Beveiliging van persoonsgegevens

In de Algemene verordening gegevensbescherming (AVG) staat niet expliciet dat het gebruik van deze diensten verboden is. Wel kan het in sommige gevallen als een ‘gebrek aan beveiliging’ worden gezien.

Bijvoorbeeld wanneer u gevoelige persoonsgegevens opslaat in een gratis clouddienst. En deze dienst gratis is omdat de aanbieder uw gegevens verkoopt aan onbekende derden voor marketingdoeleinden.

Of het gebruik van deze diensten in uw situatie passend is, is volledig afhankelijk van uw risicoanalyse en totale beveiligingsplan.

Zie ook

• Hoe kom ik tot een goed beveiligingsplan om datalekken te voorkomen?
• Praktijkgids ‘patiëntgegevens in de cloud’

Aan het verzenden van informatie via e-mail zitten risico’s. Dus wilt u persoonsgegevens via e-mail versturen? Bijvoorbeeld gegevens over uw klanten, burgers of andere relaties? Dan bent u er als organisatie verantwoordelijk voor dat u die gegevens veilig verstuurt.

U moet voor e-mail maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. In de wet staat niet precies omschreven welke maatregelen u moet treffen. Wel dat deze passend moeten zijn. Wij geven u hieronder twee voorbeelden van passende maatregelen.

1. Het versleutelen van de persoonsgegevens in een e-mailbijlage.
2. Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaard(en). Voorbeelden van moderne internetstandaarden zijn DANE, DKIM, PGP, S/MIME, SPF en STARTTLS.

Meer informatie van het NCSC

Meer informatie over veilige internetstandaarden vindt u op de website van het Nationaal Cyber Security Centrum (NCSC):

• Factsheet 'Beveilig verbindingen van mailservers'
• Facstheet 'TLS-interceptie'

E-mailtest

Wilt u weten of uw e-mailvoorziening de moderne internetstandaarden ondersteunt? Doe dan de e-mailtest op de website van internet.nl.

In de Algemene verordening gegevensbescherming (AVG) staat niet expliciet dat het loggen van wie toegang heeft gehad tot persoonsgegevens verplicht is. Wel is het in de meeste gevallen een noodzakelijke beveiligingsmaatregel.

Inzicht in uw systemen

Als organisatie moet u de persoonsgegevens die u verwerkt passend beveiligen. Door middel van logging worden gebeurtenissen op uw systemen vastgelegd. Bijvoorbeeld, wie bepaalde gegevens heeft bekeken of aangepast. Maar ook pogingen om ongeautoriseerd toegang te krijgen.

Door de logbestanden regelmatig te controleren of automatisch te analyseren, kunt u bijvoorbeeld inbreuken op de beveiliging ontdekken. Ook kunt u datalekken signaleren. Of juist uitsluiten dat er een datalek is geweest.

Vervolgacties bepalen

Op basis van de verkregen informatie uit het loggen, kunt u efficiënter in actie komen bij een datalek. En/of bepalen welke aanvullende technische en organisatorische maatregelen u moet treffen.

Uitzonderingen

In sommige sectoren is logging wel verplicht. Het gaat dan om situaties waarin er met gevoelige persoonsgegevens wordt gewerkt. Zoals in de zorg.

Als u persoonsgegevens verzamelt via uw website, moet u in ieder geval https gebruiken. Zo voorkomt u dat onbevoegde derden mee kunnen lezen met het verkeer naar uw website.

Er zijn organisaties bij wie u een https-certificaat kunt aanvragen. Tip: vraag advies aan uw webhost.

Dat kunt u zelf controleren via www.internet.nl.

Voer uw website-adres in op deze site. U krijgt onmiddellijk een analyse van de verbeterpunten.

Zo kunt u eenvoudig controleren of uw internetverbinding, e-mail en website wel voldoen aan moderne internetstandaarden. Bijvoorbeeld aan de internetstandaard https.

Internet.nl is een initiatief van de Internetgemeenschap en de Nederlandse overheid.

Authenticatie is het proces waarbij de identiteit van een gebruiker wordt gecontroleerd. Meerfactorauthenticatie is een vorm van (toegangs)beveiliging waarbij de gebruiker zich met een combinatie van minimaal twee verschillende typen authenticatiefactoren moet authentiseren om toegang te krijgen tot een computer, (besturings)systeem of applicatie.

Authenticatiefactoren

Drie mogelijke authenticatiefactoren zijn:

• Iets wat de gebruiker weet. Bijvoorbeeld een wachtwoord, een pincode of de beantwoording op een beveiligingsvraag.
• Iets wat de gebruiker heeft. Bijvoorbeeld een telefoon of een token.
• Iets wat de gebruiker is. Bijvoorbeeld een biometrisch gegeven zoals een vingerafdruk, spraakherkenning of gezichtsherkenning.

Geen meerfactorauthenticatie

Een combinatie van hetzelfde type authenticatiefactor is géén meerfactorauthenticatie. Bijvoorbeeld wanneer er meerdere combinaties van gebruikersnamen en wachtwoorden nodig zijn om toegang te krijgen.

Gebruikersnamen en wachtwoorden vallen beide binnen het type authenticatiefactor ‘iets wat de gebruiker weet’, waardoor deze combinaties niet als meerfactorauthenticatie kwalificeren.

Over het algemeen zijn de volgende voorbeelden géén authenticatiefactoren voor het gebruik van een computer of applicatie:

• een toegangspas waarmee toegang wordt verkregen tot een ruimte waar meerdere mensen toegang hebben;
• een unieke telefoon of unieke computer (tenzij de mobiele telefoon een tijdelijk paswoord of wachtwoord genereert of gebruik maakt van een ingebouwde authenticatiefactor);
• een uniek IP-adres.

Voorbeelden meerfactorauthenticatie

Voorbeelden van meerfactorauthenticatie zijn:

• de combinatie van het gebruik van een wachtwoord én een eenmalig te gebruiken paswoord of wachtwoord (token) per sms;
• de combinatie van een vingerafdruk én een wachtwoord;
• de combinatie van een irisscan én een smartcard als token;
• het gebruik van een app of hardwaretoken die wisselende wachtwoorden genereert in combinatie met een wachtwoord of pincode.

Meer informatie

• Dossier Biometrie van de Autoriteit Persoonsgegevens.
• Factsheet Gebruik tweefactorauthenticatie van het Nationaal Cyber Security Centrum.

Ja. Een betrokkene (degene van wie u als organisatie persoonsgegevens verwerkt) heeft het recht om te vragen wie binnen uw organisatie toegang heeft gehad tot zijn gegevens.

Vraagt een betrokkene, zoals een patiënt van uw zorginstelling of een inwoner van uw gemeente, wie toegang heeft gehad tot zijn gegevens? Dan verstrekt u een overzicht van (categorieën van) medewerkers die toegang hebben gehad. U stelt dit overzicht samen op basis van uw logbestanden.

Dat is niet aan te raden. Testen is een complex proces, waarvoor zorgvuldigheid en meerdere gescheiden omgevingen nodig zijn. Het testen met persoonsgegevens brengt namelijk risico’s met zich mee.

Aparte grondslag

De mensen van wie u persoonsgegevens verwerkt, verwachten niet dat u hun gegevens ook voor testdoeleinden gaat gebruiken. Dat betekent onder meer dat u voor het testen een aparte grondslag moet hebben.

Niet noodzakelijk

Verder is het vaak niet noodzakelijk om te testen met persoonsgegevens, omdat er meestal alternatieven mogelijk zijn. Dat is een van de redenen dat testen met persoonsgegevens moeilijk in overeenstemming te brengen is met de AVG.

Eind van het proces

Pas aan het einde van een ontwikkel- en testproces kunt u, bij de transitie of conversie, persoonsgegevens in het nieuwe systeem inlezen. En ook die verwerking moet zeer zorgvuldig gebeuren.

U kunt bijvoorbeeld onderzoeken of er synthetische gegevens of testdata (‘dummy data’) beschikbaar zijn. Stel daarbij altijd vast dat de dataset die u wilt gebruiken niet alsnog persoonsgegevens bevat. 

De Rijksdienst voor Identiteitsgegevens biedt bijvoorbeeld een reeks test-burgerservicenummers aan. 

Wilt u testen of een nieuw systeem of een nieuwe applicatie dezelfde uitkomsten genereert als het oude systeem of de oude applicatie? Ook dan kunt u in beide applicaties vaak testdata inzetten.

Een legacy-systeem, ook wel onderhoudsversie genoemd, is een ICT-voorziening die zeer lange tijd in gebruik is. Bijvoorbeeld legacy-software of een legacy-applicatie.

Vaak zijn er bij het ontwikkelen van legacy-systemen hulpmiddelen of technieken gebruikt die nu niet meer gangbaar zijn. Ook is niet altijd goed beschreven in documentatie hoe legacy-systemen precies werken.

Daardoor is een legacy-systeem soms lastig aan te passen. Of is het moeilijk om persoonsgegevens uit het systeem te exporteren of te verwijderen.

De functionaliteit die sommige legacy-systemen bieden, is soms cruciaal voor de bedrijfsvoering. Daarom blijven sommige organisaties deze systemen toch gebruiken. Maar daardoor lopen zij het risico niet te voldoen aan de privacywetgeving.

Meer informatie

• Mag u als verwerkingsverantwoordelijke een legacy-systeem of onderhoudsversie gebruiken?
• Mag u als verwerker een legacy-systeem of onderhoudsversie blijven leveren?

Ja, mits u aan de Algemene verordening gegevensbescherming (AVG) voldoet. Maar dat kan lastig zijn bij een legacy-systeem (ook wel onderhoudsversie genoemd). U loopt al snel het risico niet aan de AVG te voldoen. In dat geval moet u stoppen met het gebruik van het systeem.

Regels uit de AVG

Bij het verwerken van persoonsgegevens moet u voldoen aan regels uit de AVG. Dat geldt ook als u een legacy-systeem gebruikt, zoals legacy-software of een legacy-applicatie. De AVG maakt daar geen uitzondering voor.

Dat betekent onder meer dat:

• U de persoonsgegevens die u in uw legacy-systeem verwerkt, voldoende moet beveiligen. Hierbij moet u rekening houden met de huidige stand van de techniek.
• U moet zorgen dat betrokkenen (de mensen van wie u gegevens verwerkt) hun rechten kunnen uitoefenen. Betrokkenen kunnen u bijvoorbeeld vragen om hun persoonsgegevens te wissen. U moet dus onder meer nagaan of het mogelijk is om gegevens uit uw legacy-systeem te verwijderen.
• U moet voldoen aan de algemene principes uit de AVG, zoals privacy by design en by default.

Risico legacy-systeem

Gebruikt u een legacy-systeem, dan loopt u het risico dat u niet voldoet aan de AVG. Bijvoorbeeld doordat het systeem verouderde technologie gebruikt die leidt tot beveiligingsrisico’s.  Het is daarom noodzakelijk verouderde systemen aan te passen aan de eisen van de AVG.

Databeveiliging bij de digitale overheid is een van de aandachtspunten van de Autoriteit Persoonsgegevens (AP) de komende jaren. De AP kan optreden tegen ICT die niet aan de AVG voldoet.

Ja, mits u aan de Algemene verordening gegevensbescherming (AVG) voldoet. Maar dat kan lastig zijn bij een legacy-systeem (ook wel onderhoudsversie genoemd). U loopt al snel het risico niet aan de AVG te voldoen. In dat geval moet u stoppen met het gebruik van het systeem.

Regels AVG voor verwerkers

Zowel u zelf als uw opdrachtgevers moeten bij het verwerken van persoonsgegevens voldoen aan de AVG. De AVG kent echter een aantal verplichtingen die direct of indirect gericht zijn tot verwerkers.

U moet onder meer, voor zover dat gezien uw invloedssfeer passend is:

• De persoonsgegevens die u verwerkt voldoende beveiligen. Hierbij moet u ook rekening houden met de huidige stand van de techniek en actuele dreigingen.
• Zorgen dat betrokkenen (de mensen van wie gegevens worden verwerkt) hun rechten kunnen uitoefenen. Betrokkenen kunnen bijvoorbeeld vragen om hun persoonsgegevens te wissen. U moet dus onder meer nagaan of het mogelijk is om gegevens te verwijderen uit het legacy-systeem dat u levert.
• Voldoen aan de algemene principes uit de AVG, zoals privacy by design en by default.

Uiteraard moet u de verwerking uitvoeren volgens de afspraken in de verwerkersovereenkomst.

Risico legacy-systeem

Gebruikt u een legacy-systeem, dan loopt u het risico dat u niet voldoet aan de AVG. Bijvoorbeeld doordat het systeem verouderde technologie gebruikt die leidt tot beveiligingsrisico’s.  Het is daarom noodzakelijk verouderde systemen aan te passen aan de eisen van de AVG. 

Databeveiliging bij de digitale overheid is een van de aandachtspunten van de Autoriteit Persoonsgegevens (AP) de komende jaren. De AP kan optreden tegen ICT die niet aan de AVG voldoet.

Niet meer gegevens gebruiken dan nodig

De organisatie moet ervoor zorgen dat deze niet méér persoonsgegevens verzamelt en verder gebruikt dan echt nodig is.

Bijvoorbeeld door, waar mogelijk, uw naam en andere identificerende kenmerken uit uw gegevens te verwijderen.

Ook heeft de organisatie lang niet altijd al uw persoonsgegevens nodig voor een bepaald doel, zoals het versturen van een rekening.

Toegang tot gegevens beperken

Ook moet de organisatie de toegang tot uw persoonsgegevens beperken.

Hoe meer personen toegang hebben tot de gegevens, hoe groter de kans op misbruik.

Zo moeten zorginstellingen, zoals ziekenhuizen, ervoor zorgen dat uitsluitend bevoegde medewerkers toegang hebben tot digitale patiëntendossiers.

Moderne beveiligingstechniek gebruiken

De organisatie moet uw persoonsgegevens beveiligen in overeenstemming met de stand van de techniek.

Dit houdt in dat de organisatie geen verouderde techniek gebruikt om uw gegevens te beveiligen.

Hierdoor krijgen bijvoorbeeld hackers geen of weinig kans om zich toegang te verschaffen tot uw persoonsgegevens.

Soms moet u op een website inloggen of persoonlijke informatie achterlaten. Bijvoorbeeld bij internetbankieren, veilingsites en webwinkels. Vraagt een website om uw persoonsgegevens? Let dan op dat de website gebruik maakt van een beveiligde internetverbinding.

Bij een beveiligde internetverbinding staat er https:// in de adresbalk van uw browser in plaats van het normale http://. Met https:// voorkomt een website dat onbevoegden mee kunnen lezen met de gegevens die u invult.

Maakt een website geen gebruik van een beveiligde verbinding? Denk dan goed na of u uw via die website wel uw persoonsgegevens wilt delen.

Meer weten? Op de website Veilig internetten vindt u uitgebreide informatie over hoe u veilig kunt internetbankieren en online winkelen.

Ga met uw vragen of klachten altijd eerst naar de organisatie zelf. Heeft u een klacht en komt u er samen met de organisatie niet uit? Dan kunt u een privacyklacht indienen bij de Autoriteit Persoonsgegevens.