Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.6
3.6 Conclusie
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660860:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Dat dit niet andersom is, heb ik beschreven in §3.1. Zie ook hoofdstuk 4.
Zie §3.4.1 en §3.4.3.
Zie §3.4.2.
Zie §3.4.3.
Zie §3.4.3.
Zie §3.3.2. Zie over deze begrippen §1.4.3.
Zie §3.3.3. Zie over deze begrippen §1.4.3.
Zie §3.3.1.
Zie §3.3.3 en §3.3.4.
Zie §3.3.3.
Zie §3.4.4.
Zie hierover §2.3.4.
Zie §3.4.4.
Zie §3.4.3.
Zie §3.4.
Zie §3.4.2.
Zie §3.4.2.
Zie §3.4.2 en §3.4.3.
Zie §3.4.4.
Zie §3.5.2.
Zie §3.2.1 en §3.4.2.
Zie §3.2.1 en §3.4.2. Dit komt onder meer door ontwikkelingen op het gebied van beveiligingsdreigingen.
Zie §3.5.4.
Zie §3.5.4.
Zie §3.4.5 en §3.5.4, onder sub c.
Er wordt doorgaans veel vertrouwen gesteld in beveiligingssystemen die op basis van deze normen zijn vormgegeven. Dit is in het bijzonder het geval wanneer er een ISO 27001-certificaat is toegekend (zie ook §3.2.2).
Zie over hun rol §3.2.2 en §3.4.1 (en over die van zelfregulering in het algemeen daarnaast §3.6.1).
Zie over hun rol §3.2.2 en §3.4.1. Dit zullen zij waarschijnlijk zolang er geen certificeringsmechanisme en/of een op beveiliging gerichte gedragscode wordt goedgekeurd door de AP, zie §6.2.6.
Zie §3.4.3.
Zie §3.4.4.
Hoewel deze uitgangspunten hier niet op zijn toegespitst, kan deze dynamiek de invulling in het concrete geval natuurlijk wel beïnvloeden. Zie hierover hfdst. 5.
CBP 2013, §2.5.
Zie §3.6.2.
Zie §3.3.1, §3.3.2 en §3.4.4.
Zie §3.5.2.
Zie §3.3.1, §3.3.2 en §3.4.4.
Zie §3.3.1 en §3.3.2.
Zie §3.5.4 en §3.4.4.
Zie §3.5.4.
In dit hoofdstuk heb ik de AVG-beveiligingsbepalingen bekeken vanuit de praktijk en wetenschap rondom persoonsgegevensbeveiliging. Gebleken is dat er geen specifiek beveiligingsdomein bestaat, maar dat – hoewel van oorsprong gericht op de beveiliging van andere informatiesoorten – de uitgangspunten en beste praktijken van de informatiebeveiligingsdiscipline al een lange tijd op persoonsgegevensbeveiliging worden toegepast. Veel elementen uit art. 5 lid 1 onder f en 32 AVG zijn hierop direct terug te voeren.1 Hierdoor kan het informatiebeveiligingsdomein houvast bieden bij de invulling van deze bepalingen. Welke aanknopingspunten in dit kader uit het informatiebeveiligingsdomein zijn af te leiden, en in hoeverre deze aanknopingspunten daadwerkelijk houvast bieden, bespreek ik in deze conclusie.
Beveiliging kan nooit absoluut zijn, wat van invloed zal zijn op de invulling van het ‘passende beveiligingsniveau’.
Beveiligingsmaatregelen bieden nooit 100% zekerheid. Er zullen altijd zogenoemde restrisico’s zijn.2 Dat verwerkingsverantwoordelijken en verwerkers een ‘passend’ beveiligingsniveau moeten waarborgen, betekent dus niet dat zij alle risico’s op beveiligingsincidenten moeten uitsluiten. Dat beveiliging niet absoluut kan te zijn, betekent echter niet dat de eisen die hieraan worden gesteld laag zijn. Zie het volgende aanknopingspunt.
De risicogebaseerde benadering beoogt de meest effectieve beveiliging te bewerkstelligen.
Art. 32 lid 2 AVG maakt duidelijk dat het op grond van de AVG te waarborgen beveiligingsniveau, voornamelijk afhangt van de risico’s die met verwerkingen gepaard gaan. Deze risicogebaseerde benadering wordt binnen het beveiligingsdomein breed omarmd en is hier dus waarschijnlijk aan ontleend.
Zij houdt in dat beveiligingsmaatregelen moeten worden afgestemd op risico’s die in het concrete geval daadwerkelijk aan de orde zijn, in plaats van dat er in alle gevallen dezelfde standaardmaatregelen worden geïmplementeerd. Dit zou moeten leiden tot effectievere beveiliging die beter past bij de behoeften van een concreet geval en bovendien goedkoper kan zijn doordat er geen ‘nutteloze’ maatregelen worden getroffen. Dat deze methode in de AVG is omarmd, heeft dus voornamelijk ten doel effectieve beveiliging te bewerkstelligen.3 Dat deze methode ook in het financiële belang van de verwerkingsverantwoordelijke of verwerker kan zijn, is daarbij een gunstig bijeffect en niet het hoofddoel. Dit verklaart waarom het Europees Comité voor gegevensbescherming een beveiligingsincident een indicatie vindt voor een zwakke beveiliging, ondanks dat de AVG-beveiligingsbepalingen geen absolute beveiliging voorschrijven.4 De beveiliging is dan immers niet effectief geweest
De term ‘risico’ verwijst naar: kans * impact.
Een risico is de kans op een bepaald scenario ‘maal’ de mogelijke impact daarvan. Hoewel dit lastig lijkt in te schatten, bestaan hiervoor binnen het informatiebeveiligingsdomein methodes.5
Vertrouwelijkheid verwijst naar passieve toegankelijkheid van gegevens. De waarborging ervan vereist dat gegevens zijn beveiligd tegen onrechtmatige, ongeoorloofde en onopzettelijke raadplegingen.
Het begrip vertrouwelijkheid wordt in het informatiebeveiligingsdomein gerelateerd aan ongeautoriseerde, oftewel ongeoorloofde, toegang tot gegevens. Binnen de context van de AVG vallen onder dit begrip echter ook onrechtmatige en onopzettelijke verwerkingen.6 Hierbij liggen misverstanden dus op de loer.
Integriteit verwijst naar actieve toegankelijkheid van gegevens. De waarborging ervan vereist dat gegevens zijn beveiligd tegen onder meer onrechtmatige, ongeoorloofde en onopzettelijke aanpassingen, vernietigingen en structureringen.
Van het begrip integriteit bestaan binnen het informatiebeveiligingsdomein verscheidene definities. Bij de vormgeving van beveiligingssystemen moet daarom in acht worden genomen dat integriteit in de zin van de AVG niet refereert aan de juistheid van gegevens (zoals zij in de ISO-normen doet), maar aan alle ongeoorloofde, onrechtmatige en onopzettelijke aanpassingen en aantastingen.7
Naast vertrouwelijkheid en integriteit kent het informatiebeveiligingsdomein een derde ‘basis’ beveiligingsdoel: beschikbaarheid. Uit de AVG blijkt dat de beveiligingsbepalingen meebrengen dat ook ter waarborging van dit doel, net als dat van veerkracht, beveiligingsmaatregelen moeten worden getroffen. Het is de vraag of deze twee doelen ook het te waarborgen beveiligingsniveau beïnvloeden.
Art. 5 lid 1 onder f AVG wordt aangeduid als ‘het beginsel van integriteit en vertrouwelijkheid’. Vertrouwelijkheid en integriteit worden in het informatiebeveiligingsdomein veelal in een adem genoemd met een derde beveiligingsdoel: beschikbaarheid.8 Ondanks de duiding van art. 5 lid 1 onder f AVG, raken de AVG-beveiligingsverplichtingen ook aan beschikbaarheid. Uit de tekst van zowel art. 5 lid 1 onder f en 32 AVG blijkt dat verwerkingsverantwoordelijken en verwerkers persoonsgegevens moeten beveiligen tegen verlies en vernietiging: twee elementen die nauw met beschikbaarheid verband houden (maar op zichzelf integriteitsinbreuken zijn).9
Wanneer informatiebeveiligingsspecialisten aangeven dat de beschikbaarheid van informatie moet worden gewaarborgd, betekent dit dat gegevens altijd toegankelijk zijn voor degenen die zijn geautoriseerd tot het verrichten van handelingen daarmee. Dit vereist het voorkomen van verlies en vernietiging van de gegevens, maar bijvoorbeeld ook de waarborging van de continuïteit van verwerkingssystemen en -diensten. Beschikbaarheidseisen die niet relateren aan verlies en vernietiging komen echter niet terug in art. 5 lid 1 onder f en 32 lid 2 AVG. Hierdoor lijkt dit in het algemeen van minder groot belang voor het te waarborgen beveiligingsniveau.10
Bovenstaande betekent niet dat de AVG-beveiligingsbepalingen in het geheel niet verplichten tot de waarborging van de toegankelijkheid van persoonsgegevens en de continuïteit van verwerkingssystemen en -diensten. Uit art. 32 lid 1 onder c AVG blijkt dat verwerkingsverantwoordelijken en verwerkers onder omstandigheden wel maatregelen ter waarborging hiervan dienen te treffen. Het belang van de toegankelijkheid van persoonsgegevens en de continuïteit van verwerkingssystemen en -diensten lijkt voornamelijk afhankelijk van de risico’s van gebreken hierin voor de rechten en vrijheden van natuurlijke personen. Deze risico’s zullen bijvoorbeeld groot zijn voor wat betreft systemen van ziekenhuizen die het mogelijk maken persoonsgegevens in te zien voordat er een operatie plaatsvindt. Zie hierover ook §5.5.11
Beveiliging vereist dat eerst het beveiligingsdoel wordt vastgesteld, zodat de beveiligingsmaatregelen hierop kunnen worden afgestemd.
In het informatiebeveiligingsdomein klinkt hetzelfde middel-doelverband tussen het beveiligingsniveau en de beveiligingsmaatregelen door als in de tekst en systematiek van de AVG.12
Nadat de context van een bepaalde verwerking is vastgesteld, zal een verwerkingsverantwoordelijke of verwerker volgens de beste praktijken van informatiebeveiliging eerst de risico’s moeten inventariseren en zijn risicoacceptatiecriteria vorm moeten geven. Hierbij beslist hij hoe hij risico’s nu en in de toekomst beoordeelt en welke kaders hij hanteert voor het beheersen en accepteren daarvan. Hiermee stelt hij eigenlijk vast welk beveiligingsniveau hij zal waarborgen.13
Een verwerkingsverantwoordelijke of verwerker zal, indien hij zijn beveiligingssysteem volgens de beste praktijken van informatiebeveiliging vormgeeft, deze maatregelen afstemmen op zijn risicoacceptatiecriteria.14
De factoren die de passendheid van beveiliging blijkens art. 32 lid 1 AVG beïnvloeden, zijn in verschillende fases van beveiliging relevant en moeten dus niet allemaal rechtstreeks tegen elkaar worden afgewogen.
De formulering van art. 32 lid 1 AVG duidt erop dat de factoren uit deze bepaling grotendeels direct tegen elkaar mogen worden afgewogen. Zij lijken vooral de passendheid van beveiligingsmaatregelen te beïnvloeden. Uit de beste praktijken van het informatiebeveiligingsdomein blijkt echter dat de factoren uit art. 32 lid 1 AVG van belang zijn in verschillende fases van het beveiligingsproces.15 Daarbij beïnvloeden de meeste factoren juist de passendheid van het te waarborgen beveiligingsniveau. Zij klinken vervolgens door in de te treffen beveiligingsmaatregelen.
Bij de eerste fase van beveiliging, de contextbepaling, zijn van de in art. 32 lid 1 AVG genoemde factoren vooral de aard, context en omvang van de voorgenomen verwerking van belang. Deze contextbepaling is erop gericht alle omstandigheden in kaart te brengen die van belang zijn voor de beoordeling van de bij een verwerking betrokken risico’s. Informatiebeveiligingsspecialisten hechten daarbij het meeste belang aan de aard van de te beveiligen gegevens, de kwetsbaarheden van de bij een voorgenomen verwerking betrokken (ICT-)infrastructuur en de waarborgen die ten aanzien van al de gegevens moeten worden geboden. Hierbij zijn ook de juridische eisen van belang – zie ook het volgende aanknopingspunt.16
Nadat de context is bepaald, wordt op basis hiervan de risico-beoordeling verricht. Hierbij moeten verwerkingsverantwoordelijken en verwerkers risicoacceptatiecriteria opstellen en de beheersing prioriteren van de bij de voorgenomen verwerking betrokken risico’s. Zo stellen ze de kaders voor het beveiligingsniveau dat ze zullen garanderen (zie ook het vorige aanknopingspunt).17 Omdat het hierbij gaat om de risico’s voor de te beveiligen gegevens, zijn in deze fase wederom de aard, omvang en context van de verwerkte gegevens relevant. In het informatiebeveiligingsdomein wordt nu bovendien aandacht besteed aan een kosten-batenanalyse.18
Na de risicobeoordeling vindt de risicobehandeling plaats. In deze fase past een organisatie haar risicoacceptatiecriteria toe en beslist zo hoe ze de eerder geïdentificeerde risico’s zal beheersen. Welke maatregelen worden getroffen, zal daarbij in belangrijke mate afhangen van de grootte en relevantie van de betrokken risico’s, de werking van de maatregelen, het aanbod aan maatregelen (de stand van de techniek) en de uitvoeringskosten.19
De juridische eisen zijn minimumeisen.
Bij de contextbepaling is een belangrijke rol weggelegd voor de wensen van de organisatie die de beveiliging vormgeeft en de wettelijke eisen die aan deze beveiliging worden gesteld. Deze beveiligingseisen zijn minimumeisen: de betreffende organisatie kan ervoor kiezen meer maatregelen te treffen.
De zinsnede ‘technische en organisatorische maatregelen’ omvat alle denkbare type maatregelen. Doorgaans moeten beide type maatregelen worden getroffen.
Binnen het informatiebeveiligingsdomein wordt niet gesproken over ‘organisatorische’ maatregelen. Informatiebeveiligingsspecialisten onderscheiden vaak technische maatregelen, bestuurlijke maatregelen en operationele maatregelen. Tezamen beslaan zij alle maatregelen die in het kader van informatiebeveiliging kunnen worden getroffen. Bestuurlijke en operationele maatregelen vallen naar mijn inschatting beide onder de term ‘organisatorische maatregelen’. De zinsnede ‘technische en organisatorische’ geldt dan ook niet als een beperking.20 Als geheel verwijst zij naar alle maatregelen die verwerkingsverantwoordelijken en verwerkers kunnen treffen. De verplichting uit de AVG tot het treffen van passende technische en organisatorische maatregelen doet, met andere woorden, niets meer dan verduidelijken dat verwerkingsverantwoordelijken en verwerkers verschillende soorten maatregelen moeten treffen, en dat het treffen van technische maatregelen dus niet voldoende is.
Technische en organisatorische maatregelen vullen elkaar aan. Doorgaans moeten beide type maatregelen worden getroffen om tot effectieve beveiliging te komen.
De beveiliging van persoonsgegevensverwerkingen vereist de beveiliging van de gehele daarbij betrokken (ICT-)infrastructuur en dus vele verschillende maatregelen.
Persoonsgegevensverwerkingen kunnen worden aangetast tijdens de gehele verwerking. Hierbij zijn vele elementen betrokken: software, hardware, maar ook bijvoorbeeld werknemers.21 Ten aanzien van deze verschillende elementen bestaan verschillende soorten dreigingen. Beveiligingssystemen moeten daarom bestaan uit meerdere, elkaar aanvullende maatregelen.22 Zij dienen alle elementen van een verwerkingsdienst of -systeem te betreffen (zie ook art. 32 lid 1 onder a AVG). Daarom geldt als uitgangspunt dat hoe meer elementen bij een verwerking zijn betrokken, hoe meer beveiligingsmaatregelen moeten worden getroffen. Een bakker met vier werknemers die zijn doorgebelde bestellingen bijhoudt in een lokaal opgeslagen document, hoeft met andere worden veel minder maatregelen te treffen dan een grote webshop met eenzelfde bestand dat in ‘de cloud’ is opgeslagen.
Bij passende beveiliging staat het tegengaan van beveiligingsincidenten voorop, maar is ook het opsporen van incidenten, het reageren op incidenten en het herstellen van de schade die ontstaat door incidenten van belang.
Binnen het informatiebeveiligingsdomein worden verschillende soorten maatregelen onderscheiden: voorkomende, opsporende, reagerende en herstellende maatregelen.23 In het bijzonder uit art. 5 lid 1 onder f AVG lijkt te kunnen worden afgeleid dat het bij het waarborgen van het passende beveiligingsniveau voornamelijk gaat om het voorkomen van beveiligingsincidenten. Dat de AVG ook verplicht tot het treffen van opsporende, reagerende en herstellende maatregelen, blijkt uit art. 32 AVG, met name uit lid 1 onder c. Dit impliceert dat art. 32 AVG op dit punt mogelijk breder is dan art. 5 lid 1 onder f AVG.24 Of dat daadwerkelijk het geval is, bespreek ik in hoofdstuk 8.
Vanwege snelle technologische ontwikkelingen vereist de waarborging van passende beveiliging actualisatie van beveiligingsmaatregelen.
Techniek ontwikkelt constant. Zowel qua beveiligingsrisico’s als op het gebied van de beheersing daarvan, ontstaan steeds nieuwe mogelijkheden. Hierdoor kunnen maatregelen die ooit passend waren deze status verliezen. Nadat de maatregelen zijn gekozen en geïmplementeerd, moeten beveiligingssystemen daarom voortdurend worden beoordeeld, geactualiseerd en indien nodig aangepast.25 Zij kunnen zo worden verbeterd, en wanneer ze vanwege veranderende beveiligingsrisico’s, uitvoeringskosten of technische mogelijkheden – in AVG termen – niet (meer) passend zijn, worden bijgestuurd. Dit blijkt ook uit art. 32 lid 1 onder d AVG. Hoewel een procedure voor deze beoordeling en actualisatie blijkens deze bepaling alleen hoeft te worden opgesteld ‘indien nodig’, kan naar mijn mening als uitgangspunt worden genomen dat beveiliging waarbij geen procedure bestaat om maatregelen te testen op hun actualiteit, niet passend is. Dat kan anders zijn bij kleine verwerkingen van gegevens die weinig gevoelig zijn, zoals het eerdergenoemde adresbestand van de bakker.
De toepassing van normen en de implementatie van een informatiebeveiligingsmanagementsysteem zijn belangrijke organisatorische maatregelen. Om daadwerkelijk bij te dragen aan de beveiliging van persoonsgegevens, moeten ze echter wel juist worden toegepast.
In de praktijk zijn de toepassing van normen en de implementatie van een ISMS van groot belang bij risicobeheersing.26 De normen uit de ISO 27000-reeks worden het meest toegepast.27 Ook in de juridische praktijk vervullen zij een grote rol: de AP verwijst zowel in haar richtsnoeren inzake persoonsgegevensbeveiliging als in haar sanctiebesluiten geregeld naar deze normen.28 De toepassing van deze normen, en van het hierin beschreven ISMS, is een manier om te bewerkstelligen dat risico’s op een systematische en situatiegerichte manier worden beheerst. Dit is een belangrijke organisatorische maatregel voor de beveiliging van persoonsgegevens.
De waarde van de toepassing van (ISO-)normen en de implementatie van een ISMS moeten echter niet worden overschat. Zij zijn in eerste instantie gericht op het beveiligingsproces en minder op de inhoud van het te implementeren beveiligingssysteem. Bij de vormgeving van zo’n systeem moeten verwerkingsverantwoordelijken en verwerkers dan ook veel keuzes zelf maken. Zo zullen zij moeten vaststellen welke gegevens ze beveiligen, aan de hand van welke criteria ze hun risicobeoordelingen verrichten en hoe ze omgaan met de risico’s die zich voordoen in een specifieke situatie. Hierdoor zullen de factoren die partijen hierbij doorslaggevend achten, bij de vormgeving ook doorslaggevend zijn. De beste praktijken van het informatiebeveiligingsdomein en de ISO 27000-reeks bieden, met andere woorden, de kaders waarbinnen verwerkingsverantwoordelijken en verwerkers keuzes kunnen maken die resulteren in een beveiligingssysteem dat past bij hun situatie, maar laat de inhoudelijke keuzes aan deze partijen.29 Hierdoor is de toegevoegde waarde van de ISO-normen bij de vertaling van de algemene AVG-beveiligingsbepalingen naar situatiespecifieke beveiligingsverplichtingen beperkt. Appendix A van ISO 27002:2017 biedt meer houvast. Hierin zijn de vele maatregelen opgenomen die informatiebeveiligingsspecialisten beschouwen als beste praktijken. Deze lijst kan fungeren als uitgangspunt bij het treffen van beveiligingsmaatregelen.30 In de context van de ISO-normen zullen organisaties echter moeten kijken welke maatregelen zij hieruit treffen en uitleggen waarom zij andere maatregelen uit deze lijst niet nemen. Ook hierbij is dan ruimte voor eigen afwegingen.
De beste praktijken en normen van het informatiebeveiligingsdomein kunnen worden aangegrepen om eisen te stellen aan de manier waarop de vormgeving van beveiligingssystemen wordt benaderd. Daarbij is echter van belang dat deze normen, vanwege het algemene karakter van de informatiebeveiligingsdiscipline, niet zijn toegespitst op de voor persoonsgegevens kenmerkende grondrechtelijke dynamiek (zie hierover hoofdstuk 5).31 Verder brengt het enkele feit dat de uitgangspunten en beste praktijken van informatiebeveiliging in de AVG zijn omarmd, niet mee dat ieder beveiligingssysteem dat met inachtneming hiervan is vormgegeven aan de AVG voldoet (of dat ieder systeem dat anders is vormgegeven niet AVG-conform is). Niet alleen moeten de beste praktijken hiervoor ‘juist gebruikt’ worden (wat zal vereisen dat wettelijke verplichtingen in de contextbepaling worden meegenomen),32 ook is het goed denkbaar dat de beste praktijken onder invloed van de AVG op enkele punten worden gewijzigd. Er zal dan ook sprake zijn van een zekere wederzijdse beïnvloeding. Het informatiebeveiligingsdomein kan meer inzicht bieden in de wettelijke normen, maar dient ook te worden beïnvloed door wat de wet voorschrijft. Dit betekent bijvoorbeeld dat het grondrechtelijk belang een prominentere rol zou moeten krijgen in het proces, en dat een maatregel die nog geen onderdeel van de beste praktijken uitmaakt, dit wel moet gaan doen. Zolang er niet meer zekerheid bestaat ten aanzien van de inhoud van de AVG-beveiligingsbepalingen, kan de enkele toepassing van deze normen dan ook niet garanderen dat de beveiliging voldoet aan de AVG (zie voor meer hierover §8.4.4).33
Van sommige (soorten) maatregelen kan worden aangenomen dat zij bij bijna alle verwerkingen moeten worden getroffen.
Uit de beste praktijken van informatiebeveiliging blijkt dat sommige (soorten) beveiligingsmaatregelen vrijwel altijd zullen moeten worden getroffen. Ik bespreek er hier drie die naar mijn mening zo belangrijk zijn dat zij ook bij verwerkingen moeten worden getroffen die weinig risico’s meebrengen.
Allereerst is het voor zowel de waarborging van de vertrouwelijkheid als de waarborging van de integriteit van gegevens essentieel dat verwerkingsverantwoordelijken en verwerkers regelen dat niet iedereen bij deze gegevens kan komen. Wanneer hiertoe geen maatregelen zijn getroffen, zal er geen sprake kunnen zijn van passende maatregelen. Verwerkingsverantwoordelijken en verwerkers moeten daartoe digitale maatregelen treffen, zoals de implementatie van een authenticatie- en autorisatiesysteem en de afsluiting van de gebouwen waarin de gegevens zijn opgeslagen.34
Verder is voor de waarborging van alle beveiligingsdoelen relevant dat informatiebeveiligingsincidenten vaak worden veroorzaakt vanuit de organisatie die de persoonsgegevens verwerkt (insider-threats).35 Bijvoorbeeld omdat mensen de gegevens doorverkopen, inzien terwijl zij dat niet mogen of per ongeluk verliezen. Verwerkingsverantwoordelijken en verwerkers zullen daarom altijd hun personeel moeten voorschrijven hoe zij met persoonsgegevens om moeten gaan.36 In dit kader is ook art. 32 lid 4 AVG van belang, dat bepaalt dat zij moeten regelen dat werknemers persoonsgegevens alleen verwerken in opdracht van de verwerkingsverantwoordelijke.
Ten slotte is een relatief gemakkelijke en goedkope manier om persoonsgegevens te beveiligen tegen vertrouwelijkheids- en integriteitsdreigingen van buitenaf de versleuteling en pseudonimisering van gegevens.37 In lijn met de uitgangspunten van informatiebeveiliging moet daarom naar mijn mening als uitgangspunt worden genomen dat persoonsgegevens, in ieder geval wanneer zij worden verzonden, steeds moeten worden versleuteld.38 Deze maatregel, die ook is genoemd in art. 32 lid 1 onder a AVG, is doorgaans dan ook ‘passend’.
Binnen het informatiebeveiligingsdomein worden nog veel meer maatregelen aangeduid als ‘beste praktijken’. Deze maatregelen hoeven niet altijd te worden getroffen, maar zullen bij verwerkingen van enige omgang doorgaans wel van belang zijn. Het is dan ook aan te raden in ieder geval te onderzoeken of zij in een concreet geval van belang zijn. Deze maatregelen staan opgenomen in de zogenoemde Annex A-lijst van ISO 270001.39