Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.3.3
3.3.3 Integriteit
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660948:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie hierover bijv. Boritz 2005, §2 en Birgisson, Russo en Sabelfeld 2010.
ISO 27000:2020, §3.36. Zie over het belang van deze reeks §3.2.2.
Europese Toezichthouder voor gegevensbescherming 2019-I, p. 28. Zie ook CBP 2013, §2.2.
Moerel en Prins noemen dit wel de materiële juistheid van gegevens (Moerel & Prins 2016, p. 99). De begrippen accuracy (juistheid) en completeness (volledigheid) worden in de ISO 27000-reeks overigens niet toegelicht. Boritz doet dit wel (2005, §2.1.1). Hij beschrijft accurate informatie als informatie die correspondeert met de werkelijkheid, en complete informatie als informatie die alle relevante informatie bevat. Zie t.a.v. juistheid ook HvJ EG 7 mei 2009, ECLI:EU:C:2009:293, o. 49 (Rijkeboer).
Zie over informatie-integriteit bij informatiekwaliteit Mandke & Nayar 2004. Overigens wordt deze kwaliteit vervolgens wel mede door beveiliging gewaarborgd.
Birgisson, Russo & Sabelfeld 2010, introduction.
Boritz 2005, §2.1.2.1; Whitman & Mattord 2011, p. 13.
Whitman & Mattord 2011, p. 14; Art. 29-werkgroep 2017, WP 250REV.01, §I.B.2. Zie verder art. 29-werkgroep 2018, WP 196, §3.4.3.3; Awesta 2020, §3.3.2.
Het is overigens de vraag of dit ook daadwerkelijk de bedoeling is van deze definities. Zo definieert het CBP integriteit in lijn met de ISO-normen, maar geeft het vervolgens wel aan dat dit betekent dat moet worden beschermd tegen de aantasting of onbevoegde wijziging van gegevens (CBP 2013, §2.2).
Het gaat daarbij om de zogenoemde insider threats, zie §3.5.2.
Europees Comité voor gegevensbescherming 2021, guidelines 01/2021, pt. 5. Zie ook art. 29-werkgroep 2017, WP 250REV.01, §I.B.2, waarin integrity branch wordt gedefinieerd als “where there is an unauthorized or accidental loss of acces to, or destruction of, personal data”. Er bestaat geen vaste definitie van het begrip aantasting.
Bijv. Pfleeger 2003, p. 504; Bishop 2005, p. 3; Dowd, McDonald & Schuh 2006, §6.1.2; Pieters 2011, p. 327; Whitman & Mattord 2011, p. 14; Orji 2012, §1.3.2.2; Schneider 2012, p. 5; Arnbak 2016, p. 156; Sherman e.a. 2018, §4.1; Awesta 2020, §3.3.2
Boritz 2005, §2.1.2.1; Whitman & Mattord 2011, p. 13. Vgl. CBP 2013, §2.2. Zie over de term ‘verwerking’ §2.2.2.3. Sommige van deze schendingen leveren ook een beschikbaarheidsinbreuk op, zie §3.3.4. Zie hierover bijv. Pail e.a. 2012. In de literatuur betreffende de CIA-triade wordt doorgaans geen onderscheid gemaakt tussen opzettelijke en onopzettelijke beveiligingsschendingen (zie bijv. Whitman & Mattord 2011, p. 13).
Sherman e.a. 2018, §4.1.
Firesmith 2013, p. 16; Awesta 2020, §3.3.2.
Dowd, McDonald & Schuh 2006, §6.1.2; Conger & Landry 2009, p. 2-3; Stallings & Brown 2015, p. 5; Sherman e.a. 2018, §4.1. Ongeoorloofde verwijdering kan ook een schending van de beschikbaarheid van gegevens opleveren.
Bishop 2005, p. 3; Pieters 2011, p. 327.
ISO 27002:2017, §10.1. Zie over cryptografie, oftewel versleuteling, ook §3.5.4, onder sub a.
Dowd, McDonald & Schuh 2006, §6.1.2; Whitman & Mattord 2011, p. 14; Stallings & Brown 2015, p. 5. Door middel van hashing wordt informatie omgezet in een hash-code. Alleen indien precies dezelfde informatie nogmaals wordt ‘gehasht’, zal hier dezelfde hash-code uitkomen. Aan de hand hiervan kan worden achterhaald of gegevens zijn gewijzigd (zie uitgebreider Whitman & Mattord 2011, p. 14; CBP 2013, p. 19).
Bishop 2005, p. 2; Art. 29-werkgroep 2012, WP 196; Sherman e.a. 2018, §4.1; Awesta 2020, §3.3.2; Art. 29-werkgroep 2018, WP 196, §3.4.3.2; ISO 27002:2017, §10.1.
Het tweede beveiligingsdoel dat veelvuldig in de AVG terugkomt, is integriteit. De enige wettelijke aanwijzingen ten aanzien van de betekenis van dit begrip volgen uit art. 5 lid 1 onder f AVG. Hieruit blijkt dat de waarborging van de integriteit van persoonsgegevens te maken heeft met het tegengaan van ongeoorloofde of onrechtmatige verwerkingen en/of met het voorkomen van onopzettelijk verlies, vernietiging of beschadiging. Binnen het informatiebeveiligingsdomein refereert integriteit aan betrouwbaarheid. Er bestaat echter geen algemeen erkende definitie van dit begrip.1
In de ISO 27000-reeks wordt integriteit beschreven als “the property of accuracy and completeness”2 – een uitleg waarbij ook de European Data Protection Supervisor (Europese Toezichthouder voor gegevensbescherming) zich weleens heeft aangesloten.3 De omarming van deze definitie zou meebrengen dat integriteit ziet op de inhoudelijke juistheid en volledigheid van gegevens.4 Anders dan vertrouwelijkheid refereert het dan aan de inhoud van informatie, en niet zozeer aan de eigenschappen van een gegevensbestand.5
Andere definities van integriteit zijn wel (al dan niet volledig) toegespitst op de eigenschappen van informatiebestanden. De actieve toegang tot informatie – oftewel de mogelijkheden om een gegevens aan te passen en aan te tasten – staat daarbij centraal.6 Volgens sommige beveiligingsspecialisten zijn gegevens integer indien zij niet zijn aangepast en aangetast door ongeautoriseerde derden.7 Anderen gaan ervan uit dat informatie alleen integer is indien zij in het geheel niet is veranderd; niet door ongeautoriseerde partijen, maar ook niet door personen en systemen die wél zijn geautoriseerd tot het verrichten van dergelijke aanpassingen. Daarbij maakt het niet uit of de veranderingen het gevolg zijn van kwaadwillende handelingen, of onopzettelijk plaatsvinden.8
De laatste twee beschreven definities hebben een andere invalshoek dan die uit (onder meer) de ISO-normen. Het objectieve karakter dat zij aan ‘integriteit’ toekennen, brengt mee dat zij ook alle (ongeoorloofde) aanpassingen en aantastingen tegengaan die bijdragen aan de juistheid en volledigheid van de betreffende informatie. Met andere woorden: als een (ongeautoriseerde) entiteit inhoudelijke foutieve informatie verbetert, is dit in deze visies een schending van de integriteit van de informatie. Wanneer de juistheid van de inhoud van gegevens voorop zou staan, zoals het geval is in de ISO-definitie, zal dit de integriteit van gegevens echter juist ten goede komen.9
Gezien deze op fundamenteel niveau verschillende invalshoeken, is het voor een goed begrip van de AVG-beveiligingsbepalingen noodzakelijk te achterhalen waarnaar de term ‘integriteit’ in de AVG verwijst. Daarbij is het allereerst opvallend dat de AVG de AVG-beveiligingsbepalingen nergens relateert aan de waarborging van de juistheid of volledigheid van gegevens. Andersom houden de AVG-bepalingen die wel raken aan de juistheid van persoonsgegevens ook geen verband met beveiliging.10 Er is naar mijn mening dan ook geen reden om aan te nemen dat verwerkingsverantwoordelijken en verwerkers deze juistheid op grond van de AVG-beveiligingsbepalingen moeten waarborgen. De definitie uit de ISO-normen sluit, met andere woorden, niet goed op de AVG aan. Voor wat betreft de andere twee definities, is ten eerste relevant dat de AVG-beveiligingsbepalingen niet zijn beperkt tot aanpassingen en aantastingen die worden aangebracht door ongeautoriseerde partijen. Art. 5 lid 1 onder f AVG verplicht bijvoorbeeld niet slechts tot het voorkomen van ongeoorloofde (oftewel ongeautoriseerde, zie §1.4.3) verwerkingen, maar ook tot het tegengaan van onrechtmatige verwerkingen en onopzettelijk verlies, vernietiging of beschadiging. Dergelijke handelingen zullen, vooral indien zij per ongeluk geschieden, vooral door geautoriseerde personen worden verricht.11 De AVG verwijst met de term ‘integriteit’ dan ook zowel naar de beveiliging tegen aanpassingen en aantastingen door geautoriseerde personen als tegen aanpassingen en aantastingen door ongeautoriseerde personen. Dit is ook het uitgangspunt van het Europees Comité voor gegevensbescherming.12
Het AVG-begrip integriteit heeft al met al een brede betekenis. Het betreft alle actieve onrechtmatige, ongeoorloofde en onopzettelijke actieve toegang tot gegevens. Daarbij maakt het niet uit of deze verwerkingen resulteren in juiste of onjuiste gegevens, en ook niet of zij worden verricht door geautoriseerde of ongeautoriseerde personen. Deze definitie, die ook binnen de informatiebeveiliging breed wordt omarmd,13 brengt overigens ook mee dat een betrokkene die van mening is dat de gegevens die van hem zijn geregistreerd niet kloppen, een rectificatieverzoek moet indienen om deze gegevens gewijzigd te krijgen.14 Wanneer hij bijvoorbeeld op het systeem inbreekt om deze gegevens zelf te wijzigen, is er – ook indien de gegevens daardoor inderdaad correct worden – sprake van een integriteitsinbreuk.
Integriteit komt meerdere keren en op verschillende manieren in de AVG-beveiligingsbepalingen voor. Het nadrukkelijkst is art. 5 lid 1 onder f AVG, dat meebrengt dat verwerkingsverantwoordelijken en verwerkers persoonsgegevens moeten beveiligen tegen alle integriteitsinbreuken die kwalificeren als een ongeoorloofde, onrechtmatige of onopzettelijke verwerking. Dat het hierbij gaat om alle actieve toegang betekent dat veel verschillende soorten verwerkingen een integriteitsinbreuk op kunnen leveren. Denk bijvoorbeeld aan ongeoorloofde of onrechtmatige aanpassingen, maar ook structureringen, verspreidingen en verwijderingen kwalificeren als zodanig.15 Gezien dit uiteenlopende karakter speelt integriteit een belangrijke rol bij de vormgeving en beoordeling van beveiligingssystemen.16 De waarborging van dit beveiligingsdoel vereist dat persoonsgegevens zowel tijdens als na hun verwerkingen zijn beveiligd.17
De AVG-beveiligingsbepalingen relateren het begrip ‘integriteit’ niet alleen aan de beveiliging van persoonsgegevens. Art. 32 lid 1 onder b AVG licht toe dat verwerkingsverantwoordelijken en verwerkers, waar passend, ook de integriteit van persoonsgegevensverwerkingssystemen en -diensten moeten beveiligen.18 Zij moeten in dergelijke gevallen bewerkstelligen dat alle onderdelen van de voor persoonsgegevensverwerkingen relevante (ICT-)infrastructuur functioneren, zonder ongeoorloofde manipulatie, ontwerpfouten of opzettelijke of onopzettelijke handelingen.19 Dit voorkomt bijvoorbeeld dat de software zodanig wordt gewijzigd dat ongeautoriseerde partijen de gegevens kunnen verwerken waartoe deze software en netwerken toegang verschaffen.20 De beveiliging van de integriteit van persoonsgegevensverwerkingssystemen en -diensten draagt zo bij aan zowel de vertrouwelijkheid als de integriteit van de persoonsgegevens die daarmee worden verwerkt.
Gezien het uiteenlopende karakter van integriteitsinbreuken dragen vele verschillende soorten beveiligingsmaatregelen bij aan de waarborging van de integriteit van persoonsgegevens.
Om te beginnen dragen maatregelen die primair de vertrouwelijkheid van persoonsgegevens waarborgen tevens bij aan hun integriteit. Waarneming gaat immers vaak aan aanpassing vooraf. Zo waarborgen sloten die analoog bewaarde gegevens fysiek afschermen en maatregelen die verzekeren dat hardware waarop digitale gegevens zijn opgeslagen niet zomaar kan worden vernietigd zowel de integriteit als de vertrouwelijkheid van gegevens.21 Ook encryptie vervult een belangrijke rol bij de waarborging van beide beveiligingsdoelen.22
Andere maatregelen zien specifiek op de waarborging van de integriteit van gegevens of software. Denk bijvoorbeeld aan autorisatiemethodes en controlemechanismen die systemen en netwerken toetsten op integriteit. Dergelijke programma’s en systemen controleren (bijvoorbeeld door middel van hashing en digitale ondertekening)23 regelmatig of persoonsgegevens(verwerkingssystemen en -diensten) door ongeautoriseerde partijen zijn gewijzigd en informeren de organisatie die deze maatregel heeft getroffen indien dat het geval is.24 Zij houden bijvoorbeeld logboeken bij die wijzigingen in de systemen registreren en ongeautoriseerde wijzigingen detecteren.
Een integriteitsinbreuk kan onopzettelijk plaatsvinden. Integriteitsmaatregelen zijn daarom ook gericht op het tegengaan van fouten of onopzettelijke handelingen. Zo zijn er mechanismen die controleren of handelingen bewust worden uitgevoerd, door bijvoorbeeld een bevestiging te vereisen voordat ze de handeling doorgvoeren.