Passende technische en organisatorische beveiliging: van wetgeving naar praktijk (1) Ontwikkeling van techniek vraagt om regulering (2) Het recht loopt altijd achter de feiten aan. Presentatie BVV // 14 juni 2018 // mr. drs. Bram Dirkx

Privacy 1/3 Bescherming tegen de verwerking van persoonsgegevens 8 EVRM Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie Art. 10 Grondwet Lid 1: Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. Lid 2: De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Lid 3: De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens

Privacy 2/3 Algemeen persoonlijkheidsrecht (HR 15 april 1994, NJ 1994, 608) “aan grondrechten als het recht op respect voor het privé- leven, het recht op vrijheid van gedachte, geweten en godsdienst en het recht op vrijheid van meningsuiting ten grondslag liggend algemeen persoonlijkheidsrecht.” Niet voor contractuele afstand vatbaar  nietig op grond van de wet Privacy is geen absoluut recht  afwijken bij wet (in formele zin) In Nederland  bij of krachtens de wet EVRM  noodzakelijkheidstoets bij wet voorzien in een democratische samenleving noodzakelijk …voor de bescherming van de rechten en vrijheden van anderen

Privacy 3/3 Geen absolute rechten Waarborgen Afwegingskader Grondrechten Overheid: veiligheidsdiensten, burgerlijke stand, identificatie etc. Verwerken van persoonsgegevens  regelingen die burgers in hun privésfeer bescherming bieden. Waarborgen Maatschappelijke versus juridische realiteit Rol voor organisaties Van reactief optreden tegen ‘opzet’ naar preventief optreden (eigen verantwoordelijkheid)

Beveiliging naar de letter van ‘de wet’ Passende technische en organisatorische maatregelen (art. 32 AVG) Rekening houdend met: de stand van de techniek  levende verplichting de uitvoeringskosten omvang en financiële mogelijkheden van de organisatie de aard, omvang en context van de verwerking en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen Mogelijke dreigingen Ernst van de gevolgen

Wat is passend? Niet de aller zwaarste beveiligingsmaatregelen, maar passend.. Afwegingskader Security by design (art. 25) In plaats van security-after-the-fact Tijdens ontwerp al rekening houden met security Security by default

Maatregelen die onder meer ‘passend’ zijn.. Volgens de verordening: Pseudonimisering Wet pseudonimisering leerlinggegevens (18 februari 2018) Versleuteling

Technische maatregelen maatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen maatregelen gericht op het tijdig kunnen herstellen van de beschikbaarheid van en de toegang tot persoonsgegevens bij een fysiek of technisch incident het vaststellen van adequate procedures voor het periodiek evalueren van de doeltreffendheid van de genomen veiligheidsmaatregelen

Technische maatregelen pseudonimisering en versleuteling van persoonsgegevens twee factor authenticatie logging firewalls virusscanners software tegen malware-aanvallen software waarschuwing bewaartermijn back-ups

Organisatorische maatregelen Beperking toegang tot persoonsgegevens Noodzakelijk voor uitvoering van de taken / werkzaamheden Geheimhoudingsbeding Boeteclausule niet vergeten Ruimtes waar persoonsgegevens worden bewaard (laten) afsluiten Papieren dossiers in afgesloten kasten Privacybeleid (art. 47 AVG) Protocol vaststellen en toezicht op het protocol (art. 47 AVG)

Aandachtspunten Let op verwerkersovereenkomsten Protocol Beveiligingsniveau moet minimaal uw niveau hebben 28 lid 3 onder c AVG  passende technische en organisatorische beveiliging bij werkgever Protocol Art. 58 lid 3 onder e AVG  goedkeuring toezichthouder

Datalekken (art. 33 + 34 AVG) Meeste maatregelen preventief, meldplicht datalekken reactief Melden bij toezichthouder binnen 72 uur, tenzij zeer beperkt risico voor betrokkene Afwegingskader Ook verwerker heeft meldplicht (aan verwerkingsverantwoordelijke) Niet melden bij betrokkene, tenzij het waarschijnlijk is dat het datalek een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen Datalek opnemen in register Bewaartermijn  1 jaar (richtlijn) Toezichthouder kan controleren

Standaarden Kies voor standaarden  certificering ISO 27000  Beveiliging fin. informatie, IE, werkn., persoonsgegevens ISO 27001  maatregelen, processen, procedures ISO 27002  implementatie richtlijnen ISO 27007  uitvoeren van een audit Belangrijk in het kader van een verwerkersovereenkomst Investeren in awareness is de beste investering als het om gegevensbeveiliging gaat NEN 7510/12/13  zorg

Conclusie Recht ‘loopt’ altijd achter de feiten aan. Wetgever beseft zich dat terdege, dus levende verplichting voor bedrijven Uitgangspunten: Stand van de techniek Passend Verantwoording Passende technische en organisatorische maatregelen voldoende? Juridisch antwoord VS feitelijk antwoord

Bronvermelding afbeelding https://www.newscientist.com/article/mg23130862 -900-marconi-forged-todays-interconnected- world-of-communication/