Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.2.1
3.2.1 Persoonsgegevens(verwerkingen) en informatiebeveiliging
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660938:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie bijv. Akhgar & Arabnia 2013; Von Solms & Van Niekerk 2013, p. 100. Vgl. Adeyinka 2008, §2.1.
Bijv. Whitman & Mattord 2012, p. 11-12. Het is bijvoorbeeld niet van belang of deze informatie analoog of digitaal is opgeslagen. Zo stelt deze discipline eisen aan de verzending van persoonsgegevens per poststuk, maar ook aan hun digitale verzending.
Dit is in het bijzonder in de afgelopen vijf decennia gebeurd, als gevolg van de technologische ontwikkelingen die in deze periode plaatsvonden en de risico’s die zij meebrachten voor de waarborging van het recht op privacy en het (later erkende) recht op de bescherming van persoonsgegevens. Zie t.a.v. de totstandkoming en ontwikkeling van de informatiebeveiligingsdiscipline Warner 2012, en uitgebreider De Leeuw & Bergstra (red.) 2007, i.h.b. hfdst. 20, 24 en 27; Whitman & Mattord 2012, p. 3-7. Zie over de opkomst en erkenning van het recht op de bescherming van persoonsgegevens hfdst. 4, i.h.b. §4.6. Persoonsgegevens hebben overigens ook waarde als bedrijfsinformatie.
Europees Comité voor gegevensbescherming 2021, guidelines 01/2021, §3.
Zowel art. 5 lid 1 onder f AVG als de beste praktijken van informatiebeveiliging leggen de focus op gegevens die zijn opgeslagen op dragers. Dit is niet gek: dragers vervullen de centrale rol bij de verwezenlijking van vrijwel alle beveiligingsrisico’s die ten aanzien van informatie kunnen bestaan (zoals die op onrechtmatige of ongeoorloofde inzage, wijziging en beschadiging, zie ook §3.4.3). Zij maken het mogelijk dat er iets met persoonsgegevens kan gebeuren.
De Leeuw 2007, §1.2. Zie over het proces van beveiligen §3.4 van deze studie. ICT-infrastructuur is geen vastomlijnde term. De componenten hiervan kunnen bijv. worden gegroepeerd in hardware, software, informatie- en communicatiefaciliteiten en netwerken (Stallings & Brown 2015, p. 18), maar ook in servers, netwerk infrastructuur, clients en filterende netwerkkoppelingen (Bokhorst e.a. 2003, §2.2). Ongeacht de precieze indeling, staat vast dat de (ICT-)infrastructuur bestaat uit zowel fysieke infrastructuur (hardware, zoals servers, computers en datacentra) als software (het operationeel systeem en de applicaties). Zie Bokhorst e.a. 2003, §2.2; Hernantes, Gallardo & Serrano 2015, p. 89; Stallings & Brown 2015, p. 18; Porcedda 2018, p. 9; ‘IT Infrastructure’, techopedia,techopedia.com. Soms worden ook alle onderlinge connecties en connecties met het internet vallen eronder verstaan (Sirkemaa 2002, §3; Bokhorst e.a. 2003, §2.2; Stallings & Brown 2015, p. 18). Ik duid met ‘(ICT-)infrastructuur’ op alle bovengenoemde elementen.
Ten aanzien van de verzonden e-mail zal er dus bijv. een beveiligde internetverbinding moeten worden gebruikt.
Art. 32 lid 1 onder b AVG (zie §3.5.4). Vgl. preambule Richtlijn (EU) 2016/680, o. 28.
Zij zien op verschillende assets, maar hebben vaak wel enige overlap. Von Solms & Van Niekerk 2013, p. 100. Vgl. Adeyinka 2008, §2.1.
Bijv. cybersecurity en cybersafety, zie Firesmith 2003; Piètre-Cambacédès & Bouissou 2013; Young & Leveson 2014; Kriaa e.a. 2015; Swinscow-Hall 2017. Cyberveiligheid als de vertaling van cybersecurity kan daarom tot onduidelijkheid leiden.
Firesmith 2003, §2.3-2.4; Pieters 2011, p. 327; Young & Leveson 2014, p. 31. In §3.4.2 ga ik nader in op het begrip ‘beveiligingsdreiging’.
Firesmith 2003, §4.1; Banerjee e.a. 2011, p. 283; Young & Leveson 2014, p. 31. Omdat vele beveiligingsgebreken zowel leiden tot onbedoelde fouten als kansen voor kwaadwillenden creëren, vereisen cybersecurity en cybersafety overigens geregeld het treffen van dezelfde maatregelen. Zie Firesmith 2003, hfdst. 5; Stoneburner 2006, p. 96; Piètre-Cambacédès & Bouissou 2013 (bijv. §2.4); Young & Leveson 2014, p. 35; Kriaa e.a. 2015, §2; Swinscow-Hall 2017; ISO 27002:2017, §0.1; Pruitt-Mentle z.j., p. 2).
Zie hierover §3.4.3.
Wel ziet informatiebeveiliging ook op andere gegevens dan persoonsgegevens.
Zie bijv. impliciet CBP 2013, p. 1. Deze andere beveiligingsdisciplines zijn veelal gericht op een specifiek onderdeel van de (ICT-)infrastructuur (zoals netwerken) of op een ander beveiligingsdoel (zoals cyber). Voor zover zij uitgangspunten hebben die relevant zijn voor de beveiliging van informatie, komen die in de kern overeen met die van de informatiebeveiligingsdiscipline. Zo kennen zowel de informatiebeveiliging als cybersecurity de CIA triade, waaruit volgt dat de beveiliging draait om de verwezenlijking van enkele beveiligingsdoelen (zie §3.3.1).
Binnen het beveiligingsdomein worden vele verschillende disciplines onderscheiden, zoals cybersecurity, computer security, network security en information security.1 Het is daarom van belang om, voordat ik de AVG-beveiligingsbepalingen vergelijk met de uitgangspunten van de informatiebeveiligingsdiscipline, eerst te verantwoorden waarom ik de beveiligingsbepalingen juist vanuit de uitgangspunten van deze discipline analyseer. Deze verantwoording verduidelijkt ook in hoeverre dit vakgebied op de AVG-beveiligingsbepalingen aansluiten.
Art. 5 lid 1 onder f en 32 AVG zien op de beveiliging van persoonsgegevensverwerkingen. Een vakgebied dat zich specifiek richt op de beveiliging van persoonsgegevens en persoonsgegevensverwerkingen, bestaat niet. Persoonsgegevens zijn echter, kort gezegd, bepaalde typen informatie, waarvan de inhoud voldoet aan een aantal in de AVG beschreven criteria (zie §2.2.2.2). Vrijwel alles wat met deze gegevens kan worden gedaan, geldt als een verwerking. Ook gegevens ‘in rust’ worden verwerkt (§2.2.2.3). Het informatiebeveiligingsdomein ziet op de beveiliging van waardevolle informatie in iedere vorm en staat.2 Hoewel de discipline oorspronkelijk in het bijzonder ging over de beveiliging van staatsgeheimen en essentiële bedrijfsinformatie, worden haar beste praktijken en uitgangspunten sinds het belang van persoonsgegevensbeveiliging duidelijk is, dan ook tevens daarop toegepast.3
Om gegevens in iedere staat en vorm te beveiligen, moeten ook hun verwerkingen en de daarbij betrokken verwerkingsdiensten en -systemen zijn beveiligd. Toegang hiertoe zal in veel gevallen ook toegang betekenen tot de gegevens zelf. Slecht beveiligde systemen maken het bijvoorbeeld mogelijk verzonden gegevens te onderscheppen en te verspreiden.4 Om dit te voorkomen moet van de gehele bij de informatie betrokken (ICT-)infrastructuur worden onderzocht of, en zo ja, hoe deze structuur moet worden beveiligd. Daarbij moet worden gekeken naar onder meer dragers (het papier of de hardware, bijvoorbeeld de USB-stick, waarop de gegevens zijn opgeslagen),5 (overige) hardware, software, netwerkverbindingen, organisatorische protocollen en natuurlijke personen.6 Het informatiebeveiligingsdomein beslaat daarom de beveiliging van de bij persoonsgegevensverwerkingen betrokken (ICT-)infrastructuur,7 net als de AVG.8 De beste praktijken van dit vakgebied gaan over de beoordeling van de beveiligingsnoodzaak van al deze elementen en de vormgeving van de daadwerkelijke beveiliging daarvan. Met andere woorden, bij alle elementen die op grond van de AVG moet worden beveiligd, bieden de beste praktijken van het informatiebeveiligingsdomein houvast.
Overigens kent een groot deel van de beveiligingsdisciplines die informatici onderscheiden twee takken: één betreffende de security (beveiliging) van het object en één aangaande de safety (veiligheid) daarvan.9 In het kader van de beveiliging van informatie spreken beveiligingsspecialisten slechts over informatiebeveiliging (information security). Hierdoor rijst de vraag of dit vakgebied ook kwesties omvat die binnen andere beveiligingsdisciplines als safety-vraagstukken worden aangemerkt, en hoe de reikwijdte van informatiebeveiliging zich verhoudt tot de AVG-beveiligingsbepalingen.
Safety- en securityvraagstukken hebben grote gelijkenissen.10 Ze betreffen beide beveiliging, en kunnen op dezelfde objecten zien. Het verschil zit in het type dreigingen waarop zij zien. Security gaat over de beveiliging tegen de dreigingen van kwaadwillenden; safety over de beveiliging tegen gevaren die voortkomen uit onbedoelde fouten of ongevallen.11 Safety-systemen zien daarom overwegend op het verkleinen van de kans op dergelijke fouten of ongevallen terwijl de nadruk van securitysystemen ligt op het verkleinen van de slagingskans en impact van aanvallen.12
Uit de beste praktijken van het informatiebeveiligingsdomein blijkt dat organisaties bij de vormgeving van informatiebeveiliging alle van belang zijnde risico’s dienen mee te nemen.13 Anders dan sommige andere security-disciplines ziet information security zodoende niet alleen op de beperking en beheersing van typische security-risico’s, maar ook op die van safety-risico’s. Ook de AVG-beveiligingsbepalingen zijn op dit punt breed. Op grond hiervan moeten verwerkingsverantwoordelijken en verwerkers bij het treffen van beveiligingsmaatregelen rekening houden met de gevolgen van alle mogelijke beveiligingsdreigingen.14 De AVG-beveiligingsbepalingen en de uitgangspunten van het informatiebeveiligingsdomein sluiten ook op dit punt dan ook goed op elkaar aan.
Al met al betreft het informatiebeveiligingsdomein de beveiliging van persoonsgegevensverwerkingen en heeft het, voor wat persoonsgegevensbeveiliging betreft, dezelfde omvang als art. 5 lid 1 onder f en 32 AVG.15 In het algemeen gaat men er – naar mijn mening gerechtvaardigd – vanuit dat andere beveiligingsdisciplines slechter aansluiten op de beveiliging van persoonsgegevensverwerkingen dan het informatiebeveiligingsdomein.16 Daarom beperk ik mij in dit hoofdstuk tot een bespreking van de informatiebeveiliging.