Nieuwe eisen aan beveiliging persoonsgegevens per 1 maart 2013

Het College Bescherming Persoonsgegevens (CBP) heeft op 19 februari 2013 nieuwe richtsnoeren gepubliceerd voor de beveiliging van persoonsgegevens. Deze richtsnoeren geven aan op welke wijze kan worden voldaan aan de plicht persoonsgegevens op een passende wijze te beveiligen. De nieuwe richtsnoeren treden in werking per 1 maart 2013.

Beveiligingsverplichting bij verwerking persoonsgegevens

Iedereen die persoonsgegevens verwerkt is verplicht deze op passende wijze te beveiligen. De verantwoordelijke voor een bepaalde persoonsgegevensverwerking - degene die zelfstandig het beleid rondom die verwerking bepaalt - is dat verplicht op grond van artikel 13 Wet bescherming persoonsgegevens (Wbp). Wanneer de verantwoordelijk de verwerking van persoonsgegevens uitbesteedt aan een derde (een bewerker), dan moet de verantwoordelijke ervoor zorgen dat die derde persoonsgegevens op hetzelfde niveau beveiligt als dat de uitbestedende dienst zelf zou moeten hebben gedaan (artikel 14 Wbp).  Bij volledige naleving van de wet rust er aldus op alle partijen die persoonsgegevens verwerken een beveiligingsplicht.

Passende beveiliging

De wet laat echter open wat waar die beveiliging precies uit moet bestaan. De wettekst is namelijk volledig techniekneutraal en als een abstracte verplichting geformuleerd. De wettekst luidt als volgt:

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Duidelijk is dat de maatregelen zowel technisch als organsitorisch van aard moeten zijn en dat de maatregelen gericht moeten zijn tegen verlies of enige vorm van onrechtmatige verwerking (lees: de beveiliging moet naleving van de wet afdwingen). Wat er echter precies moet gebeuren hangt volgens de wet af van alle omstandigheden van het geval.

Kader voor beveiligingsbeleid

Het CBP heeft onlangs nieuwe richtsnoeren gepubliceerd die meer houvast moeten geven bij de vraag welke maatregelen er precies moeten worden genomen. De richtsnoeren geven een kader voor het formuleren en vervolgens ook daadwekelijk verankeren van een beveiligingsbeleid in een organisatie. Het CBP verlangt (kort samengevat) dat een risico-analyse wordt gemaakt en dat vervolgens daadwerkelijk beheersingsmaatregelen worden getroffen. Er wordt daarbij in sterke aangesloten bij bestaande standaarden voor informatiebeveiliging, zoals NEN-ISO/IEC 27002:2007 nl en NEN 7510.

De nieuwe richtsnoeren geven niet zo zeer aan welke maatregelen er concreet genomen moeten worden, maar geven veeleel een kader aan dat de verantwoordelijke moet hanteren om zelf beleid te formuleren. Het CBP dwingt aldus de verantwoordelijke keuzes te maken en die keuzes te kunnen verantwoorden.

Verschuiving naar risicogerichte benadering

Opvallend is dat het CBP in het rapport herhaaldelijk benadrukt dat voortaan een risicogerichte benadering moet worden gehanteerd. Dat leidt tot enkele opvallende verschillen. Zo werd in het vorige rapport "Beveiliging van persoongegevens" uit 2001 gesteld dat zodra er veel persoonsgegevens worden verwerkt, de beveiliging automatisch van een hoger niveau moet zijn. Die benadering is nu verlaten. Nu bepaalt met name het risico van verlies en onrechtmatige verwerkingen de mate van beveiliging die moet worden getroffen, ongeacht of er nu veel of weinig gegevens worden verwerkt.

Type persoonsgegevens met groot risico

In dat kader valt ook op dat het CBP een uitgebreide, niet-limitatieve, lijst geeft van persoonsgegevens waarbij de gevolgen ernstig kunnen zijn bij verlies of onrechtmatige verwerkingen. Het gaat om de volgende lijst (citaat CBP):

• Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp. Het gaat daarbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.


• Gegevens over de financiële of economische situatie van de betrokkene. Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden.


• (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene. Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of
  relatieproblemen.


• Gegevens die betrekking hebben op mensen uit kwetsbare groepen. Het gaat hier bijvoorbeeld om mensen die te maken hebben met stalking of die in een blijf-vanmijn-lijfhuis verblijven, om klokkenluiders of om informanten van de politie of het Openbaar Ministerie.


• Gebruikersnamen, wachtwoorden en andere inloggegevens. De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen.


• Gegevens die kunnen worden misbruikt voor (identiteits)fraude. Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het burgerservicenummer (bsn).

Deze lijst is niet opgenomen in de wet (behalve de bijzondere persoonsgegevens en het BSN). Het CBP introduceert hiermee zelfstandig een nieuw "soort" persoonsgegevens. Volgens het CBP zou bij de verwerking van dit type persoonsgegevens de mate van beveiliging in ieder geval al hoger moeten liggen dan wanneer dit soort gegevens niet worden verwerkt.

Let wel: er zal altijd moeten worden getoetst of er uberhaupt een grondslag bestaat persoonsgegevens te verwerken. Of korter gezegd: het privacyrecht omvat meer dan alleen beveiligingseisen. Verder dient rekening te worden gehouden met specifieke verboden. Zo is het verwerken van bijzondere persoonsgegevens en het BSN verboden, tenzij wordt voldaan aan strenge wettelijke uitzonderingen. Het rapport van het CBP gaat hier verder niet op. Zie in dat kader ook onze privacycheck.

Type maatregelen die genomen moeten worden

Het CBP geeft in het rapport verder een lijst van type maatregelen die in de regel in een of andere vorm genomen zullen moeten worden. Het CBP zal bij een eventueel onderzoek dan ook toetsen in hoeverre deze maatregelen zijn genomen. Het gaat om de volgende maatregelen met de volgende toelichting (citaat CBP):

• Beleidsdocument voor informatiebeveiliging. Het beleidsdocument gaat expliciet in op de maatregelen die de verantwoordelijke treft om de verwerkte persoonsgegevens te beveiligen. Het document is goedgekeurd op bestuurlijk c.q. leidinggevend niveau en kenbaar gemaakt aan alle werknemers en relevante externe partijen.


• Toewijzen van verantwoordelijkheden voor informatiebeveiliging. Alle verantwoordelijkheden, zowel op sturend als op uitvoerend niveau, zijn duidelijk gedefinieerd en belegd.


• Beveiligingsbewustzijn. Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met (bijzondere of anderszins gevoelige) persoonsgegevens.


• Fysieke beveiliging en beveiliging van apparatuur. IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen. De geboden bescherming is in overeenstemming met de vastgestelde risico’s.


• Toegangsbeveiliging. Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen. De procedures omvatten alle fasen in de levenscyclus van de gebruikerstoegang, van de eerste registratie van nieuwe gebruikers tot de uiteindelijke afmelding van gebruikers die niet langer toegang tot informatiesystemen en -diensten nodig hebben. Waar van toepassing wordt bijzondere aandacht besteed aan het beheren van toegangsrechten van gebruikers met extra ruime bevoegdheden, zoals systeembeheerders.


• Logging en controle. Activiteiten die gebruikers uitvoeren met persoonsgegevens worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot verminking of verlies van persoonsgegevens. De logbestanden worden periodiek gecontroleerd op indicaties van onrechtmatige toegang of onrechtmatig gebruik van de persoonsgegevens en waar nodig wordt actie ondernomen.De verantwoordelijke moet er rekening mee houden dat er, als de gegevens in de logbestanden tot personen herleidbaar zijn, sprake is van een verwerking van persoonsgegevens in de zin van de
  Wbp waarop de verplichtingen uit deze wet van toepassing zijn. In dat geval kan er ook sprake zijn van een personeelsvolgsysteem in de zin van artikel 27 lid 1 van de Wet op de  Ondernemingsraden (WOR), waarvoor instemming van de ondernemingsraad is vereist.


• Correcte verwerking in toepassingssystemen. In alle toepassingssystemen, inclusief toepassingen die door gebruikers zelf zijn ontwikkeld, zijn beveiligingsmaatregelen ingebouwd. Tot deze beveiligingsmaatregelen behoort de controle dat de invoer, de interne verwerking en de uitvoer aan vooraf gestelde eisen voldoen (validatie). Voor systemen waarin gevoelige persoonsgegevens worden verwerkt of die invloed hebben op de verwerking van gevoelige persoonsgegevens, kunnen aanvullende beveiligingsmaatregelen nodig zijn.


• Beheer van technische kwetsbaarheden. Software, zoals browsers, virusscanners en operating systems, wordt up-to-date gehouden. Ook installeert de verantwoordelijke tijdig oplossingen die de leverancier uitbrengt voor beveiligingslekken in deze software. Meer in het algemeen verkrijgt de verantwoordelijke tijdig informatie over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden wordt geëvalueerd en de verantwoordelijke treft geschikte maatregelen getroffen voor de behandeling van de risico’s die daarmee samenhangen.


• Incidentenbeheer. Er zijn procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd. Het beoordelen van de risico’s voor de betrokkenen en het effectief informeren van de betrokkenen en, waar van toepassing, de toezichthouder is in deze procedures opgenomen. De lessen getrokken uit de afgehandelde incidenten worden gebruikt om de beveiliging waar mogelijk structureel te verbeteren. Als een vervolgprocedure na een informatiebeveiligingsincident juridische maatregelen omvat (civiel- of strafrechtelijk), wordt het bewijsmateriaal verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.


• Afhandeling van datalekken en beveiligingsincidenten. De verantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder. Als hij daartoe wettelijk verplicht is, of als er anderszins aanleiding voor is, informeert hij ook de betrokkenen over het beveiligingsincident of het datalek.


• Continuïteitsbeheer. Door natuurrampen, ongevallen, uitval van apparatuur of opzettelijk handelen kunnen persoonsgegevens verloren gaan. Door in de organisatie continuïteitsbeheer in te richten worden de gevolgen tot een aanvaardbaar niveau beperkt, waarbij gebruik wordt gemaakt van een combinatie van preventieve maatregelen en herstelmaatregelen.

Deze opsomming van het CBP wordt afgesloten met de volgende opmerking, waarin het CBP opmerkt dat dit alles zowel moet worden opgeschreven als feitelijk worden gedaan:

Er is pas sprake van een passend beveiligingsniveau als de gekozen maatregelen onderdeel zijn van de dagelijkse praktijk van de organisatie. De eerste stap is documentatie: de relevante beveiligingsmaatregelen zijn gespecificeerd en geïntegreerd in functionele en technische beschrijvingen van ictsystemen, in gebruikershandleidingen, werkinstructies, contracten, dienstenniveauovereenkomsten en andere relevante documenten. De tweede stap is daadwerkelijke implementatie van de gekozen maatregelen.

Inhoudelijke eisen aan bewerkersovereenkomst

Bij het uitbesteden van persoonsgegevens aan een derde moet een zogenaamde bewerkersovereenkomst worden gesloten. In het rapport geeft het CBP aan aan welke criteria zal worden getoetst of de bewerkersovereenkomst voldoet. Het betreft de volgende criteria (citaat CBP):

• De dienstverlening door de bewerker. Omschrijving van de dienst(en) die de bewerker verleent en de persoonsgegevens die de bewerker daarbij verwerkt (eventueel gedifferentieerd op basis van gevoeligheid). Verder wordt omschreven welke (groepen) medewerkers van de bewerker toegang hebben tot welke persoonsgegevens en welke handelingen deze medewerkers uit mogen voeren met de persoonsgegevens. Er is een expliciet verbod opgenomen om andere handelingen met de persoonsgegevens uit te voeren dan wat hier is omschreven.


• De betrouwbaarheidseisen die op de verwerking van toepassing zijn. Weergave van de betrouwbaarheidseisen die op de verwerking van toepassing zijn, waar van toepassing gedifferentieerd op basis van de gevoeligheid van de verwerkte persoonsgegevens.


• De beveiliging door de bewerker. Afspraken over de technische en organisatorische beveiligingsmaatregelen waarmee de bewerker invulling geeft aan de betrouwbaarheidseisen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de verantwoordelijke moet treffen. Deze worden nader toegelicht in paragraaf 3.2 van deze richtsnoeren.


• Transparantie over de beveiliging. Afspraken over de inhoud en de frequentie van de rapportages die de bewerker aan de verantwoordelijke oplevert over de beveiliging; omschrijving van het recht van de verantwoordelijke om de naleving van de beveiligingsmaatregelen door onafhankelijke deskundigen vast te laten stellen. Onafhankelijke deskundigen kunnen bijvoorbeeld it-auditors of penetratietesters zijn. 


• Transparantie over opgetreden beveiligingsincidenten. Afspraken over de inhoud van rapportages over beveiligingsincidenten en datalekken, de criteria voor rapportage van incidenten en de snelheid waarmee wordt gerapporteerd. In de afspraken is opgenomen dat de bewerker beveiligingsincidenten en datalekken die (mogelijk) gevolgen hebben voor betrokkenen meteen rapporteert en dat de bewerker waar nodig ook meewerkt aan het adequaat informeren van de betrokkenen.


• Verwerking door subbewerkers. Afspraken over het al dan niet toestaan van verwerking door subbewerkers, met daarbij de eventuele beperkingen. Beperkingen zijn bijvoorbeeld dat de bewerker subbewerkers mag inschakelen maar dat de subbewerkers geen subsubbewerkers in mogen schakelen of dat bij de verwerking van specifieke klassen van persoonsgegevens geen subbewerkers mogen worden ingeschakeld.
  Als bewerking door subbewerkers is toegestaan, dan is in de bewerkersovereenkomst opgenomen dat met de subbewerkers overeenkomsten moeten worden afgesloten en dat alle verplichtingen uit het bewerkerscontract die relevant zijn voor de beveiliging van de verwerkte persoonsgegevens daarin moeten worden overgenomen.


• Verwerking van de persoonsgegevens buiten Nederland. Afspraken over welke persoonsgegevens in welke landen worden verwerkt.


• Voorwaarden voor heronderhandeling of beëindiging van de overeenkomst. Afspraken over heronderhandeling van de bewerkersovereenkomst als een wijziging in de verwerkte persoonsgegevens of in de betrouwbaarheidseisen daar aanleiding toe geeft. Bij de afspraken is ook een noodplan opgenomen voor het geval een van de partijen de relatie wil beëindigen voor het einde van de looptijd van de overeenkomst. Verder is vastgelegd hoe en in welke vorm de verantwoordelijke de verwerkte persoonsgegevens weer ter beschikking krijgt en hoe wordt geborgd dat de bewerker na het beëindigen van de relatie niet meer over de persoonsgegevens kan beschikken.

Partijen doen er goed aan te toetsen of hun bestaande bewerkersovereenkomsten aan deze criteria voldoen en de overeenkomsten, waar nodig, aan de hand van deze criteria aan te passen.

Ten slotte

Er valt nog wel het nodige over dit nieuwe beleid te zeggen. De vraag is of het CBP op sommige punten niet meer leest dan er in de wet staat en/of de wet op punten niet erg (of zelfs te) streng interpreteert.

Dat neemt natuurlijk niet weg dat het CBP bij handhaving de lijn uit dit rapport zal gaan volgen (beter gezegd: zal blijven volgen, het rapport is in lijn met bestaande handhaving). Het belang van dit rapport is dan ook vermoedelijk in de praktijk best groot. Een onderneming of instelling die tegen handhaving van het CBP protesteert, moet immers (kort samengevat) betogen dat wat het CBP als onvoldoende beveiliging bestempelt, wel degelijk van voldoende niveau is. Die onderneming/instelling loopt daarmee het risico in de media afgeschilderd te worden als een club die de privacy niet op orde heeft. Dat zou wel eens tot gevolg kunnen hebben dat ondernemingen/instellingen waarbij gehandhaafd wordt die discussie helemaal niet aan willen zwengelen, waarmee dit nieuwe beleid van het CBP in de praktijk mogelijk maar heel beperkt (of zelfs niet) ter toetsing aan de rechter zal worden voorgelegd.

Tot zover dit eerste bericht over deze nieuwe richtsnoeren van het CBP. Verdere berichtgeving hierover zal ongetwijfeld nog wel volgen.