Verademing: CBP maakt verantwoordelijkheid meetbaar met richtsnoer
Vandaag presenteert het College bescherming persoonsgegevens (CBP) een richtsnoer voor beveiliging bij privacybescherming. Eindelijk kunnen we organisaties naast een meetlat leggen.
Dat richtsnoer is hard nodig, omdat de regels momenteel gericht zijn op het nemen van ‘passende en organisatorische maatregelen’ overeenkomstig de ‘stand der techniek’. Een vage duiding voor alles wat gezond boerenverstand is op gebied van beveiliging, en prima in normen is vastgelegd.
Risico-inschatting
Het mooiste is wel de risico-inschatting. Wie persoonsgegevens gaat verwerken moet serieus gaan nadenken over de risico’s die er kleven aan het omgaan met de informatie. Dat moet eindigen in niet alleen maatregelen om de risico’s tot een minimum te beperken, maar ook in plannen om de gevolgen van een incident te beperken.
Stel dat een bedrijf persoonsgegevens in een database wil opslaan en die via de website toegankelijk wil maken, dan moet bijvoorbeeld over een hack worden nagedacht. Dat betekent om te beginnen stappen zetten om de kans op zo’n digitale inbraak te verkleinen. Dat is dus niet alleen de programmatuur up-to-date houden, maar ook het kritisch kijken naar de gebruikte software, monitoring op toegang, stappen zetten om ervoor te zorgen dat bij een hack alleen de minimale informatie verloren gaat. Enzovoort, enzovoort.
Daarnaast moet er een plan zijn voor het oplossen van de gevolgen van een hack. Dat is niet alleen het technisch verhelpen, maar ook denken aan zaken als het waarschuwen van de juiste mensen en het regelen van eventuele schadevergoedingen, alsmede ondersteuning bij het in de toekomst voorkomen van identiteitsdiefstal. Dat laatste is natuurlijk kostbaar, maar misschien ook wel goed om bewust te worden dat er met het verwerken van persoonsgegevens forse risico’s zitten.
Kiezen
Het CBP suggereert dat het gevolg van een goede analyse kan zijn dat het verstandig is maar minder gegevens te verwerken, de data minder lang te bewaren, of sommige zaken in het geheel maar niet te doen.
Ook ontkomen organisaties er niet langer aan een volwassen beveiligingsstandaard te kiezen en daarmee aan de slag te gaan. Dat betekent op een procedurele manier werken en niet meer hapsnap beveiliging doen.
Het richtsnoer is een verademing, want nu wordt hard wat al lang viel te vermoeden: gebruikersnaam en wachtwoord voor gevoelige gegevens? Dacht het niet! Systemen niet bijwerken? Doodzonde! Geen detectie op de systemen met gevoelige informatie? Uit den boze! U mag mijn gegevens soms best verwerken, maar dan wel veilig en eindelijk is er een richtsnoer daarvoor.
