3.5.4 De maatregelen uit art. 32 lid 1 AVG

Hoewel de AVG verwerkings­verant­woordelijkheden en verwerkers de ruimte biedt te beslissen welke beveiligingsmaatregelen zij in een specifiek geval treffen, zijn in art. 32 lid 1 AVG wel enkele kwaliteiten beschreven die deze maatregelen ‘waar passend’ ‘onder meer’ moeten hebben. Deze lijst met kwaliteiten dient, gezien deze formulering, voornamelijk ter illustratie en verduidelijking. De lijst heeft geen duidelijke systematiek. Zo zijn de opgenomen kwaliteiten ongelijk van aard: sommige zijn specifieke maatregelen, andere betreffen eerder het effect dat een maatregel kan hebben. Hieronder beschrijf ik de verschillende elementen van deze opsomming kort, veelal onder verwijzing naar eerdere paragrafen. Overigens heeft het Europees Comité voor gegevensbescherming van nog veel meer maatregelen aangegeven dat zij mogelijk moeten worden getroffen om bepaalde risico’s te beheersen. Op deze veel technischere en contextuele richtlijnen ga ik hieronder niet in.1

De lijst uit art. 32 lid 1 AVG begint met pseudonimisering en versleuteling, die tezamen worden genoemd.

Versleutelde berichten zijn onleesbaar voor onbevoegden. Doordat de gegevens alleen kunnen worden ontsleuteld met de juiste sleutel, bewerkstelligt versleuteling in beginsel dat alleen personen die beschikken over deze juiste sleutel, het bericht kunnen lezen. Het zorgt er zodoende voor dat als andere maatregelen falen, en derden gegevensbestanden in hun bezit krijgen, zij de inhoud van deze gegevens niet kunnen zien. Versleuteling kan op vele verschillende manieren worden vormgegeven en zodoende een uiteenlopende mate van beveiliging bewerkstelligen.2 De AVG specificeert niet welk soort versleuteling doorgaans passend is.

Pseudonimisering wordt gezien als het gevolg van versleuteling.3 Bij pseudonimisering worden de data versleuteld, zodat zij niet meer aan personen kunnen worden gekoppeld zonder sleutel. Dat pseudonimisering geen maatregel op zichzelf is, maar het gevolg van een maatregel, blijkt ook uit de manier waarop pseudonimisering binnen de AVG wordt gedefinieerd: “het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld”.4

Pseudonimisering en versleuteling zijn erop gericht persoonsgegevens voor derden onbegrijpelijk te maken.5 Versleuteling (ook wel encryptie genoemd) draagt primair bij aan de vertrouwelijkheid van persoons­gegevens­(verwerkingen) en wordt binnen het informatiebeveiligingsdomein gezien als een van de belangrijkste maatregelen die ter verwezenlijking van dit doel kunnen worden getroffen.6 De maatregel draagt, zo stelt de art. 29-werkgroep, “in an irreplaceable way” bij aan privacybescherming.7 In het kader van de AVG zal versleuteling dan ook in de regel moeten worden toegepast.

Versleuteling is een van de meest gebruikte beveiligingsmaatregelen.8 Het is een maatregel die daardoor uitgebreid is besproken, zowel in de algemene literatuur aangaande informatiebeveiliging, als in documenten die over de beveiliging van persoonsgegevens of de invulling van de AVG-beveiligings­bepalingen gaan, zoals de richtsnoeren aangaande de beveiliging van persoonsgegevens van de AP en de ISO 27000-reeks. Voor een uitgebreide beschrijving van deze beveiligingsmaatregelen verwijs ik naar deze documenten.9

De beveiliging van persoonsgegevens(verwerkingen) vereist dat ook de hierbij betrokken verwerkingssystemen en -diensten moeten worden beveiligd. Hierop ben ik uitgebreid ingegaan in §3.2. De betekenis van ‘vertrouwelijkheid’, ‘integriteit’, ‘beschikbaarheid’ en ‘veerkracht’ in dit kader bespreek ik, net als de maatregelen die kunnen worden getroffen ter waarborging van deze beveiligingsdoelen, in §3.3.2, §3.3.3, §3.3.4 en §3.3.5.

Gezien het grote belang van de beveiliging van verwerkingssystemen en -diensten voor de beveiliging van persoonsgegevens(verwerkingen),10 is het waarschijnlijk dat daarop gerichte maatregelen in de meeste gevallen nodig zijn voor het waarborgen van de voorgeschreven beveiliging. Dat de waarborging ‘op permanente basis’ zou moeten, is, gezien de onmogelijkheid om beveiligingsincidenten helemaal uit te sluiten, lastiger met de beveiligingspraktijk te rijmen.11 Doorgaans zal dit dan ook dusdanig moeten worden uitgelegd dat er weliswaar permanent maatregelen actief zijn die op deze waarborging zijn gericht, maar dat niet kan worden gezegd dat iedere tekortkoming in deze waarborging tot een schending van art. 32 AVG zal leiden.

In art. 32 sub c AVG komt naar voren dat verwerkingsverantwoordelijken mogelijk maatregelen moeten treffen die beschikbaarheidsincidenten herstellen. Daartoe zijn allereerst opsporingsmaatregelen vereist. Zij zorgen ervoor dat verwerkings­verantwoordelijken en verwerkers een beschikbaarheidsincident snel registreren. Enkele veelgebruikte opsporingsmaatregelen zijn alarmen in fysieke ruimtes en zogenoemde intrusion detection systems, die alle activiteiten die in een ICT-systeem plaatsvinden registreren.

Nadat een incident is geregistreerd, zorgen reagerende maatregelen ervoor dat hun nadelige gevolgen worden beperkt en dat verdere schade wordt voorkomen. Bij reagerende maatregelen kan worden gedacht aan een antivirusprogramma, dat schadelijke virussen kan isoleren en vernietigen, maar ook aan een organisatorisch protocol dat voorschrijft wat er moet gebeuren in het geval van een beveiligingsincident.

Herstellende maatregelen verzekeren tot slot dat de schade wordt hersteld die door een incident is ontstaan. Een voorbeeld van een herstellende maatregel is het maken en bewaren van back-ups, zodat het verlies van data of de uitval van een ander onderdeel van de (ICT-)infrastructuur kan worden opgevangen.12 Deze maatregelen zullen allemaal worden getroffen in het kader van de beschikbaarheid van de gegevens, maar ook in het kader van de veerkracht van de hierbij betrokken (ICT-)infrastructuur die de te beveiligen persoonsgegevens toegankelijk maakt, zie §3.3.4 en §3.3.5.13

Zoals gezegd wordt de beschikbaarheid van gegevens binnen het informatiebeveiligingsdomein wel gezien als een van de belangrijkste aspecten van gegevens.14 Dit heeft echter vooral bedrijfseconomische redenen, die traditioneel gezien van groot belang zijn binnen het informatiebeveiligingsdomein. Nu sub c – kort gezegd – meebrengt dat de beschikbaarheid van persoonsgegevens snel moet kunnen worden hersteld, is het voor het antwoord op de vraag of dat doorgaans ‘passend’ is relevant in hoeverre beschikbaarheid ook van belang is in de context van de AVG.15

Door de constante ontwikkelingen aangaande beveiligingsdreigingen, beveiligingsmaatregelen en beveiligingsrisico’s, dient beveiliging voortdurend te worden gecontroleerd en zo nodig geactualiseerd. Verwerkingsverantwoordelijken en verwerkers moeten onderzoeken in hoeverre hun beveiligingsmaatregelen, gezien de ontwikkelingen die zich hebben voorgedaan sinds het moment dat deze maatregelen zijn getroffen of voor het laatste zijn gecontroleerd, nog voldoen aan de AVG-beveiligingsbepalingen. Een procedure die het testen, beoordelen en evalueren van de doeltreffendheid van deze maatregelen aangaat, garandeert dat deze evaluaties geregeld plaatsvinden, en draagt zo bij aan de passendheid van een persoonsgegevensbeveiligings­systeem.

Ingevolge de AVG is het aan verwerkingsverantwoordelijken en verwerkers te bepalen of en zo ja, op welke momenten de beveiligingsmaatregelen worden gecontroleerd en aan de hand van welke criteria deze controle plaatsvindt. Binnen het informatiebeveiligingsdomein is de heersende visie dat organisaties voortdurend bezig moeten zijn met het controleren en verbeteren van hun beveiligingssystemen. Deze bepaling verwijst dan ook eigenlijk naar de check- en act-fase van de PDCA-cyclus, waarop ik in §3.4.6 ben ingegaan.16

Uit het informatiebeveiligingsdomein blijkt dat passende beveiliging een momentopname is. De beveiligingsmaatregelen uit sub d zullen in de regel dan ook vereist zijn voor de waarborging van het passende beveiligingsniveau en het treffen van passende beveiligingsmaatregelen. Vooral technologische ontwikkelingen, op het gebied van dreigingen en op het gebied van beveiliging, zullen ervoor zorgen dat beveiliging die ooit passend was, dat op een gegeven moment niet meer is. Om beveiliging passend te houden, zullen verwerkingsverantwoordelijken en verwerkers dan ook geregeld moeten analyseren of er iets is veranderd waardoor zij hun beveiligingsmaatregelen moeten aanpassen. Een procedure ten aanzien van het uitvoeren van dergelijk onderzoek – indien nageleefd – garandeert dat zij deze analyses verrichten. Verder zal het bestaan van een procedure op dit punt in het bijzonder van belang zijn in grotere organisaties, waar de beslissing tot het uitvoeren van beveiligingschecks wordt genomen door een ander persoon dan degene die de check uitvoert.