De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.3.6:3.3.6 Authenticiteit

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.3.6

3.3.6 Authenticiteit

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660894:1
Vakgebied(en): Privacy (V)

Hoewel in de AVG-beveiligingsbepalingen naast vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht geen andere beveiligingsdoelen voorkomen, staat in de preambule van de AVG wél een vijfde beveiligingsdoel uit het informatiebeveiligingsdomein genoemd: authenticiteit.

Net als de (meeste) eerder behandelde beveiligingsdoelen, verwijst ook de term authenticiteit naar een eigenschap van persoonsgegevens die met beveiligingsmaatregelen kan worden gewaarborgd.1 De preambuleoverweging waarin de EU-wetgever authenticiteit noemt, overweging 49, heeft echter geen betrekking op beveiliging. Zij verduidelijkt dat een verwerking die noodzakelijk is voor de waarborging van het vermogen van netwerk- en informatiesystemen om de vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit van persoonsgegevens te realiseren, rechtmatig is.2 De relatie die hiermee wordt aangebracht tussen authenticiteit enerzijds en vertrouwelijkheid, integriteit, beschikbaarheid en beveiliging van netwerk- en informatiesystemen anderzijds, doet de vraag rijzen of de relevantie van de authenticiteit van gegevens ook kan doorklinken in de beveiligingsverplichtingen.

Het is lastig vast te stellen wat de EU-wetgever met de term ‘authenticiteit’ heeft bedoeld. Dit komt niet alleen doordat de AVG deze term niet nader toelicht, maar ook doordat hier binnen de informatica geen eenduidige definitie van bestaat. Zo spreken veel beveiligingsspecialisten slechts over een ‘authentiek’ beveiligingsobject indien dit object – kort gezegd – niet is gewijzigd sinds het is gecreëerd,3 terwijl informatiebeveiligingsspecialisten de term overwegend gebruiken wanneer de verzender van een bericht onomstotelijk vaststaat.4

De AVG-term lijkt met geen van deze benaderingen volledig overeen te komen. Bij de eerste definitie zou de preambule expliciteren dat persoonsgegevens mogen worden verwerkt om te verzekeren dat andere gegevens niet meer kunnen worden veranderd – een lezing die onverenigbaar is met onder meer het beginsel van juistheid en het recht op rectificatie, en technisch gezien bovendien onlogisch is.5 Ook de tweede definitie lijkt niet volledig te zijn omarmd. In de preambule van de AVG wordt immers niet zozeer verwezen naar de authenticiteit van berichten, maar naar de authenticiteit van persoonsgegevens. Mogelijk moet deze definitie echter iets breder worden getrokken, en gaat het – gezien het onderwerp van de AVG - niet zozeer om de verzender van een bericht, maar om de verstrekker van gegevens. Verwerkingen die noodzakelijk zijn voor de authenticiteit van persoonsgegevens (en waarvan de preambule dus aangeeft dat ze rechtmatig zijn), dienen er in dat geval toe de juistheid, verifieerbaarheid en/of originaliteit van de bron van deze gegevens vast te stellen. Zij maken het zodoende mogelijk bijvoorbeeld de identiteit te controleren van een persoon die toestemming voor persoonsgegevensverwerkingen geeft of een inzageverzoek indient.6 Ook kunnen verwerkingsverantwoordelijken en verwerkers met dergelijke verwerkingen achterhalen van wie gegevens zijn verkregen, wat mogelijk iets kan zeggen over hun juistheid. Overweging 49 van de preambule dient er bij deze uitleg toe aan te geven wat de geldige verwerkingsgrondslag voor dergelijke ‘controleverwerkingen’ is.7

Als beveiliging moet bijdragen aan de authenticiteit van gegevens, dienen verwerkingsverantwoordelijken en verwerkers, afgaande op wat hierboven bleek, waarschijnlijk maatregelen te treffen die garanderen dat de broninformatie van gegevens niet ongeoorloofd of onrechtmatig wordt aangepast.8 Omdat dergelijke maatregelen de aanpassing en aantasting van gegevens tegengaan, zullen zij echter in de eerste plaats worden getypeerd als integriteitsmaatregelen.9 In de context van beveiliging wordt authenticiteit daarom wel gezien als een onderdeel van integriteit, en niet als een zelfstandig beveiligingsdoel.10 Om te kunnen beoordelen of, en zo ja, hoe authenticiteit van gegevens een zelfstandige rol vervult in de context van art. 5 lid 1 onder f en 32, moet authenticiteit dan ook worden afgezet tegen integriteit.11 Gelet op het ruime bereik van integriteit is de toegevoegde waarde van authenticiteitswaarborging hierbij niet meteen duidelijk. In de context van de gehele AVG bestaat deze mogelijk uit de verplichting tot het onder bepaalde omstandigheden verrichten van de eerder aangehaalde controleverwerkingen. Nu deze verplichting echter niet zozeer zou zijn gerelateerd aan beveiliging, vervult authenticiteit als beveiligingsdoel in de context van de AVG-beveiligingsbepalingen naar mijn mening geen zelfstandige rol.12 Bij de vormgeving van persoonsgegevensbeveiliging hoeven dan ook alleen de eerder behandelde beveiligingsdoelen te worden meegenomen.

Toon alle voetnoten

Voetnoten

Voetnoten

Alleen veerkracht doet dat niet, zie de vorige paragraaf.

Preambule AVG, o. 49. Er is dan sprake van een ‘gerechtvaardigd belang’ in de zin van art. 6 lid 1 onder f AVG. Overigens zal deze verwerking ook evenredig moeten zijn. Wanneer een verwerking bijzondere persoonsgegevens betreft zal daarnaast art. 9 AVG in acht moeten worden genomen.

Stallings & Brown 2015, p. 14; ISO 27000:2020, §3.6. Dit dient ertoe hun betrouwbaarheid en verifieerbaarheid te garanderen, en brengt mee dat er bij deze beveiligingsobjecten geen partijen mogen zijn betrokken die daartoe niet zijn geautoriseerd. De informatie op basis waarvan zij handelt, komt zo bovendien aantoonbaar uit een betrouwbare bron.

Whitman & Mattord 2011, p. 12. Zie verder, ook over de rol van authenticiteit Cherdantseva & Hilton 2013 – II, p. 7; ENISA 2017, i.h.b. p. 74-86; Porcedda 2018, p. 5.

Zie art. 5 lid 1 onder d en art. 15 lid 1 onder e AVG. Zij brengen mee dat persoonsgegevens soms wel moeten worden gewijzigd. De uitleg is technisch onlogisch omdat het het verwerken van persoonsgegevens niet zozeer zal bijdragen aan de onveranderbaarheid van andere gegevens.

Zie t.a.v. toestemming art. 7 lid 1 AVG, en t.a.v. het inzageverzoek art. 12 (i.h.b. lid 1) AVG en t.a.v. het beginsel van juistheid art. 5 lid 1 onder d AVG.

Zie wel preambule AVG, o. 57, waaruit blijkt dat er geen nadere gegevens mogen worden opgevraagd indien een verwerkingsverantwoordelijke aan de hand van de reeds door hem verwerkte gegevens de betrokkene niet kan identificeren.

Zie t.a.v. de betekenis van de AVG-termen ‘ongeoorloofd’ en ‘onrechtmatig’ §1.4.3.

Stallings & Brown 2015, p. 50. Zie over integriteit §3.3.3. Zie bijv. ook ISO 27002:2017, §10.1.1, waarin integriteit en authenticiteit tezamen wordt genoemd voor wat betreft het effect van cryptografie op de waarborging ervan.

10.

Von Solms & Van Niekerk 2013, p. 98; ENISA 2015-II, p. 17; Stallings & Brown 2015, p. 13. Beveiligingsspecialisten die authenticiteit zien als een onderdeel van integriteit, verdelen integriteit veelal in de integriteit van de informatie zelf (data integrity) en de integriteit van de bron van de informatie (origin integrity), zie hierover Bishop 2005, p. 3 en Dowd, McDonald & Schuh 2006, §6.1.2.

11.

Zie §3.3.3 voor een bespreking van integriteit.

12.

Zie over de achtergrond van de AVG ook hoofdstuk 4.