Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.3.2
3.3.2 Vertrouwelijkheid
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660996:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zij maakt immers deel uit van de CIA triade, zie §3.3.1.
Zie over vertrouwelijkheid in de context van informatiebeveiliging of vgl. Firesmith 2003, p. 17; Pieters 2011, p. 327; Orji 2012, §1.3.2.1; CBP 2013, §2,2; Stallings & Brown 2015, p. 13; De Oliveira Albuquerque e.a. 2016, p. 3743; ISO 27000:2020, §3.10.
Zie t.a.v. de betekenis van de termen ‘ongeoorloofd’ en ‘autorisatie’ §1.4.3.
AP toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis (onderzoeksrapport) 2019, §1.3.
Zie bijv. art. 32 lid 1 onder b AVG, art. 32 lid 2 AVG en art. 5 lid 1 onder f AVG. Daarnaast benoemt de EU-wetgever dit doel meer dan de andere beveiligingsdoelen in de preambule van de AVG, veelal nadrukkelijk naast een algemene overweging aangaande beveiliging (zie bijv. preambule AVG, o. 39 en 83).
Firesmith 2003, p. 17; Pfleeger 2003, p. 504; Pieters 2011, p. 327; Orji 2012, §1.3.2.1; Stallings & Brown 2015, p. 13; Arnbak 2016; p. 156; De Oliveira Albuquerque e.a. 2015, p. 3743; Sherman e.a. 2018, §4.1; Awesta 2020, §3.3.2. Bishop betoogt dat de waarborging van de vertrouwelijkheid van informatie ook meebrengt dat het bestaan van informatie geheim wordt gehouden. Daarbij noemt hij als voorbeeld dat het wellicht minder interessant is om te weten hoe een politicus iemand lastig heeft gevallen, dan dat hij dit heeft gedaan (Bishop 2004, p. 2).
Cherdantseva & Hilton 2013-II, p. 7.
Dowd, McDonald & Schuh 2006, §6.1.2; Rogers, Milenković & Milenković 2007, p. 113 (waarin bovendien wordt gesteld dat dit de diefstal van intellectuele eigendom voorkomt).
AP Jaarrapportage meldplicht datalekken 2020.
Hughes & Cybenko 2013, p. 16; Wolters & Jansen 2017, p. 5.
Dowd, McDonald & Schuh 2006, §6.2.3; ISO 27002:2017, §10.1; Art. 29-werkgroep 2018, WP 196, §3.4.3.3; Sherman e.a. 2018, §4.1 en 2.1.2; Awesta 2020, §3.3.2.
Zo zullen dokters veelal alleen geautoriseerd zijn tot het inzien van de gegevens van de patiënten die zij behandelen en zal een bedrijfsjurist van een school niet zijn gerechtigd tot het inzien van leerlinggegevens. Zie over de term ‘autorisatie’ ook §1.4.3. Zie in dit kader ook art. 32 lid 4 AVG: “De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe EU-rechtelijk of lidstaatrechtelijk is gehouden”.
Zie bijv. AP Boetebesluit HagaZiekenhuis 2019 (en AP toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis (onderzoeksrapport) 2019, §1.3), en AP Boetebesluit OLVG 2020.
Maatregelen op dit gebied zijn onderdeel van Identity and Access Management.
Art. 29-werkgroep 2018, WP 196, §3.4.3.3. Zie ook AP Boetebesluit HagaZiekenhuis 2019.
Zie over het belang van meerfactorauthenticatie bijv. AP Jaarrapportage meldplicht datalekken 2020. Hierin wordt meerfactorauthenticatie beschreven als een relatief eenvoudige maatregel die veel leed kan voorkomen en in veel gevallen een essentieel onderdeel is van een adequaat beveiligingsbeleid.
ISO 27002:2017, §9.4; AP Boetebesluit OLVG 2020, §3.3.3.2.
Het gebrek aan de controle op een loggingsysteem was een van de redenen voor de door de AP opgelegde boete aan het OLVG ziekenhuis (AP Boetebesluit OLVG 2020, §3.3.3.2) en de aan de Nationale Politie opgelegde last onder dwangsom (AP Last onder dwangsom Nationale Politie 2017, pt. 41-47).
Zie bijv. Toch e.a. 2018.
Zie in dit kader de boete die de Engelse toezichthouder (de Information Commissioner’s Office (ICO)) heeft opgelegd wegens het buiten en in niet-afgesloten containers bewaren van gegevens, ICO Penalty Notice Doorstep Dispensaree Ltd 2019, pt. 37.
Zie bijv. NEN 7510:2011, hfdst. 9. Een privacyscreen is een fysiek product dat je op je scherm kunt aanbrengen zodat wat op het scherm wordt weergegeven alleen recht van voren is te zien, en niet van de zijkant.
AP Jaarrapportage meldplicht datalekken 2020, p. 3.
Zie ook art. 29-werkgroep 2017, WP 250REV.01, §I.B.2.
Bijv. L. Nieber, ‘Hoe een foto de formatie op z’n kop zet’, NRC 25 maart 2021.
ICO Penalty Notice British Airways plc 2020, bijv. Pt. 6.64; ICO Marriott International Inc 2020, bijv. Pt. 6.31 e.v.
De term ‘vertrouwelijkheid’ komt meerdere keren in de AVG-beveiligingsbepalingen voor, maar wordt hierin niet gedefinieerd. De voornaamste aanwijzing ten aanzien van de betekenis van dit begrip volgt uit art. 5 lid 1 onder f AVG, waaruit blijkt dat vertrouwelijkheid en integriteit tezamen verband houden met het tegengaan van ongeoorloofde of onrechtmatige persoonsgegevensverwerkingen.1 Dit artikel maakt echter niet duidelijk welke ongeoorloofde of onrechtmatige verwerkingen onder domein van vertrouwelijkheid vallen, en wat juist onderdeel is van integriteit.
Binnen de informatiebeveiliging is vertrouwelijkheid één van de belangrijkste beveiligingsdoelen.2 Informatiebeveiligingsspecialisten gebruiken de term voor de passieve toegankelijkheid, oftewel raadpleegbaarheid, van bepaalde gegevens.3 Zij spreken over vertrouwelijke gegevens als gegevens zodanig zijn beveiligd dat ze slechts kunnen worden ingezien door partijen die hiertoe zijn geautoriseerd.4
In de informatiebeveiligingsterminologie vereist de waarborging van de vertrouwelijkheid van gegevens met andere woorden het tegengaan van ongeoorloofde raadplegingen. In de context van art. 5 lid 1 onder f en 32 AVG wordt het begrip ‘vertrouwelijkheid’ echter breder gebruikt. Deze bepalingen betreffen immers niet alleen ongeoorloofde raadplegingen, maar ook onrechtmatige en onopzettelijke (zie over het verschil en de mogelijke samenloop van deze begrippen §1.4.3). Onrechtmatige raadplegingen zijn raadplegingen waarvoor geen geldige verwerkingsgrondslag bestaat. De mogelijkheid tot het verrichten van dergelijke raadplegingen heeft bijvoorbeeld geleid tot een boete voor het HagaZiekenhuis, waar werknemers patiëntendossiers konden bekijken zonder dat dit noodzakelijk was voor de uitvoering van hun taken.5
Dat vertrouwelijkheid verwijst naar ongeoorloofde, onrechtmatige en onopzettelijke raadplegingen, betekent dat dit beveiligingsdoel niet alleen expliciet, maar ook impliciet terugkomt in de AVG-beveiligingsbepalingen.6 Het uitdrukkelijkst gebeurt dit in ‘het beginsel van integriteit en vertrouwelijkheid’, dat onder meer bepaalt dat persoonsgegevens dienen te zijn beschermd tegen ongeoorloofde en onrechtmatige verwerkingen (zoals raadplegingen).7 Verder blijkt uit art. 32 AVG dat de concrete invulling van ‘het passende beveiligingsniveau’ in belangrijke mate zal afhangen van de verwerkingsrisico’s die gepaard gaan met een “ongeoorloofde verstrekking van of ongeoorloofde toegang tot” de daarbij betrokken gegevens.8 Ook de preambule van de AVG benoemt nadrukkelijk dat de vertrouwelijkheid van persoonsgegevens moet worden gewaarborgd.9 Dit brengt mee dat verwerkingsverantwoordelijken en verwerkers de door hen verwerkte gegevens altijd (in een van de omstandigheden afhankelijke mate) moeten beveiligen tegen acties die erin resulteren dat partijen deze gegevens ongeoorloofd of ongeautoriseerd kunnen raadplegen. De AVG laat hen, met ander woorden, niet vrij vertrouwelijkheidsrisico’s zonder meer te aanvaarden.10
Hoewel beveiligingsspecialisten de waarborging van vertrouwelijkheid voornamelijk in verband brengen met de beveiliging van informatie,11 verduidelijkt art. 32 lid 1 onder b AVG dat de beveiligingsmaatregelen die op grond van de AVG moeten worden getroffen, wanneer dat passend is, ook het vermogen moeten hebben om “op permanente basis de vertrouwelijkheid (…) van de verwerkingssystemen en diensten te garanderen”. Vanuit de definitie van vertrouwelijkheid beredeneerd, betekent dit dat verwerkingsverantwoordelijken en verwerkers in een dergelijk geval moeten voorkomen dat deze systemen en diensten raadpleegbaar worden voor ongeautoriseerde partijen (hetgeen bijvoorbeeld kan betekenen dat belangrijke broncodes moeten zijn afgeschermd).12
Art. 32 lid 1 onder b AVG staat niet op zichzelf, maar werkt het voorschrift tot het treffen van passende beveiligingsmaatregelen verder uit.13 Het licht toe welke beveiligingswaarborgen verwerkingsverantwoordelijken en verwerkers moeten treffen om aan deze norm te voldoen. De vertrouwelijkheid van verwerkingssystemen en -diensten staat ook in het informatiebeveiligingsdomein niet op zichzelf. Zij levert, dankzij de nauwe relatie tussen de beveiliging van dergelijke (ICT-)infrastructuur en die van de daarmee verwerkte informatie, een belangrijke bijdrage aan de beveiliging van deze informatie (zie ook §3.2).
Maatregelen die de vertrouwelijkheid van verwerkingssystemen en -diensten waarborgen, kunnen op meerdere manieren aan persoonsgegevensbeveiliging bijdragen. Zo zorgen zij ervoor dat de gegevens die met gebruikmaking van deze systemen en diensten worden verwerkt, niet worden onderschept. Ook voorkomen zij dat de kwetsbaarheden van deze systemen en diensten bekend worden, waardoor de kans op aanvallen die specifiek op deze kwetsbaarheden zijn gericht kleiner is.14
Ten aanzien van de vertrouwelijkheid van persoonsgegevens bestaan vele beveiligingsdreigingen. Zij zijn van uiteenlopende aard: ze kunnen digitaal of analoog zijn, betrekking hebben op opzettelijke of onopzettelijke gedragingen, en van binnen of van buiten de organisatie komen. Dit betekent dat de waarborging van de vertrouwelijkheid van gegevens vereist dat er vele verschillende soorten maatregelen worden getroffen.
De meest tot de verbeelding sprekende voorbeelden van vertrouwelijkheidsdreigingen zijn externe dreigingen. Denk bijvoorbeeld aan hackers die zichzelf digitaal toegang proberen te verschaffen tot persoonsgegevens en de systemen die deze gegevens bevatten. Hacking was, samen met malware en phishing, in 2020 goed voor 5% van de bij de AP gemelde datalekken: een stijging van 30% ten opzichte van 2019.15 Bij het afwenden van hackaanvallen kan bijvoorbeeld een firewall een belangrijke rol vervullen.16 Malware-aanvallen en phishing-acties kunnen worden ondervangen door middel van de bewustwording van risico’s, maar anti-viruspakketten kunnen hierbij ook een belangrijke rol vervullen. Een andere technische maatregel die veel wordt getroffen ter afwending van externe dreigingen voor de vertrouwelijkheid van digitale informatie is encryptie. Encryptie bewerkstelligt bijvoorbeeld dat een derde een e-mail bij onderschepping niet kan lezen (zie §3.5.4).17
Ook binnen een organisatie kan een vertrouwelijkheidsinbreuk plaatsvinden. In dit kader moeten verwerkingsverantwoordelijken en verwerkers tegengaan dat persoonsgegevens toegankelijk zijn voor ongeautoriseerde werknemers.18 Ook zullen ze de rechtmatigheid van verwerkingen moeten garanderen – hetgeen betekent dat ze moeten voorkomen dat gegevens worden geraadpleegd terwijl daar geen verwerkingsgrondslag voor is.19 Interne vertrouwelijkheid is in de praktijk van groot belang. Meerdere boetes die de AP heeft opgelegd wegens het schenden van de AVG-beveiligingsbepalingen, hielden verband met de onvoldoende waarborging hiervan.20 Om te voorkomen dat werknemers ongeoorloofd of onrechtmatig verwerkingen verrichten, kunnen verwerkingsverantwoordelijken en verwerkers bijvoorbeeld een authenticatiesysteem implementeren,21 dat controleert of partijen die de toegang tot persoonsgegevens proberen te verkrijgen daartoe wel zijn gerechtigd.22 Deze systemen kunnen verschillende maten van zekerheid bieden: een zogenoemd één-factor-authenticatiesysteem (dat op basis van één element controleert of je bent wie je zegt dat je bent), biedt minder zekerheid dan een meerfactorauthenticatiesysteem.23 Ook loggingsystemen die bijhouden wie inzage heeft gehad in bepaalde gegevens en gebreken in de vertrouwelijkheidsbeveiliging kunnen melden, hebben in dit kader een belangrijke functie.24 De door zo’n systeem gemaakte logbestanden moeten dan wel worden gecontroleerd, zodat er eventueel kan worden ingegrepen.25 Loggingsystemen maken echter wel gebruik van monitoring, dat op zichzelf een inbreuk kan vormen op de privacy van degenen die worden gemonitord. Informatiebeveiligingsspecialisten moeten daarom soms kiezen tussen de waarborging van privacy en de beveiliging van persoonsgegevens.26
Al de hierboven genoemde maatregelen beveiligen tegen digitale dreigingen. De vertrouwelijkheid van persoonsgegevens kan echter ook ‘analoog’ worden aangetast, bijvoorbeeld doordat gegevens worden bewaard in een openbare ruimte,27 of doordat een ongeautoriseerde partij offline op een scherm kan (mee)kijken. Dit kan worden voorkomen door de informatie zelf en de ICT-apparatuur waarmee de informatie kan worden benaderd in een voor ongeautoriseerde partijen ontoegankelijke ruimte te zetten. Ook een zogenoemd ‘privacyscreen’ kan in dit kader een bijdrage leveren.28 Verder kunnen verwerkingsverantwoordelijken en verwerkers hun werknemers verplichten ruimtes af te sluiten en cursussen te volgen die het privacybewustzijn vergroten.
De vertrouwelijkheid van gegevens kan ten slotte ook worden aangetast zonder dat een derde een handeling verricht die daar specifiek op is gericht. Zo is er ook sprake van een dergelijke aantasting als een geautoriseerde partij op eigen initiatief persoonsgegevens deelt met ongeautoriseerde personen, of wanneer vertrouwelijke informatie onopzettelijk wordt verloren (in geval van een fysieke drager) of naar een verkeerde persoon wordt toegezonden. Sterker nog: verreweg de meeste gemelde datalekken (66%) houden in dat persoonsgegevens zijn verstuurd of afgegeven aan een verkeerde ontvanger.29 De waarborging van de vertrouwelijkheid van gegevens vereist dus dat gegevens niet worden verstuurd aan ongeautoriseerde partijen.30 Denk bij verspreidingen die per ongeluk plaatsvinden verder aan verkenner Kajsa Ollongren, die haar aantekeningen van formatiegesprekken in 2021 zodanig vasthield, dat deze konden worden gefotografeerd door een fotograaf.31 Het vergroten van het privacybewustzijn door middel van cursussen en het instellen van maatregelen die mensen verplicht bijvoorbeeld de ontvanger van een mail te controleren, kunnen dit ondervangen. Bij dit laatste kan ook worden gedacht aan een vier-ogenprincipe.
Overigens is het voor de waarborging van de vertrouwelijkheid van gegevens ook van groot belang dat vertrouwelijkheidsinbreuken snel nadat zij plaatsvinden worden gedetecteerd en dat er maatregelen worden getroffen om de nadelige gevolgen daarvan te herstellen. Het gebrek aan dergelijke maatregelen heeft in het Verenigd Koninkrijk al enige malen geresulteerd in een sanctie door de toezichthouder.32
Ten slotte is van belang dat ook betrokkenen vaak geen toegang hebben tot hun eigen gegevens, bijvoorbeeld omdat deze toegankelijkheid gepaard gaat met die tot persoonsgegevens aangaande anderen of systemen van de verwerkingsverantwoordelijke of verwerker. Wanneer een betrokkene wil weten welke gegevens een organisatie van hem of haar heeft verzameld, zal hij of zij daarom veelal een inzageverzoek moeten indienen.33 Als hij zichzelf op een andere manier toezicht verschaft, is er een vertrouwelijkheidsinbreuk.