GDPR (13) Adequate beveiliging van persoonsgegevens

10 november 2017

Tot hiertoe hebben we het in de blog vooral gehad over de GDPR-richtlijnen voor het eigenlijke verwerken van persoonsgegevens. Onder welke voorwaarden mag je gegevens verwerken? Hoe zorg je voor de juiste communicatie naar de betrokkenen? Daarnaast schrijft de GDPR ook voor dat je de gegevens afdoende moet beschermen tegen risico’s, zowel tijdens de verwerking als daarbuiten.

De plicht tot informatiebeveiliging bestond natuurlijk ook al in de vroegere wetgeving. Nieuw in de GDPR is dat niet alleen de verantwoordelijke voor de verwerking aansprakelijk is, maar evenzeer elke verwerker die persoonsgegevens behandelt in opdracht van een verantwoordelijke.

Om duidelijk te maken hoe je aan deze verplichting kunt voldoen, moeten we even stilstaan bij wat informatiebeveiliging is. Grotere organisaties of firma’s die, zoals Group Joos, systematisch vertrouwelijke data van hun klanten behandelen, zijn hiermee uiteraard vertrouwd. Er zijn verschillende standaarden voor informatiebeveiliging, waarvan ISO 27001 de meest bekende is. Een heel arsenaal aan beleidsnota’s, procedures en werkinstructies ondersteunen organisaties en hun management hierbij. Dit is een ‘wetenschap’ op zichzelf. We kunnen er echter niet buiten de basisprincipes hier te overlopen.

In de eerste plaats moet je weten tegen welke bedreigingen persoonsgegevens, net als andere vertrouwelijke gegevens, beschermd moeten worden. Meestal gebruikt men hierbij het letterwoord CIA – elke overeenkomst met de Amerikaanse organisatie is toevallig. CIA staat hier voor Confidentiality – Integrity – Availability. Informatiebeveiliging garandeert de vertrouwelijkheid, de integriteit en de beschikbaarheid van data.

  • De vertrouwelijkheid garanderen is ervoor zorgen dat gegevens niet openbaar worden en niet terechtkomen bij mensen voor wie ze niet bestemd zijn. We kennen allemaal de opvallende voorbeelden van honderdduizenden creditkaartgegevens die gestolen zijn of van vertrouwelijke documenten die publiek gemaakt wordt door hackers. Maar er zijn ook kleinschaliger datalekken, zoals een brief die in de verkeerde brievenbus terechtkomt of een mail die bewust of per ongeluk naar de verkeerde bestemmeling is gestuurd.
  • Beschermen van de integriteit van data betekent dat de data niet onterecht gewijzigd of gewist mogen worden. Vervalsing kan regelrechte fraude zijn. Hackers kunnen data manipuleren. Maar veel vaker gebeuren onbedoelde wijzigingen door menselijke fouten in software of bij het configureren van systemen of toepassingen.
  • Tenslotte moet je de beschikbaarheid van de data garanderen. Maatregelen als backups of een disaster recovery plan moeten voorkomen dat gegevens verloren gaan of dat ze niet kunnen geraadpleegd of verwerkt worden op het ogenblik dat dit nodig is.

Een informatiebeveiligingsprogramma helpt je dan om systematisch de nodige stappen te nemen. Je moet de specifieke risico’s kennen die de informatie loopt. Je moet proberen deze risico’s weg te werken, in te perken of de impact ervan te verminderen.

Welke maatregelen precies moeten zorgen voor adequate beveiliging, zegt de GDPR niet. Dit is niet onlogisch, want de gepaste werkwijze hangt van veel facetten af. Aan de ene kant zijn de risico’s niet altijd dezelfde:

  • Zowel de aard van de gegevens (speciale categorieën, gevoelige data of identificatiegegevens tegenover quasi-publieke gegevens) als de hoeveelheid bepalen de impact van een eventueel datalek.
  • De aard van de verwerking zelf kan bepaalde risico’s inhouden. Zo moet er extra aandacht gaan naar automatische gegevensanalyses waarop beslissingen gebaseerd zijn.
  • Gegevensuitwisseling en transport van data kunnen voor extra risico’s zorgen.
  • De inschakeling van derden bij de verwerking kan een bijkomende bedreiging zijn.
  • Buiten Europa (eigenlijk buiten de EER) geldt niet dezelfde bescherming.
  • De bewaartermijn van gegevens kan eveneens een rol spelen.

Anderzijds staan wetenschap en technologie ook niet stil. Daardoor is wat vandaag een adequate beveiliging is, dat binnen twee jaar wellicht niet meer.

Het komt er dus op aan een evenwichtsoefening te doen. De kosten en inspanningen om bepaalde maatregelen te nemen moeten in verhouding zijn tot de aard van de data en de schade die kan optreden als er iets misloopt.

Grotere organisaties hebben hiervoor ongetwijfeld ook nu al een hele reeks procedures in gebruik. Ze formuleren het beleid rond informatiebeveiliging en hebben een management systeem opgezet. Ze inventariseren de risico’s en wegen af of ze aanvaardbaar zijn. Ze stellen procedures en instructies op. Ze voeren controles uit en laten het systeem extern auditen. Ze analyseren incidenten en trekken lessen uit de actuele werking om deze naar de toekomst te verbeteren. Al deze stappen zitten bijvoorbeeld in de standaarden van ISO 27001 verwerkt.

Als je dergelijk management systeem al operationeel hebt, zijn er niet zo veel extra acties nodig om je informatiebeveiliging in orde te brengen voor de GDPR. Uiteraard moet je ervoor zorgen dat alle persoonsgegevens de classificatie ‘vertrouwelijk’ krijgen en dat de procedures voor het behandelen van vertrouwelijke gegevens erop van toepassing zijn. En vermoedelijk zijn er enkele extra procedures nodig om specifieke verwerkingen van persoonsgegevens beter te regelen. Maar voor het overige is het algemene kader van toepassing.

De uitdaging is veel groter voor een firma of een organisatie die met informatiebeveiliging niet vertrouwd is. Daarom probeer ik in de volgende afleveringen wat tips te geven hoe informatiebeveiliging kan aangepakt worden in een kleine organisatie. Hoe kun je op een pragmatische manier en met gezond verstand haalbare procedures uitwerken en maatregelen nemen om het risico op incidenten met persoonsgegevens tot een minimum te beperken? En hoe kun je aantonen dat je dit op een adequate manier hebt gedaan.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING