed op de mate waarop door organisaties maatregelen en procedures moeten worden getroffen. Technische en organisatorische maatregelen dienen een onderling samenhangend en afgestemd stelsel te vormen, afgeleid uit een (informatie)beveiligingsbeleid, (informatie)beveiligingsplan en zijn terug te vinden in een stelsel van algemene maatregelen en procedures binnen de organisatie.22 De onderlinge samenhang tussen risico's en de kosten wordt bepaald door het criterium: 'passende maatregelen', waarover later in dit hoofdstuk meer.

In het 'Raamwerk Privacy Audit' van de Registratiekamer (de voorloper van het College Bescherming Persoonsgegevens) wordt erop gewezen, dat een privacyaudit de vereiste graad van beveiliging moet vaststellen. In de privacyaudit kan niet het juiste niveau van beveiliging worden vastgesteld als de maatregelen niet tevens getoetst worden op de kwaliteitskenmerken:

In de wettekst wordt vereist dat er passende maatregelen moeten worden getroffen. Bij de schriftelijke behandeling van de Wbp in de Eerste Kamer werd door de Minister van Justitie geantwoord dat hij onder het begrip 'passend' verstaat: maatregelen die in overeenstemming zijn met de risico's die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.25

Hij preciseert dat als volgt: "(...) de te nemen maatregelen moeten worden afgestemd op de risico's van onrechtmatige verwerking die zich in de betrokken organisatie voordoen, waarbij tevens rekening dient te worden gehouden met de stand van de techniek en de kosten om de betrokken maatregelen ten uitvoer te brengen. Dit criterium moet in het licht van de concrete omstandigheden worden ingevuld en is dan ook dynamisch. Het vereiste niveau van bescherming is hoger naarmate er meer mogelijkheden voorhanden zijn om dat niveau te waarborgen. Naarmate de gegevens een gevoeliger karakter hebben, of gezien de context waarin ze gebruikt worden een groter risico voor de persoonlijke levenssfeer van betrokkenen inhouden, dienen zwaardere eisen aan de beveiliging van die gegevens te worden gesteld. In het algemeen kan worden gesteld dat indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd deze als «passend» moeten worden beschouwd, terwijl kosten die disproportioneel zijn aan de extra beveiliging die daardoor zou worden verkregen, niet worden vereist".26

Wat de eindgebruiker zelf kan doen om zijn persoonsgegevens te beschermen komt in de Wbp niet aan de orde. Het lijkt mij niet ondenkbaar, dat de wetgever in de nabije toekomst de eindgebruiker (de digitale generatie geboren na 1980) een wettelijke verplichting zal opleggen om zijn persoonsgegevens in zijn computer te beschermen, analoog aan het eerder geldende beveiligingsvereiste van artikel 138a Sr in de Wet Computercriminaliteit (C.CR) I. Dit artikel stelde computervredebreuk27 strafbaar. Dit vereiste is in de Wet C.CR II niet meer expliciet aanwezig. Wel ziet de Wet C.CR II het 'doorbreken van een beveiliging' als voorbeeld van het binnendringen van een computer.28

De individuele eindgebruiker kan over beveiliging en privacy veel informatie vinden op internet. Zo zijn er een negental basale aanbevelingen te vinden in de CERT-guide om persoonsgegevens te beschermen in de computer die thuis wordt gebruikt. De aanbevelingen komen neer op het installeren van antivirus, antispyware en Firewallprogrammatuur, het regelmatig maken van een back up, het gebruik van sterke wachtwoorden en pop-upblockers, encryptie en voorzichtig te zijn met e-mail met bijlagen en met het downloaden en installeren van programmatuur.29 Omdat verwerking van persoonsgegevens binnen verschillende sectoren, markten, culturen en landen plaatsvindt, zullen de maatregelen die moeten worden getroffen voor de vereiste beveiliging van persoonsgegevens sterk variëren.