De Avg uitgelegd deel 12: beveiliging en de Avg
Het grootste deel van de verplichtingen in de Avg is gericht aan de verwerkingsverantwoordelijke. Maar er zijn ook verplichtingen die rechtstreeks gelden voor de verwerker. Misschien wel de belangrijkste daarvan is het beveiligen van de verwerkingen. In dit deel van de uitgelegd-serie gaan we hier nader op in.
WETTELIJKE PLICHT OM TE BEVEILIGEN OOK VOOR VERWERKER
De Avg zegt dat zowel de verwerker als de verwerkingsverantwoordelijke ‘rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen moeten treffen om een op het risico afgestemd beveiligingsniveau te waarborgen’. De wet zegt ook dat de beveiligingsmaatregelen, waar passend, onder meer ‘een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking’ moeten bevatten.
CONCRETE BEVEILIGINGSMAATREGELEN
De Avg geeft geen concrete regels welke beveiligingsmaatregelen een verwerker moet nemen. Dat kan natuurlijk ook niet. Een landelijk elektronisch patiëntendossier vereist nu eenmaal een ander soort beveiliging, dan een klantenbestand van een mkb’er met een handvol NAW-gegevens. Daarbij verandert de techniek en de wereld voortdurend en moet beveiliging steeds worden verbeterd. Een harde wettelijke norm zou dan ook veel te snel verouderen. Iedere verwerker, maar ook iedere verantwoordelijke moet dus afwegingen en keuzes maken met betrekking tot beveiliging en beoordelen of die in zijn geval passend zijn. Zo kan een SaaS-leverancier die software maakt voor de administratie van verenigingen zelf kiezen voor een redelijk standaardniveau van beveiliging, als hij inschat dat de risico’s bij zijn klanten niet zo groot zijn. Maar als nu blijkt dat het niet gaat om de vereniging van vogelliefhebbers, maar om een patiëntenvereniging, dan zou de afweging voor de verantwoordelijke patiëntenvereniging wel eens anders kunnen zijn. Het dwingt een ICT-leverancier in feite om goed af te wegen waar zijn product of dienst voor bedoeld is, wat voor soort persoonsgegevens ermee verwerkt worden en wat daarbij de risico’s kunnen zijn voor betrokkenen. De verwerkingsverantwoordelijke moet vervolgens beoordelen of de gekozen beveiliging ook in zijn situatie (die de verwerker misschien niet altijd kent) ook daadwerkelijk voldoende is.
In de Data Pro Code is daarom op meerdere plekken aandacht besteed aan dit onderwerp. Zo is in principe 1 uitgewerkt welke elementen van belang zijn bij het omschrijven en beoordelen van je eigen dienstverlening. Die omschrijving dient weer als basis voor het uitwerken van de beveiliging. Die uitwerking komt terug in principe 2, 3 en met name 5. Welke beveiligingsmaatregelen uiteindelijk genomen worden, is een individuele keus van de leverancier (en je klant) die moet volgen uit de afwegingen die partijen maken omtrent beveiliging. Om ICT-verwerkers te helpen bij hun keuzes, heeft Nederland ICT een checklist beveiligingsmaatregelen gemaakt. Deze is voor leden gratis te downloaden in MijnNederlandICT en voor niet-leden als voorbereiding op de Data Pro certificering te verkrijgen. Daarbij ontvang je ook andere handige tools en publicaties die organisaties die persoonsgegevens verwerken helpen om aan de Avg te voldoen.
INTERNE PROCEDURE VOOR VERBETEREN VAN BEVEILIGING
De wet eist ook dat je een procedure hebt om je beveiliging te testen, beoordelen en evalueren, met als doel de beveiliging steeds weer aan te passen en te verbeteren. Een dergelijke procedure wordt ook wel een Information Security Management System (ISMS) genoemd. Je kunt zelf invulling geven aan deze procedure, maar je kunt ook gebruik maken van een van de vele bestaande procedures en die voor je eigen producten en diensten invullen. De bekendste zijn misschien wel ISO 27001 of NEN 7510. Veel van deze procedures zijn behoorlijk uitgebreid en ingewikkeld of toegespitst op een bepaalde branche of toepassing, zodat ze niet voor iedereen geschikt zijn. Nederland ICT heeft een eenvoudig basis-ISMS ontwikkeld, dat geschikt is voor gebruik door kleine verwerkers. Het ISMS is te downloaden via MijnNederlandICT (voor leden) of als onderdeel van de voorbereiding op het Data Pro Certificate voor niet-leden.
VASTLEGGEN BEVEILIGING IN VERWERKERSOVEREENKOMST
Tot slot eist de Avg dat verwerkingsverantwoordelijke en verwerker schriftelijke afspraken maken in een verwerkersovereenkomst, onder andere over beveiliging. Het is verstandig voor een verwerker om zo concreet mogelijk de relevante beveiligingsmaatregelen vast te leggen, en niet alleen op te nemen dat partijen ‘passende technische en organisatorische maatregelen’ zullen nemen. Met een dergelijke algemene frase is niet goed te bepalen wie nu waarvoor zal zorgdragen. De Avg lijkt nu juist te eisen dat er meer concreet wordt vastgelegd welke maatregelen er daadwerkelijk genomen worden. Het voordeel van het vastleggen van concrete afspraken is ook dat een verwerkingsverantwoordelijke zo beter in staat wordt gesteld zelf te bepalen of de beveiliging in zijn situatie voldoende is, of dat er aanvullende maatregelen (bij hem intern, of bij de verwerker) nodig zijn. Nederland ICT heeft een Standaard verwerkersovereenkomst ontwikkeld, die voor leden te downloaden is via MijnNederlandICT of als onderdeel van de voorbereiding op het Data Pro Certificate voor niet-leden.
WAT ALS IK NOG VRAGEN HEB?
Via de Helpdesk Avg geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. Zij hebben ook een Avg Toolkit samengesteld met handige documenten die je helpen bij de implementatie van de Avg. Heb je advies op maat nodig? Of wil je een keer een uurtje alles rond de Avg doornemen met één van onze juristen? Kom dan op Avg-gesprek. Leden van Nederland ICT kunnen gebruik maken van het gereduceerde tarief van €165,-. Niet leden betalen €330,- (excl. btw).
Nederland ICT organiseert ook verschillende workshops en bijeenkomsten. Hou hiervoor de agenda in de gaten. Leden van Nederland ICT kunnen kosteloos deelnemen en de toolkit downloaden. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen!
Wil je regelmatig een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze Avg Nieuwsbrief.
