CBP publiceert richtsnoeren beveiliging persoonsgegevens

Recentelijk heeft het College bescherming persoonsgegevens (CBP) richtsnoeren gepubliceerd over de beveiliging van persoonsgegevens. Dit ter vervanging van de ruim tien jaar oude ‘Achtergrondstudies en Verkenningen 23′ (A&V 23).  id="more-6642">

Sinds de inwerkingtreding van de Wet bescherming persoonsgegevens in 2000 is al het wettelijk verplicht om persoonsgegevens goed te beveiligen. Of zoals het juridisch is verwoord: ‘passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking’.

Incidenten

De afgelopen jaren zijn echter steeds meer incidenten in het nieuws gekomen waarbij systemen werden gehackt en persoonsgegevens werden buitgemaakt. Geregeld bleek daarbij dat de beveiliging benedenmaats was. In het href="http://www.cbpweb.nl/Pages/pb_20130219_richtsnoeren-beveiliging-persoonsgegevens.aspx">persbericht geeft het CBP aan dat het 28 beveiligingslekken en datalekken heeft onderzocht in 2012. Hoewel dat maar een erg klein topje van de ijsberg lijkt, geeft het CBP daarbij wel concreet aan dat SQL-injecties en cross-site scripting vaak de methodes zijn (geweest) om ongeautoriseerd toegang te verkrijgen. Die methodes zijn prima te verhinderen door een goede beveiliging, dus wees gewaarschuwd: als bij u wordt ingebroken of als inbraak mogelijk zou zijn via dergelijke aanvallen, zult u al gauw zijn tekortgeschoten in uw beveiligingsplicht.

Het persbericht impliceert daarbij ook dat onbeveiligde webformulieren een no-no zijn. Dit wordt echter enkel als ‘ beveiligingslek’  genoemd en niet als ‘datalek’. Hoe vaak het daadwerkelijk voor komt dat persoonsgegevens onderweg uit een formulier worden onderschept, is niet duidelijk. Als men hier streng(er) op wordt, mag overigens ook worden verwacht dat communicatie via e-mail steeds vaker geëncrypteerd over de lijnen zal moeten. E-mails bevatten namelijk vaak nog meer (gevoelige) persoonsgegevens dan contactformulieren. Ook moet het natuurlijk niet zo zijn dat het contactformulier aan de voorkant netjes van SSL wordt voorzien, terwijl aan de achterkant het verkeer vrolijk weer onversleuteld in een mailbox terecht komt.

De richtsnoeren

Het CBP wil met de richtsnoeren zowel op het belang van beveiliging wijzen als een praktisch hulpmiddel bieden om te voldoen aan de wettelijke plicht om in ‘passende beveiliging’ te voorzien. Want om met het CBP te spreken: verantwoord omgaan met persoonsgegevens staat of valt met een goede beveiliging.

Het CBP geeft in de richtsnoeren aanwijzingen over hoe men tot een goede beveiliging komt. Daarbij noemt het CBP de ‘plan-do-check-act’  cyclus, die ook in veel (internationale) standaarden omtrent informatiebeveiliging terugkomt. Waar dit volgens het CBP op neerkomt is:

  1. Risico’s beoordelen (je moet jezelf vooral en het eerst tegen de meest reële bedreigingen goed beveiligen)
  2. Gebruik maken van algemeen geaccepteerde beveiligingsstandaarden (het CBP noemt er legio, maar noemt voor de praktijk vooral ISO 27002 in combinatie met de richtlijnen voor webapplicaties van het NCSC van belang)
  3. Regelmatig controleren en evalueren (de maatregelen die op papier aanwezig zijn moeten ook in de praktijk worden gebracht. Ook zijn de ontwikkelingen op gebied van cybercrime en -security snel, waardoor je voortdurend bij de tijd moet blijven)

Risicoklassen

Opvallend is dat de richtsnoeren de indeling in risicoklassen uit A&V 23 laat varen. In plaats daarvan noemen de richtlijnen concrete praktijkvoorbeelden. Deze laten zien dat de mate van gevoeligheid van gegevens en het risico op (materiële dan wel immateriële) schade van vele factoren afhankelijk is, maar met gezond verstand en de richtlijnen en de wet in de hand wel vrij goed te beoordelen is. Waar het bijvoorbeeld gaat om de nieuwsbrief van een sekssite (van een specifiek genre), zal het e-mailbestand moeten worden aangemerkt als gegevens betreffende het seksuele leven en is extra zorgvuldigheid en beveiliging van dit bestand geboden ten opzichte van een gemiddelde – ik noem maar wat – nieuwsbrief over auto’s.

Nog geen boetes

Hoewel er voorstellen in de pijplijn liggen om het CBP meer boetebevoegdheden toe te kennen, waaronder bij verzaking van de plicht tot het voorzien in passende beveiliging, kan het CBP nu nog geen boetes uitdelen voor een tekortschietende beveiliging. Maar ook de voorpagina op Nu.nl of Webwereld halen als lekkend bedrijf is natuurlijk al erg onprettig.

Met de richtsnoeren heeft het CBP een nuttige tool geboden om het beveiligingsniveau op (wettelijk vereist) peil te brengen. Dit vormt een goede aanleiding om een nieuw beleid op te stellen of het huidige beleid te herzien. Wat ergens wel jammer is, is dat het CBP er nu op aanstuurt dat er (best prijzige en closed source) standaarden moeten worden gekocht en dat er (nog) geen concrete knowhow publiek beschikbaar wordt gesteld over hoe de vele normen uit dergelijke standaarden het best kunnen worden toegepast. Die keuze is zeker in dit stadium echter nog wel te begrijpen. Wellicht dat een organisatie als het NCSC, publiekelijk bekostigd en in het publiek belang, nog eens in staat blijkt om de closed source standaarden overbodig te maken. De hele informatiemaatschappij (en -economie) vaart tenslotte wel bij algemeen beter niveau van veiligheid.

 

Terug naar overzicht