Beveiliging van de verwerking

Onder de AVG [artikel 28 lid 1] is bepaald dat wanneer een verwerking door een CSP namens een verwerkingsverantwoordelijke wordt verricht, deze verantwoordelijke uitsluitend een beroep doet op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische beveiligingsmaatregelen bieden, ter waarborging dat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. Hiermee worden de vereisten voor CSPs op een hoog niveau gelegd. In navolging van artikel 24 van de AVG dienen deze maatregelen door de verwerkingsverantwoordelijke te worden geëvalueerd en indien nodig geactualiseerd (via de schriftelijke overeenkomst). De CSP de verplichting heeft om persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de verantwoordelijke (zie hoofdstuk 3.3.1).

In artikel 32 van de AVG worden de eisen aan deze beveiligingsmaatregelen verder uitgewerkt. De beveiligingsmaatregelen moeten, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context van de verwerking en de qua waarschijnlijkheid en ernst van uiteenlopende risico's voor de rechten en vrijheden van personen, passend zijn. Dit betekent dat de CSP en de verwerkingsverantwoordelijke een risico- en maatregelenanalyse (zie hoofdstuk 3.3.13) zullen moeten uitvoeren, bijvoorbeeld op basis van een data protection impact assessment (DPIA) conform artikel 35 van de AVG.

De AVG is technologieneutraal en stelt als vereiste dat beveiligingsmaatregelen naar de stand van de technologie moeten worden ingericht, rekening houdend met de uitvoeringskosten. Toch geeft de AVG wel beperkt aanwijzingen voor de inrichting van deze maatregelen. De AVG stelt namelijk de volgende beveiligingsmaatregelen verplicht: [artikel 32 lid 1 - AVG]

a) de pseudonimisering en versleuteling van persoonsgegevens;

b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht (‘resilience’) van de verwerkingssystemen en diensten te garanderen;

c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

33

d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

De AVG onderkent in artikel 32 lid 2 dat het meer is dan alleen maatregelen in de IT-systemen gericht op de vertrouwelijkheid, integriteit en beschikbaarheid. Daarin is bepaald dat bij de beoordeling van het passende beveiligingsniveau met name rekening dient te worden gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. De meeste datalekken op dit moment komen voort uit het ongeoorloofd toegang geven tot persoonsgegevens (bron: Eding, 2017), bijvoorbeeld door het per ongeluk verliezen van een draagbare harde schijf, doorsturen van een bestand met vertrouwelijke persoonsgegevens of het onbewust online zetten van persoonsgegevens.

Vanwege ontwikkelingen op het gebied van bijvoorbeeld risico’s en bedreigingen, technologie en wet- en regelgeving dienen beveiligingsmaatregelen regelmatig te worden getest, beoordeeld en geëvalueerd op de doeltreffendheid ervan [artikel 32 lid 1d - AVG]. Om dit te bewerkstelligen is mijn aanbeveling dat CSP’s een management systeem inrichten ter waarborging van de continue effectiviteit van de organisatorische en technische maatregelen, bijvoorbeeld op basis van een internationale standaard met een PDCA-cyclus (zie hoofdstuk 4.2.4) zoals een ISMS (ISO) of COSO- model (SOC 2).

In het kader van deze principes van aantoonbaarheid en verantwoording (zie hoofdstuk 3.4) over de toereikendheid van de geïmplementeerde beveiligingsmaatregelen geeft de AVG onder artikel 32 lid 3 de mogelijkheid om aan te sluiten bij een goedgekeurde gedragscode of goedgekeurd

certificeringsmechanisme (zie hoofdstuk 3.3.5) of onder artikel 28 lid 3h het laten uitvoeren van audits of inspecties op verzoek van de verantwoordelijke door bijvoorbeeld een onafhankelijke IT auditor (zie

hoofdstuk 3.3.8). Vanwege de globalisatie is mijn aanbeveling om voor de risicoanalyse en de beveiligingsmaatregelen zoveel mogelijk aan te sluiten bij internationaal erkende standaarden voor beveiliging van informatie en bescherming van persoonsgegevens (zoals CSA CCM, SOC2, ISO27001/27018). Dit geldt ook voor de Autoriteit Persoonsgegevens bij een eventuele herziening van de richtsnoeren op basis van de AVG (zie hoofdstuk 3.5.3).

Onder lid 4 van artikel 32 AVG dienen de verwerkingsverantwoordelijke en de verwerker maatregelen te treffen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt. Om dit te waarborgen er maatregelen op het gebied van logische toegangsbeveiliging, monitoring daarop en security logs aanwezig dienen te zijn bij de CSP. Dit brengt weer security risico’s met zich mee omdat bijvoorbeeld logbestanden ook persoonsgegevens kunnen bevatten.

Onder de AVG heeft de CSP een directe zelfstandige verantwoordelijkheid om toereikende beveiligingsmaatregelen te treffen, en is deze ook zelf aansprakelijk voor de schade die voortkomt uit het niet op orde hebben van deze maatregelen. Dit is een belangrijke wijziging ten opzichte van de Wbp, omdat daarin alleen de verantwoordelijke de verplichting heeft om de CSP passende technische en organisatorische maatregelen te laten treffen, en is er ook zelf verantwoordelijk voor dat deze in

34

de schriftelijke overeenkomst zijn opgenomen. Een gedegen risicoanalyse en passende maatregelen is voor een CSP onder de Wbp ook moeilijk te bereiken als ze niet (verplicht) kennis dienen te hebben van de persoonsgegevens die ze voor de klanten verwerken.

De verantwoordelijke en de CSP hebben een gezamenlijke verantwoordelijkheid om in de schriftelijke overeenkomst de benodigde passende beveiligingsmaatregelen vast te leggen [artikel 28 - AVG]. De contractuele verplichting en de eisen aan beveiligingsmaatregelen [artikel 32 - AVG] betekenen dat de CSP met elke individuele klant (verantwoordelijke) op basis van een risicoanalyse vooraf passende maatregelen dient te overeenkomen, rekening houdend met onder andere de gevoeligheid van persoonsgegevens, de technologie, diensten- en toepassingsmodellen en cloud architectuur. De toepasbaarheid hiervan is de vraag en zal sterk gerelateerd zijn aan het toepassingsmodel. Bijvoorbeeld bij een private cloud zal dit eenvoudiger zijn dan bij een (multi-tenant) public cloud model. Mijn aanbeveling is dat er richtlijnen komen om de reikwijdte van de verantwoordelijkheid van CSPs voor beveiliging van de verwerking te kunnen bepalen. Dit ter voorkoming dat er suboptimaal gedrag van partijen ontstaat door verschillen van inzicht over de verwerkingsrisico’s en de verdeling van rollen en verantwoordelijkheden daarbij. Een mogelijke invulling van deze richtlijnen zou kunnen zijn een principebesluit dat de CSP per cloud dienst, mede afhankelijk van de gevoeligheid van de persoonsgegevens, een pakket aan beveiligingsmaatregelen aanbiedt. De toezichthoudende autoriteit zou dit kunnen afdwingen en daarbij guidance geven per scenario van service en deployment model hoe de rollen en verantwoordelijkheden verdeeld dienen te worden. Bijvoorbeeld in geval van een PAAS of IAAS service model waar de cloud customer veelal zelf de beveiligingsmaatregelen dient in te regelen en de CSP mogelijk niet weet dat hij persoonsgegevens verwerkt (bron: Webber, 2016).