Beheer

Juridische zaken
Privacy

Gevoeligheid van gegevens in e-dienstverlening

De aanscherping van de privacywetgeving vraagt de nodige aandacht bij verwerking van persoonsgegevens.

Privacyverordening, 5 in het oog springende aspecten © CC by S.A. 2.0 ,  Perspecsys Photos (Flickr)
23 augustus 2016

Burgers moeten erop kunnen vertrouwen dat instanties de privacy en persoonsgegevens van burgers goed beschermen, zodat deze niet toegankelijk zijn voor onbevoegden. Gelukkig erkennen de Nederlandse overheid en de Europese Unie het belang van privacy. In Nederland kennen wij de Wet bescherming persoonsgegevens (Wbp), gebaseerd op de Europese richtlijn uit 19951. Vanaf 1 januari 2016 is de regelgeving verder aangevuld met een meldplicht datalekken. Ook Europa heeft de privacyregelgeving verder aangescherpt. Op 24 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG2) in werking getreden. Organisaties krijgen twee jaar, tot 25 mei 2018, om hun bedrijfsvoering met de AVG in overeenstemming brengen. De AVG gaat boven de nationale wetgeving zoals de Wbp en stelt aanvullende eisen.

Register

Allereerst dienen organisaties de gegevensverwerkingen te identificeren en vast te leggen in een register van verwerkingsactiviteiten (artikel 30 AVG). Dit geldt bijvoorbeeld voor elektronische diensten (eDiensten), inclusief de verwerkingen van persoonsgegevens, die instanties aanbieden en de ondersteunende werkprocessen die nodig zijn voor het aanbieden van de eDiensten. Denk bijvoorbeeld aan het voeren van een administratie voor de facturering. Ook daarin zitten persoonsgegevens.
De AVG stelt verschillende eisen aan dit register, waaronder een omschrijving van de persoonsgegevens die worden verwerkt, welke categorie persoonsgegevens worden verwerkt en aan wie de gegevens worden toevertrouwd en zo mogelijk de maatregelen die worden getroffen voor de beveiliging. Voor een dergelijk register moeten instanties:

  • Een classificatiestelsel maken waarin de persoonsgegevens in categorieën en de doelgroep van de betrokkenen kunnen worden ingedeeld;
  • Bepalen welke persoonsgegevens strikt noodzakelijk zijn voor de eDiensten; aanbieders van eDiensten dienen namelijk overmatig verzamelen van persoonsgegevens tegen te gaan om de inbreuk op de privacy zo minimaal mogelijk te zijn;
  • Voor het leveren van de eDienst bepalen aan welke partijen de persoonsgegevens worden verstrekt en van welke leveranciers gebruik wordt gemaakt in het realiseren van de dienst.

Gedurende de ontwerpfase van een eDienst moet rekening worden gehouden met de betrokken partijen, belegging van de verantwoordelijkheden, de categorie persoonsgegevens die worden verwerkt en de vereiste maatregelen. Als harde eis dient het register up-to-date te zijn, om deze passend te beschermen.

Verantwoordelijkheid in de keten

Verwerkingsprocessen moeten inzichtelijk zijn. Veel instanties beperken IT-kosten door achterliggende processen voor de verwerking van persoonsgegevens te digitaliseren. Daarbij wordt in toenemende mate gebruik gemaakt van professionele IT-dienstverleners, het onderhouden en beheer van een IT-omgeving is zo veelal geen kerntaak. De aanbieder van een eDienst blijft echter zelf verantwoordelijk voor de verwerking van persoonsgegevens en voor de inzichtelijkheid van het proces. De aanbieder van de eDienst bepaalt immers de middelen, de doelen en de persoonsgegevens die daarvoor worden verzameld.

Indien op een niet-verantwoorde manier met persoonsgegevens wordt omgaan, zijn de verwerkingsverantwoordelijke instanties daarvoor aansprakelijk. Volgens de AVG mag iedereen organisaties aanspreken op de naleving van de AVG, met als mogelijk gevolg boetes tot 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet. Deze boetes zijn beduidend hoger dan nu het geval is.
De complexiteit van de IT-keten en de nakende financiële gevolgen leiden tot de volgende aandachtspunten:

  • De verwerkingsverantwoordelijke en de IT-leveranciers (verwerkers) moeten afspraken maken over het beschermen van de persoonsgegevens en deze contractueel vastleggen. Indien er bijvoorbeeld gebruik wordt gemaakt van clouddiensten met opslag van data buiten de EU (zoals de VS), moeten bindende contractuele clausules worden overeengekomen voor de bescherming van de persoonsgegevens. De Europese Commissie heeft daartoe modelclausules ontworpen3;
  • Specialistische IT-dienstverleners maken veelal gebruik van professionele datacenterdienstverleners of andere onderaannemers van bijvoorbeeld back-updiensten. Al met al moet een keten van organisaties zorgen dat de privacygevoelige gegevens worden beschermd en de verantwoordelijke voor gegevensverwerking geen inzicht op de hele keten heeft;
  • In de praktijk zijn verantwoordelijk­heden lang niet altijd helder vastgelegd. Vaak ontbreekt een beschrijving van de processen die zijn uitbesteed aan IT-dienstverleners en welke verwerkingen mogen worden verricht;
  • Mocht dit allemaal helder zijn, dan dient tevens periodiek te worden getoetst dat ook daadwerkelijk wordt voldaan aan de overeengekomen bescherming van de persoonsgegevens (art 32:1b).

Middels zogenaamde assuranceverklaringen van onafhankelijke auditors kan een instantie inzicht verkrijgen in de doeltreffendheid van de maatregelen ter beveiliging van de verwerking. Expliciete toetsing van privacywaarborgen ontbreekt hierin vaak, waaronder de toets dat de verwerker strikt de verwerkingen verricht zoals die zijn overeengekomen.

Verplichte data protection impact assessment

Artikel 35 lid 1 AVG stelt: ‘Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.’
In de praktijk is het lastig te beoordelen waar een Protection Impact Assessment (PIA) verplicht is, omdat de vereisten niet specifiek zijn. Bovendien zal de toezichthoudende autoriteit een lijst moeten publiceren met verwerkingen waarvoor de PIA verplicht is en of de verwerking daadwerkelijk privacy proof is4. Om hieraan te kunnen voldoen moeten gegevensverzamelingen en verwerkingen worden geclassificeerd. Deze classificering is nodig om zowel de risico’s te bepalen als de vereiste maatregelen ter voorkoming van inbreuken op de privacy. Met inpassing van de PIA tijdens het ontwikkel- en wijzigingsproces, kunnen de eisen voor een passende bescherming worden ingebracht in het ontwerp. Dit is het concept van ‘privacy by design’.
Een classificatie-indeling verschilt in de praktijk voor alle instanties, gegeven de eigen casuïstiek:

  • Naarmate gegevens privacygevoeliger of waardevoller zijn, hebben deze een hogere vertrouwelijkheidsklasse en mogen er minder personen bij;
  • Naarmate gegevens privacygevoeliger of waardevoller zijn, gelden aanvullende maatregelen voor het vaststellen van de identiteit en betrouwbaarheid van personen voordat toegang wordt verleend;
  • Naarmate de persoonsgegevens privacygevoeliger zijn, dienen meer maatregelen te worden getroffen voor de bescherming van die persoonsgegevens in eDiensten. Er zijn diverse handreikingen beschikbaar die kunnen helpen in het bepalen van de passende maatregelen5;
  • De beschermingsmaatregelen en classificatie moeten gedurende de gehele levenscyclus van de persoonsgegevens worden geborgd;
  • De classificatie is van toepassing op gegevens in opslag maar moet ook worden vastgesteld op gegevensverzamelingen gedurende transport. Immers kan slechts een deel van de gegevensverzameling worden verstuurd, waardoor de classificatie anders is;
  • Een passend beveiligingsniveau is gerelateerd aan de classificatie en de manier waarop gegevens worden verwerkt. Er zijn verzwarende factoren die leiden tot een grotere impact indien een inbreuk op de privacy plaatsvindt. Bijvoorbeeld het verwerken van grote hoeveelheden vertrouwelijke gegevens en mogelijke juridische consequenties van een eDienst kunnen leiden tot aanvullende maatregelen, zodat de beveiliging weer in overeenstemming is met het gewenste beveiligingsniveau.

Vervolgens zullen instanties een risico­analyse moeten uitvoeren om de daadwerkelijk vereiste maatregelen te bepalen en vast te stellen dat de resterende risico’s acceptabel zijn. Het is immers onmogelijk om restrisico’s volledig uit te sluiten.

Beoordelen beveiligings­niveau via risicoanalyse

Voor het bepalen van het gewenst beveiligingsniveau moet een risicomanagementproces worden ingericht. Op basis hiervan kan men risico’s inschatten en bepalen welke maatregelen die risico’s kunnen reduceren. Hiervoor zijn verschillende analysemethoden beschikbaar. Via vooraf vastgestelde criteria, kan op (relatief) objectieve wijze worden beoordeeld of de geconstateerde kwetsbaarheden in voldoende mate zijn verholpen en binnen de risicoacceptatiegrens vallen.

     
    Lees het hele artikel
    Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

    Inloggen

    Registreren

    • Direct toegang tot AGConnect.nl
    • Dagelijks een AGConnect nieuwsbrief
    • 30 dagen onbeperkte toegang tot AGConnect.nl

    Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!