Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.5.3
3.5.3 Beveiliging: voorkomen, opsporen, reageren en herstellen
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660861:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Ook wel aangeduid met preventative measures, bijv. in Stallings & Brown 2015.
CBP 2013, §2.4; Stallings & Brown 2015, §1.6 & §15.2 e.v.; Europese Toezichthouder voor gegevensbescherming 2018, p. 16 e.v. Op deze functie van cyberbeveiliging wordt van oudsher de meeste nadruk gelegd, zo wordt beschreven in Parker 1983, p. 305. Overigens worden de recoverative measures vaak aangeduid als recovery measures. Vgl. Alexander & Panguluri 2017, p. 28 e.v. (zij onderscheiden hiernaast nog directive controls, wat zij omschrijven als administratieve procedures.); Bishop 2005, §1.3.1 (die de reagerende maatregelen niet los onderscheidt). Vgl. Parker 1983, hfdst. 41.
Firewalls en trainingen voor werknemers die erop zijn gericht dat zij gevaren leren herkennen, zijn voorbeelden van preventieve maatregelen.
Vgl. Baldwin 1995, p. 15; ISO 27000:2020, §3.5.5.
Zie ook §3.4., onder sub c.
ICO Penalty Notice British Airways plc 2020, bijv. pt. 6.64; ICO Marriott International Inc 2020, bijv. pt. 6.31 e.v.
Informatiebeveiligingsspecialisten maken onderscheid tussen preventive (preventieve),1detective (opsporende), reactive (reagerende, ook wel met corrective of repressive aangeduid) en recoverative (herstellende) maatregelen.2
Preventieve maatregelen dienen ertoe te verhinderen dat een mogelijke beveiligingsaanval succesvol is, een risico zich verwezenlijkt en er dus een beveiligingsincident plaatsvindt.3 Omdat preventieve maatregelen beveiligingsincidenten nooit helemaal kunnen voorkomen, is het noodzakelijk ook andersoortige maatregelen te treffen.4 Daarbij gaat het allereerst om opsporende maatregen. Zij zorgen ervoor dat het kenbaar is dat er een beveiligingsincident heeft plaatsgevonden. Reagerende maatregelen beperken vervolgens zo veel mogelijk de negatieve gevolgen van een dergelijk incident. Herstellende maatregelen zorgen ervoor dat de schade die desondanks is ontstaan, wordt verholpen.
Het is opvallend dat art. 5 lid 1 onder f AVG alleen lijkt te bepalen dat maatregelen bepaalde verwerkingen moeten tegengaan. Over maatregelen die de gevolgen hiervan kunnen opsporen, daarop kunnen reageren of de gevolgen daarvan kunnen herstellen, lijkt deze bepaling op grond van haar tekst dan ook niet te gaan.
Toch staat het naar mijn mening vast dat verwerkingsverantwoordelijken en verwerkers in het kader van de AVG-beveiligingsbepalingen ook opsporende en reagerende maatregelen moeten treffen. art. 32 AVG gaat immers uit van risicobeheersing, wat vereist dat er ook maatregelen worden getroffen die de gevolgen van risico’s beperken. Bovendien is een belangrijk element van het herstellen van een kwaliteit van een beveiligingsobject dat een incident ten aanzien hiervan eerst wordt opgespoord en daarop wordt gereageerd.5 Dat er meer maatregelen moeten worden getroffen dan alleen maatregelen die beveiligingsincidenten tegengaan, blijkt ook uit art. 32 lid 1 onder c AVG, dat bepaalt dat verwerkingsverantwoordelijken en verwerkers, waar passend, maatregelen moeten treffen met vermogen om de toegang tot gegevens te herstellen. De Engelse toezichthouder heeft overigens expliciet benoemd dat herstellende maatregelen bijdragen aan de passendheid van de getroffen beveiligingsmaatregelen.6