Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.4.2
3.4.2 Contextbepaling
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660946:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
ISO 27000: 2018, §4.5.2; ISO 27005:2018, §7; ISO 27001:2017, §4; Awesta 2020, §3.2.2. Zie ook: Alexander & Panguluri 2017, §2.2.2.
ISO 27000:2020 §4.5.2; ISO 27001:2017 §4.2 en 6.1.1. Zie ook Awesta 2020, §3.2.2.
ISO 27000:2020, §4.5.1 (waaruit blijkt dat dit de eerste stap is) en 4.5.2 (waarin dit verder wordt uitgewerkt).
Daarbij gaat het er bijvoorbeeld om de eventuele kwalificatie van de gegevens als gevoelige gegevens in de zin van art. 9 AVG (zie ook preambule AVG, o. 10 en 51). De waarde voor de bedrijfsvoering zal overigens niet zozeer van belang zijn in het kader van de AVG-beveiligingsbepalingen, maar kan wel een reden zijn voor een verwerkingsverantwoordelijke of verwerker om de informatie extra te beveiligen. In dit kader zullen zij een zogenoemde business impact analyse verrichten.
Zie hierover §3.2.1.
Zie voor het begrip (ICT-)infrastructuur §3.2.1.
Whitman & Mattord 2011, p. 134; ISO 27000:2020, §4.5.3. Zie ook ISO 27005:2018, §8.2.1.3.
ISO 27000:2020, §4.5.2. Zie over het begrip ‘beveiligingsdreiging’ ook §3.4.2.
Whitman & Mattord 2011, p. 120 en 134-138; ISO 27005:2018, §8.2.1. Zie ook §3.2.1.
Whitman & Mattord 2011, p. 11; Von Solms & Van Niekerk 2013, p. 99; Stallings & Brown 2015, p. 17; Sherman e.a. 2017, p. 338; ISO 27002:2017, §0.1. Vgl. ENISA 2018, §2.4.
Bijv. Sherman e.a. 2017.
Whitman & Mattord 2011, p. 138. Zie ook ISO 27005:2018, §8.2.1.5.
Mulligan & Schneider 2011, p. 73.
Hierdoor zal de toepassing van de ISO 27000-reeks slechts bij juist gebruik tot een beveiligingssysteem leiden dat aan de AVG-beveiligingsbepalingen voldoet (CBP 2013, §2.5, en vgl. Siponen 2006). Zie hierover §3.6.
Het eerste dat verwerkingsverantwoordelijken en verwerkers bij het ontwerpen van een ISMS moeten doen, is het vaststellen van het bereik ervan. Ze dienen daarbij alle interne en externe aspecten die invloed kunnen hebben op de uitkomst van het systeem in kaart te brengen.1 Het gaat hierbij natuurlijk om hun eigen wensen, maar ook om de verplichtingen die op hen rusten.2 Dit betekent dat wanneer het op enig moment duidelijk is welke waarborgen verwerkingsverantwoordelijken en verwerkers op grond van de AVG-beveiligingsbepalingen moeten bieden, zij deze verplichtingen moeten meenemen bij de eerste fase van beveiliging. Ze gelden daarbij als minimum. Verwerkingsverantwoordelijken en verwerkers kunnen er natuurlijk voor kiezen om meer te doen dan dat wat ‘passend’ is.
Het belangrijkste contextuele aspect voor een ISMS is de informatie die moet worden beveiligd. Bij de vormgeving van een ISMS moeten verwerkingsverantwoordelijken en verwerkers daarom eerst vaststellen ter beveiliging van welke informatie dit systeem dient. Vervolgens moeten ze de waarde van deze gegevens te bepalen, zodat ze in een later stadium kunnen beslissen in welke mate ze deze gegevens gaan beveiligen.3 Hierbij is bijvoorbeeld hun waarde voor de bedrijfsvoering relevant, net als (in de termen van art. 32 AVG) hun aard en gevoeligheid.4 Omdat de beveiliging van informatie grotendeels vorm krijgt via de beveiliging van de systemen waarmee deze gegevens worden verwerkt,5 kijken informatiebeveiligingsspecialisten bij het vaststellen van de context van een ISMS ook naar de bij de informatie betrokken (ICT-)infrastructuur. Daarbij gaat het om alle hardware, software, informatie, procedures en mensen die verband houden met deze persoonsgegevens en hun (voorgenomen) verwerkingen.6 Ook eventuele onderlinge prioriteitsverschillen voor wat betreft de beveiliging van deze verschillende elementen is van belang.
Als duidelijk is welke gegevens en (ICT-)infrastructuur er in het kader van het ISMS moeten worden beveiligd, zullen verwerkingsverantwoordelijken en verwerkers moeten onderzoeken welke dreigingen bestaan ten aanzien daarvan.7 Hierbij dienen ze te kijken naar onder meer software-aanvallen (zoals virussen, wormen en DDoS-aanvallen), technische gebreken in de software (zoals bugs, codeproblemen en zogenoemde loopholes), menselijke fouten (ongelukken, niet-naleving van een protocol) en fysieke aanvallen (zoals vernietigingen, maar ook bijvoorbeeld overstromingen).8 Ook dienen ze te beoordelen hoe deze dreigingen zich verhouden tot de kwetsbaarheden die inherent zijn aan de betrokken (ICT-)infrastructuur.9 Het gaat daarbij om zwaktes of fouten waarop dreigingen gemakkelijk vat kunnen krijgen.10 Aanvallen zullen in de regel op deze kwetsbaarheden zijn gericht, waardoor zij goed moeten worden beveiligd.11
Bij de contextbepaling van een ISMS moet uiteindelijk een overzicht worden gemaakt van alle beveiligingselementen, de kwetsbaarheden daarvan en de relevante dreigingen.12 Dit betekent kort gezegd dat verwerkingsverantwoordelijken en verwerkers, naast de aard van de gegevens, ook de context en omvang van de voorgenomen verwerkingen in kaart moeten brengen. Doordat de vormgeving van een ISMS zeer contextgerichtheid is, dienen verwerkingsverantwoordelijken en verwerkers, wanneer zij bijvoorbeeld verschillende verwerkingen verrichten of verschillende soorten persoonsgegevens verwerken, veelal meerdere informatiebeveiligingsmanagementsystemen op te stellen.
Hoewel de manier waarop de context van een ISMS dient te worden bepaald vrij duidelijk lijkt, is het in de praktijk niet gemakkelijk deze context vast te stellen.13 Zo heeft het inschatten van de waarde van gegevens een zeker subjectief karakter en vereist de vaststelling van relevante dreigingen en kwetsbaarheden veel kennis van informatiebeveiliging. Normen en certificeringsmethodes bieden hierbij weliswaar houvast, maar voornamelijk in de vorm van kaders waarbinnen verwerkingsverantwoordelijken en verwerkers zelf belangrijke afwegingen en keuzes moeten maken. Omdat ze hierbij ook de wettelijke eisen moeten meenemen, klinkt de manier waarop zij de wettelijke beveiligingsnorm interpreteren door in deze keuzes.14