ZBC Kennisbank

Wet- en regelgeving bij informatiebeveiliging-privacy

Organisaties reageren schrikachtig als het gaat over informatiebeveiliging. Want er is toch van alles wettelijk vastgelegd? Dat is natuurlijk waar. Het is echter niet zo dat er boetes worden uitgedeeld voor het in gevaar brengen van de veiligheid van uw informatie. Dat is een fictie. Een boete krijgt u alleen maar als u regels overtreedt. En zoveel regels zijn er niet.

Informatiebeveiliging wordt door veel organisaties gezien als een hoeveelheid opgelegde  bureaucratie vanuit Den Haag, waaraan je maar hebt te voldoen om niet geconfronteerd te worden met torenhoge boetes. En juist die boetes halen de pers en worden als dreigement gebruikt, door Den Haag en ook door allerlei adviseurs, opdat toch vooral maar voldaan zal worden aan de wet- en regelgeving. Precies hierzit nu het grote misverstand. In dit artikel houden we de privacy wetgeveing tegen het licht.

Honderd procent veiligheid bestaat niet

Als het gaat om veiligheid, dan weten we dat 100% veilig niet bestaat. (Zie ook ‘Kosten en baten van beveiliging’.) U kunt maatregelen treffen waardoor het moeilijker wordt om inbreuk op uw beveiliging te maken, maar daardoor wordt hooguit het aantal beveiligingsincidenten teruggedrongen.
U kunt het vergelijken met de verkeersveiligheid. Door allerlei maatregelen te treffen, neemt het aantal verkeersslachtoffers af, maar het wordt nooit echt veilig in het verkeer. U krijgt ook nooit een boete voor het in gevaar brengen van de verkeersveiligheid. U kunt een boete krijgen voor te snel rijden, voor een te hoog alcohol promillage in uw bloed of voor fout parkeren, maar als de overheid als best practice de suggestie aanreikt om twee seconden afstand te houden van uw voorligger, dan krijgt u nog geen boete als u zich niet aan die twee seconden houdt. Met informatiebeveiliging is het niet anders.
Er zijn wetten en regels die u moet naleven. De Wet Bescherming Persoonsgegevens (WBP) is één van die wetten. In die wet staat een aantal dingen die u moet doen, maar nog veel meer dingen die u zelf naar eigen inzichten moet regelen.
Zorginstellingen hebben de verplichting om NEN 7510 in te voeren. NEN 7510 is net als ISO 27002 een set van doelstellingen en een aantal best practices die worden aangereikt om die doelstellingen te realiseren. Als u echter andere keuzes maakt op bijvoorbeeld bedrijfseconomische gronden of omdat u een bepaald risico acceptabel vindt, is dat ook goed. Natuurlijk zal een auditor daar wel een opmerking over maken, maar een boete kunt u er niet voor krijgen. En niemand anders dan uzelf kan u dwingen meer maatregelen te nemen.
Laat u dus niet imponeren door verbaal geweld. U stelt uw eigen normen vast, rekening houdend met wat wettelijk is vereist. En daarop kunt u worden gecertificeerd. U bent daarmee in één keer van het gezeur af. (Zie ook ‘Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27002 te certificeren’.)

De WBP nader bekeken

Laten we de Wet Bescherming Persoonsgegevens eens nalopen in de versie die het College Bescherming Persoonsgegevens (CBP), dat verantwoordelijk is voor het toezicht op de naleving van de privacy-wetgeving, heeft gepubliceerd op zijn website. (Zie http://www.cbpweb.nl/HvB_website_1.0/d.htm#wbp.)

“De belangrijkste bepalingen uit de WBP over het rechtmatig omgaan met persoonsgegevens kunnen als volgt worden samengevat:

  1. Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
  2. Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  3. Degene over wie gegevens worden verwerkt moet ten minste op de hoogte zijn van de identiteit van de verantwoordelijke en van het doel van de verwerking waarvoor de gegevens zijn bestemd.
  4. De gegevensverwerking moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.”

Rechtmatigheid

In de inleidende zin wordt gesproken over het ‘rechtmatig’ omgaan met persoonsgegevens. Rechtmatigheid betekent niet zorgvuldigheid, eerlijkheid of redelijkheid. De definitie luidt:

“Rechtmatigheid is een juridische term, die aangeeft dat een (voorgenomen) handelwijze in overeenstemming is met de geldende regels en besluiten. Het is het tegengestelde van onrechtmatigheid”.

De beleggingen van diverse Nederlandse provincies en gemeenten bij IceSave bijvoorbeeld waren dom en weinig zorgvuldig, maar niet onrechtmatig. De ophef die aanvankelijk ontstond in de pers kreeg dan ook in het geheel geen vervolg.
Deze inleidende zin beschrijft dus exact wat in het vorige hoofdstuk is betoogd. Als u niet expliciet een wet of regel overtreedt, dan handelt u rechtmatig. Onder punt 1 wordt dit in feite nog eens herhaald, want termen als zorgvuldig en behoorlijk hebben juridisch gezien geen betekenis.

Aanmelding registratie

Wat in deze samenvatting niet genoemd wordt, is de plicht om een persoonsregistratie aan te melden, tenzij hiervoor een vrijstelling kan worden verkregen. De site van CBP biedt een uitgebreid schema waarmee bepaald kan worden of u voor de vrijstelling in aanmerking komt.  En dat is al snel.
Zo is bijvoorbeeld ZBC vrijgesteld van deze meldingsplicht. Wij mogen bij wijze van spreken al uw gegevens verkopen aan terroristen en criminelen, mits wij maar voldoende duidelijk maken dat wij dat doen. We kunnen daarvoor dus geen boete krijgen. Zeer waarschijnlijk heeft u niet ons reglement ‘Disclaimer, gebruiksvoorwaarden en privacy‘ gelezen, waarmee u wel heeft ingestemd toen u zich registreerde op de site. Zou daarin staan dat wij inderdaad uw gegevens aan terroristen en criminelen verkopen, dan hebt u daarmee ingestemd en kunt u ons daardoor geen medeplichtigheid aan misdaad verwijten. Maar maakt u zich geen zorgen, het staat niet in ons reglement en dus mogen we die gegevens ook niet doorspelen.

Doel van de verwerking van persoonsgegevens

Los van de woorden die geen juridische betekenis hebben, staat onder het tweede punt dat aangeven moet worden voor welk doel gegevens worden verzameld en hoe u ze gebruikt gaan worden. De term gerechtvaardigde doeleinden betekent niets meer dan dat, als u gegevens verzamelt, u moet kunnen uitleggen met welk doel u dat doet. Zelfs onrechtmatige doelen kunnen gerechtvaardigd zijn, want ze kunnen vast wel worden uitgelegd. U bent slechts strafbaar als u niet duidelijk communiceert waarvoor u de gegevens gebruikt of als u gegevens voor niet genoemde doelen gaat gebruiken. De meeste rechtszaken gaat er dan ook over of men daarover wel of niet duidelijk genoeg is geweest.
Daarnaast moet ook duidelijk zijn, wie kunnen beschikken over de gegevens (derde punt).

Beveiliging van de persoonsregistratie

Het laatste punt: ‘De gegevensverwerking moeten op een passende manier worden beveiligd’, is natuurlijk boterzacht. Want wat is passend? Is dat beveiligd met een user-id en password, is dat extra beveiligd met een token of houdt dat volledige encryptie in? Zelfs een stapeling van deze beveiligingsmaatregelen hoeft niet afdoende te zijn. Het is maar net wat de ‘crimineel’ ervoor over heeft. Dat is wel gebleken uit de vele voorvallen van pinpasfraude.
100% beveiliging bestaat dus niet.  Als we weten dat op internet identiteitsgegevens inclusief creditcard gegevens voor ca € 4 worden aangeboden, dan is duidelijk dat de identificerende gegevens zonder creditcardgegevens slechts enkele centen waard zijn. Rechtvaardigt dit investeringen van vele duizenden euro’s of meer om deze gegevens te beschermen? Dat lijkt me niet. Niemand is dus verplicht om zijn persoonsgegevens beter te beschermen dan met user-id en password. Tenzij daarvoor aanvullende regels zijn gemaakt, zoals bijvoorbeeld voor de GBA. Dan moet dit wel. Maar besef wel, dat de GBA en de audits hierop eigenlijk niets te maken hebben met informatiebeveiliging of de privacy wetgeving. De GBA is een aparte entiteit met haar eigen wetten.
Dat passende beveiliging niets te maken heeft met echte veiligheid is ook wel gebleken bij het vastgelegde bankgeheim in o.a. Zwitserland. Ondanks dat dit bankgeheim een wettelijke basis heeft in een aantal landen, worden de banken die onvoldoende maatregelen hebben getroffen om gegevens van klanten te beschermen tegen nieuwsgierige medewerkers, niet aangepakt. Terwijl hierdoor toch mensen voor miljoenen worden gedupeerd en de Duitse regering er zelfs belastingcenten voor over heeft om via heling de gegevens te kopen. Misschien terecht, daar gaat het niet om, maar er blijkt wel weer uit dat privacy slechts een wet is in de hiërarchie van wetten. (Zie ook ‘Privacy kan definitief op de schroothoop’. )

Bescherming bijzondere gegevens

Dan is er nog de registratie van bijzondere gegevens, zoals gegevens over ras, gezondheid en geloofsovertuiging. Hiervoor gelden extra strenge regels en daar heeft u zich aan te houden. Doet u dat niet, dan overtreedt u de wet en riskeert u een boete. Daarom gelden hier een tweetal vuistregels:

  1. Sla dergelijke gegevens niet op als dat niet strikt noodzakelijk is en als dit wel nodig is (bijvoorbeeld creditcard gegevens tot de betaling is ontvangen), verwijder deze gegevens dan onmiddellijk als zij niet meer nodig zijn.
  2. Als u toch genoodzaakt bent om dergelijke bijzondere gegevens op te slaan, houdt deze dan gescheiden van de overige persoonsgegevens en maak ze alleen toegankelijk via een aparte unieke sleutel via een eigen autorisatiesysteem. En zorg ervoor, dat iedere raadpleging van deze bijzondere gegevens wordt gelogd en dat deze logfile daadwerkelijk wordt gecontroleerd.

Als u op deze manier omgaat met zeer gevoelige gegevens, dan realiseert u een hoge veiligheid tegen lage kosten. Natuurlijk geen 100%, maar dat is nu eenmaal  onmogelijk.

Informatiebeveiliging en privacy moet u scheiden

Informatiebeveiliging is een zaak die iedere organisatie aangaat. Informatiebeveiliging vormt een bedrijfsrisico dat ‘in control’ moet zijn. Risico’s op dit gebied moeten worden onderkend en er moet bepaald worden in hoeverre zulke risico’s afgedekt moeten worden met maatregelen. Vaak is het handig om hiervoor een niet-normatief normenkader te gebruiken zoals ISO 27002. Hierin worden meer dan 1000 best practices aangereikt, die u al dan niet kunt implementeren. (Zie ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’). Maar als u eenmaal gekozen heeft voor een eigen norm, dan dient u die vanzelfsprekend ook na te leven.
Daarnaast heeft u bij informatiebeveiliging als randvoorwaarde te maken met wet- en regelgeving zoals de WBP. Die bevat een aantal harde eisen, waaraan u heeft te voldoen als u geen boete wilt riskeren. Het is echter zaak om dergelijke regelgeving kritisch te lezen. Vaak bevatten dergelijke teksten allerlei intenties, die echter geen harde norm zijn. Deze intenties kunt u gewoon negeren. Op deze manier hebben we ook de WBP tegen het ligt gehouden.
Het is goed om bij informatiebeveiliging niet blind te varen op de adviezen van externe adviseurs. Zij overdrijven vaak de ernst van de situatie. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.) In uw organisatie gaat het om uw normen, en die kiest u zelf. Het is zaak om voor uw organisatie een optimum te zoeken, met misschien een beperkt aantal door wet- en regelgeving opgelegde randvoorwaarden.

Herziene versie: 6 januari 2012
  • Download:

Auteur: Wiebe Zijlstra | 18 maart 2010 | Copyright Wiebe Zijlstra

Be Sociable, Share!

Gerelateerde artikelen:

  1. Privacy, de dinosaurus in ons communicatietijdperk
  2. Privacy reglement pull marketing
  3. Privacy kan definitief op de schroothoop
  4. Corporate governance geen kwestie van regelgeving maar van mentaliteit
  5. Webseminar Informatiebeveiliging voor (semi-)overheid en zorginstellingen
  6. Privacy en Hoe smaakte de bloemkool vandaag
  7. Statuut Informatiebeveiliging
  8. Cursus Informatiebeveiliging conform ISO 27002 of NEN 7510

Geef een reactie

Je moet inloggen om een reactie te kunnen plaatsen.