College Bescherming Persoonsgegevens T.a.v. de heer mr. W.B.M. Tomesen Postbus AJ Den Haag. Uw kenmerk: z

College Bescherming Persoonsgegevens T.a.v. de heer mr. W.B.M. Tomesen Postbus 93374 2509 AJ Den Haag

Uw kenmerk: z2012-00612 Den Haag, 5 december 2012

Geachte heer Tomesen, Bij brief van 16 oktober 2012 heeft het CBP het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) gevraagd om een reactie op de concept Richtsnoeren beveiliging persoonsgegevens (hierna: “Richtsnoeren”). Middels deze brief voldoet het NGFG aan uw verzoek. De Richtsnoeren zijn bedoeld als opvolger van Achtergrondstudies en Verkenningen nr. 23 Beveiliging van persoonsgegevens (hierna: A&V 23). A&V 23 is voor de gegevensbeschermingspraktijk altijd van groot belang geweest. Het document geniet een zeer ruime bekendheid onder privacy professionals en was in Nederland lange tijd niet weg te denken bij het bepalen van maatregelen ter beveiliging van verwerkingen van persoonsgegevens. Het NGFG verwelkomt het feit dat A&V23 wordt geactualiseerd, maar mist in de Richtsnoeren de reden waarom een algehele herziening nodig is. Het NGFG is van mening dat de Richtsnoeren op onderdelen verbeteringen bevat, maar plaatst ook serieuze vraagtekens bij de vraag of het voorliggende document aan de verwachtingen voldoet. In het kort heeft het NGFG de volgende opmerkingen en aanbevelingen: Met betrekking tot het karakter van de Richtsnoeren:




Motiveer de keuze voor de nieuwe systematiek; Kies een duidelijke richting wat betreft de doelgroep; Bezin op de praktische bruikbaarheid als (dwingende) beleidsregel.

Met betrekking tot risico en maatregelen:





Wijd Hoofdstuk 2 aan het belang van risico-inventarisatie en -analyse; Geef aan hoe de Richtsnoeren zich verhouden tot de gangbare systematiek van de maturiteit van beheersmaatregelen (bijv. CObIT en ISO-27001); Bezie of de Richtsnoeren niet concretere maatregelen kunnen bevatten; Geef aan wat de reikwijdte is van de Richtsnoeren, met name in relatie tot apps, client software, RFID-technologie en handmatige (papieren) bestanden.

Overige punten:



Geef aan of de Richtsnoeren ook normen voor de taken van de FG bevat, en zo ja, stem deze af op zijn toezichthoudende taak in het algemeen en op het functieprofiel in concreto; Overweeg de opmerkingen en aanbevelingen van het NGFG bij specifieke onderdelen van de tekst.

Het bovenstaande is verder uitgewerkt in de bijlage bij deze brief. Het NGFG zou het op prijs stellen als zij in de gelegenheid wordt gesteld om deze reactie nader toe te lichten. Daartoe zou, zo u wilt, een bijeenkomst met andere stakeholders kunnen worden belegd. Wij zien uit naar uw reactie. Hoogachtend,

mr. J. de Zeeuw Voorzitter

BIJLAGE Het NGFG stelt het op prijs in de gelegenheid te zijn gesteld om haar zienswijze te geven over de nieuwe Richtsnoeren. Overeenkomstig haar doelstellingen op het gebied van gegevensbescherming en de taakuitoefening van privacy professionals zijn de adviezen van het NGFG gericht op de bevordering van de betekenis van normen en producten voor de praktijk van gegevensbescherming bij bedrijven en overheden. Het NGFG onderkent dat het geen geringe opgave is om een document met Richtsnoeren voor de beveiliging van persoonsgegevens op te stellen. Niet alleen gaan de ontwikkelingen op het gebied van gegevensverwerkende - en beveiligingstechnieken razendsnel, ook bestaat er een scala aan andere bruikbare beveiligingsstandaarden en -normen. In dit complexe landschap moeten Richtsnoeren worden gegeven, die in het kader staan van de wettelijke regels inzake dataprotectie en het toezicht door het CBP. Veel van de opmerkingen van het NGFG hebben te maken met het spanningsveld dat bestaat in verband met de samenloop van deze ontwikkelingen, interacties en doelstellingen. Hieronder treft u de adviezen van het NGFG aan. 1. Karakter van de Richtsnoeren •

Motiveer de nieuwe systematiek beter. Het NGFG stelt vast dat in deze Richtsnoeren de methodiek van A&V23 om per risicoklasse beveiligingsmaatregelen te beschrijven, is losgelaten. In het voorliggende concept is er voor gekozen om niet de nadruk te leggen op de beveiligingsmaatregelen als zodanig. De Richtsnoeren richten zich primair op “de bestuurlijke verankering” van de beveiliging. A&V 23 bevatte echter een voor de praktijk aansprekend concept dat vele jaren is gehandhaafd. Waarom het CBP nu voor deze andere aanpak heeft gekozen, wordt echter niet in het document vermeld. Daar komt bij dat niet blijkt dat A&V23 zal worden ingetrokken of dat de Richtsnoeren bedoeld zijn om A&V 23 op termijn te vervangen. Dat roept de vraag op of er nu sprake is van één document van het CBP over informatiebeveiliging, of van twee. In geval van het laatste, adviseert het NGFG om aan te geven of het voor de praktijk wordt aan- of afgeraden om beide documenten naast elkaar te gebruiken. Als dat niet wordt afgeraden, zou het NGFG adviseren om de documenten in hun combinatie zoveel mogelijk up-to-date te houden en inhoudelijk op elkaar af te stemmen. Daardoor zal de praktische werkbaarheid worden bevorderd en onderlinge discrepanties zoveel mogelijk worden voorkomen.




Het NGFG adviseert een duidelijke richting te kiezen wat betreft de doelgroep. De Richtsnoeren lijken zich primair te richten tot het management van de organisatie en niet zoals A&V23 - tot de (uitvoerings)praktijk van informatiebeveiliging. Echter, voor de gemiddelde bestuurder zijn de Richtsnoeren wellicht te uitgebreid. Aan de andere kant bieden de Richtsnoeren voor informatiebeveiligingsprofessionals misschien te weinig informatie daar waar zij kunnen teruggrijpen op uitgebreidere normen zoals NEN-ISO/IEC 27001, en NEN-ISO/IEC 27002 en volgende.




Bezin op het karakter van (dwingende) beleidsregel. In de inleiding wordt gesteld dat de Richtsnoeren als uitgangspunt dienen voor het CBP bij toepassen van handhavende maatregelen. Echter, anders dan A&V23 hebben de Richtsnoeren meer een informerend en

beschrijvend karakter. Het NGFG twijfelt aan de vraag of de Richtsnoeren in deze opzet en met deze inhoud bij het toezicht op de naleving van de Wbp ook voldoende bruikbaar zullen zijn. Naar kan worden aangenomen, zullen de Richtsnoeren niet alleen kaderstellend zijn bij het toezicht door het CBP, maar ook bij het interne toezicht door de Functionaris voor de gegevensbescherming (FG)1. Het NGFG is in dat licht in ieder geval voorstander van een document met het karakter van praktisch bruikbare referentie of richtinggevend advies voor de praktijk van de informatiebeveiliging. Echter, omdat zoals hierboven aangegeven de Richtsnoeren zich primair richten op bestuurlijke verankering in plaats van op de maatregelen, er naast de Richtsnoeren nog uitgebreidere normen bestaan, en daarnaast de omschreven maatregelen een bepaalde mate van concreetheid missen2, acht het NGFG het risico aanwezig dat de Richtsnoeren niet kunnen voorkomen dat discussies en verschillen van inzicht ontstaan in de organisatie, waarbij het management, IT-afdelingen en de FG de Richtsnoeren ieder voor zich anders zullen uitleggen. 2. Risico en maatregelen De opzet van de Richtsnoeren is schematisch weergegeven in de inleiding op bladzijde 5. Dit schema geeft het proces van informatiebeveiliging in de Wbp weer, en is bepalend voor de opbouw van het document.


Het NGFG adviseert u om Hoofdstuk 2 geheel te wijden aan het belang van risicoinventarisatie en -analyse, welke elementen daarbij een rol spelen, en hoe de risicoinventarisatie en -analyse op het gebied van informatiebeveiliging past binnen het kader van een totale risico-inventarisatie met betrekking tot privacybescherming en compliance met de Wbp. Op bladzijde 25 wordt er terecht op gewezen dat risico-inventarisatie en analyse de basis vormen voor het informatiebeveiligingsbeleid van een organisatie. Naar het oordeel van het NGFG zou dit dan ook het beginpunt van het beveiligingsproces moeten zijn, en daardoor een meer prominente en uitvoerige behandeling in de Richtsnoeren vergen. Naar het oordeel van het NGFG is er wat betreft de verhouding tussen de paragrafen I.5, II.5, II.2 en IV.2 sprake van een belangrijke onvolkomenheid. Aan paragraaf I.5 zou namelijk moeten worden toegevoegd dat artikel 13 Wbp een voorafgaande risicoanalyse door de verantwoordelijke impliceert. De te nemen maatregelen moeten immers worden afgestemd op de risico’s van onrechtmatige verwerking die zich in de betrokken organisatie voordoen, waarbij tevens rekening dient te worden gehouden met de stand van de techniek en de kosten om de betrokken maatregelen ten uitvoer te brengen3. Die risicoanalyse gaat vooraf aan elke toepassing in de praktijk; elke toepassing met of zonder bewerker (Hoofdstuk II en IV). Ook de teksten uit paragraaf III.2 en IV.2 zouden daar dan ook op afgestemd moeten worden. Het gaat om een risicoanalyse die de specifieke te beschermen belangen vanuit de dataprotectie- en privacywetgeving, en daarmee dus ook de belangen van betrokkenen, uitdrukkelijk in de afweging betrekt. Juist omdat de verplichting tot een privacyrisicoanalyse

1

De functionaris bedoeld in artikel 62 van de Wet bescherming persoonsgegevens (Wbp). Het toezicht door de FG wordt beschouwd als eerstelijns toezicht ten opzichte van het tweedelijns toezicht door het CBP. 2 Zie hierna, onder 2, derde bullet. 3 Eerste Kamer, vergaderjaar 1999–2000, 25 892, nr. 92c, blz. 15-16. Met zich ontwikkelende techniek zal bovendien periodiek een nieuwe afweging moeten worden gemaakt.

in de praktijk van organisaties erg onderbelicht (b)lijkt te zijn, is het van groot belang om in een document als de Richtsnoeren te wijzen op het bestaan, de aard en het belang ervan. Vaak blijkt in de praktijk ook dat de verhouding onduidelijk is tussen de risicoanalyse op het gebied van informatiebeveiliging en de risicoanalyse op het gebied van “de privacy”. Dat geldt zowel in inhoudelijk opzicht als in praktisch opzicht. Voor de praktijk zou het daarom erg nuttig zijn als daar in de Richtsnoeren ook op werd ingegaan. In III.2 op bladzijde 18 zou kunnen worden aangegeven dat het hierbij gaat om de risicoanalyse als eerder bedoeld. Verder wordt in deze paragraaf een aantal categorieën van persoonsgegevens genoemd waarvan het verlies of onrechtmatige verwerking mogelijk ernstige gevolgen voor de betrokkenen kan hebben. Het NGFG adviseert om te laten blijken dat deze lijst niet als limitatief moet worden beschouwd. En ook dat de lijst slechts indicatief is. Immers, of er in concreto sprake is van ernstige gevolgen voor de betrokkene zal vaak afhangen van de context waarin de gegevens worden verwerkt en de omstandigheden van het beveiligingsincident. In het op bladzijde 19 omschreven geval betekent dat bijvoorbeeld dat de e-mailadressen alleen dan als bijzondere gegevens zijn aan te merken als ook de context van de verwerking ‘meelekt’. In IV.2 staat de tekst: ‘De verantwoordelijke voert een risicoanalyse uit met betrekking tot de verwerking door een bewerker. In de risicoanalyse stelt de verantwoordelijke vast of, en onder welke voorwaarden, de bewerker “voldoende waarborgen biedt (…)’ Het NGFG stelt voor om deze zinnen te vervangen door: De verantwoordelijke houdt bij zijn risicoanalyse en het bepalen van het beveiligingsniveau als bedoeld in paragraaf I.5 en III.2 rekening met het feit dat de verwerking al dan niet wordt uitbesteed. De verantwoordelijke zorgt er vervolgens voor dat de bewerker voldoende waarborgen biedt (…). De risicoanalyse als bedoeld door artikel 13 Wbp is namelijk niet primair bedoeld om te bepalen of de bewerker voldoende waarborgen biedt, maar wel of er sprake is van een passend beveiligingsniveau. ’Voldoende waarborgen’ gaat meer over het op de juiste wijze maken van afspraken met de bewerker en het nakomen daarvan.


4

Richt de beschreven maatregelen meer op het risico van de verwerking en de gewenste maturiteit van de maatregelen in het licht van de aard van de verwerking. Op diverse plaatsen in de Richtsnoeren wordt gesteld dat de verantwoordelijke “minimaal” bepaalde beveiligingsmaatregelen “moet nemen” (zie bijvoorbeeld logging en controle op bladzijde 21 en encryptie op bladzijde 23). Niet alle mogelijk te nemen maatregelen zijn echter in alle omstandigheden nodig. Dit wordt door artikel 13 Wbp bepaald (“passende maatregelen”). Ook de mate waarin zij worden geïmplementeerd kan van geval tot geval verschillen, afhankelijk van de aard van de verwerking en de omstandigheden van het geval. Dit wordt aangeduid als de “maturiteit” van de maatregelen4. Het ‘pas toe of leg uit’-uitgangspunt van het CBP heeft betrekking op deze maturiteit. Het gevolg kan zijn dat organisaties, doordat

De maturiteit van de maatregelen komt onder meer aan de orde in CObit, het stelsel van beheersmaatregelen voor ICT-omgevingen. De CObit-systematiek voor het vaststellen van de maturiteit van beheersmaatregelen voor verwerking van persoonsgegevens wordt ook gebruikt in de Generally Accepted Privacy Principles (GAPP) van het Institute of Internal Auditors.

best practices als norm worden gehanteerd, mogelijk in weerwil van de maturiteitsregels, altijd gehouden zijn te streven naar een hoog maturiteitsniveau in informatiebeveiliging. De vraag is of de ‘pas toe of leg uit’-benadering past bij de risicogerichte benadering die wordt gehanteerd in de informatiebeveiliging. Het voorgaande geldt ook voor Hoofdstuk IV over beveiliging bij verwerkingen door bewerkers. Ook hier geldt dat de genoemde aandachtspunten alleen relevant zijn als zowel de risico-inventarisatie bij de verantwoordelijke met betrekking tot de verwerking als zodanig, als de risico-inventarisatie met betrekking tot de bewerker, reden geven tot het toepassen van die aandachtspunten. Dit hoofdstuk zou het beste worden aangevuld met de relatie tussen de risico-evaluatie bij de verantwoordelijke en de risico-evaluatie bij de bewerker.

5




Bezie of de Richtsnoeren niet concretere maatregelen kunnen bevatten. De Richtsnoeren bevatten op verschillende plaatsen normen voor het beveiligingsniveau of voor de maatregelen. Zo wordt gesteld dat er “minimaal sprake moet zijn van een hoge mate van vertrouwelijkheid” (zie bijvoorbeeld bladzijde 19) en een enkele keer wordt gesteld dat “het hoogste beveiligingsniveau is vereist” (bladzijde 20) of dat “aanvullende beveiligingsmaatregelen nodig zijn” (bladzijde 22). Echter, deze normen missen een bepaalde mate van concreetheid. In de Richtsnoeren wordt niet duidelijk gemaakt wat precies onder een ‘hoge mate van vertrouwelijkheid’, het ‘hoogste beveiligingsniveau’ of ‘aanvullende beveiligingsmaatregelen’ wordt verstaan. Sluitende criteria voor de bepaling van het risico en zo concreet mogelijke, daarbij behorende maatregelen bevorderen de bruikbaarheid van de Richtsnoeren in de praktijk. Hoewel het NGFG onderkent dat hieraan ook nadelen kleven5, is de systematiek van risicoklassen en de daarbij behorende maatregelen van A&V23 in de praktijk zeer bruikbaar gebleken. Dat kwam vooral doordat er, als er een risicoklasse bepaald was, een bijna kant-en-klare set maatregelen werd gepresenteerd. Daardoor kon ook voor het management de complexe problematiek van informatiebeveiliging worden teruggebracht tot een eenvoudige vraag: “Zitten we in risicoklasse 0, 1, 2, of 3?” waarna vervolgens op het antwoord kon worden gestuurd middels de allocatie van budget en middelen.




Geef duidelijk aan wat de reikwijdte is van de Richtsnoeren. De Richtsnoeren bestrijken de ‘traditionele’ verwerking van persoonsgegevens, zoals de verwerkingen in de organisatie van de verantwoordelijke (Hoofdstuk III) en de verwerkingen door een (sub)bewerker (Hoofdstuk IV). Echter, in toenemende mate worden persoonsgegevens door organisaties verwerkt via apps op telefoons en tablets of via client software op pc’s en door middel van RFID tags en RFID readers, welke communiceren met de ICT-omgeving van de verantwoordelijke of de bewerker. Denk bijvoorbeeld aan internetbankieren via een app, of aan opslag van gegevens in de cloud via backup software. Ook dergelijke verwerkingen kunnen onder de Wbp vallen. Informatiebeveiliging strekt zich dan ook uit tot onder meer de ontwikkeling van dergelijke

Sommige normen en controls in A&V 23 bleken in de praktijk niet altijd haalbaar, zeker niet op een hoog maturityniveau. Denk bijvoorbeeld aan kleinschalige organisaties zoals zzp-ers en MKB-bedrijven, waaronder kleine service providers. Ook waren de maatregelensets niet toegesneden op eventuele overheersende risicofactoren.

software, het installatie- en updateproces en de algemene kwaliteit van de software. Het document zou melding kunnen maken van dit aspect van informatiebeveiliging, en kunnen bepalen of zij al dan niet worden uitgesloten van de scope van de Richtsnoeren. Voorts wijst het NGFG op het belang van nog altijd veel voorkomende papieren verwerkingen. Het NGFG adviseert u om hieraan een passage te wijden in Hoofdstuk III, en daarbij in te gaan op onderwerpen als de beveiliging van het vernietigen van papieren dossiers, en de normen die daarvoor gelden6. Gelet op het voorbeeld op bladzijde 27-28 over controle gaat het NGFG er van uit dat de Richtsnoeren ook van toepassing zijn op papieren dossiers. 3. Rol van de FG Op bladzijde 12 en bladzijde 28 wordt de rol van de functionaris voor de gegevensbescherming (FG) bij informatiebeveiliging genoemd. Bij de beveiliging van persoonsgegevens kan de FG een belangrijke rol spelen, onder meer bij de controle op de naleving van de beveiligingsmaatregelen en bij de evaluatie en aanpassing van de beveiliging. Het NGFG merkt op dat dit zeker het geval is, maar ook afhangt van het functieprofiel van de FG. De functie van FG kent vele vormen van invulling. Deze zijn afhankelijk van het profiel van de organisatie en van de competenties van de FG in kwestie. FG’s worden inderdaad geacht voldoende deskundigheid te bezitten op een groot aantal terreinen7, waaronder het terrein van de informatiebeveiliging. Maar de FG is niet in alle gevallen beveiligingsspecialist, hij kan bijvoorbeeld ook een jurist zijn met minder expertise op beveiligingsgebied. De toezichthoudende taak kan dan ook door hem worden uitgeoefend, maar waarschijnlijk op andere wijze dan door feitelijke controle van de beveiligingsmaatregelen door hem persoonlijk. De Richtsnoeren gelden in beginsel als norm voor handhaving door het CBP. Dat zou kunnen betekenen dat de Richtsnoeren ook richtinggevend zijn voor de wijze van invulling van de taak van de FG. Het NGFG acht het ongewenst als de norm van schaap met de vijf poten als de te handhaven norm voor elke FG gehanteerd zou worden. Het NGFG adviseert in verband daarmee om te laten blijken of deze passage gelet op het karakter van de Richtsnoeren bedoeld is als norm waaraan de taak van de FG kan/zal worden getoetst, en, zo ja, te vermelden dat een concreet en op de organisatie toegesneden functieprofiel dan deel zal uitmaken van het normerende kader. Het NGFG is van oordeel dat de Richtsnoeren een zinvol informatiemiddel kunnen zijn voor de FG. De Richtsnoeren kunnen de FG helpen bij de vraag of alle (basis)elementen van informatiebeveiliging aan bod zijn gekomen in de praktijk van de informatiebeveiliging van de organisatie waarin hij of zij werkzaam is. Ook de eisen die mogen worden gesteld aan een bewerkerscontract acht het NGFG zinvolle informatie voor de FG. In dat licht bieden de Richtsnoeren een duidelijke weerwaarde. Enkele aanvullende punten zouden wellicht nog kunnen worden toegevoegd. Aan het onderdeel over de bewerker zou wellicht nog kunnen toegevoegd worden een passage die ingaat op het kiezen van service providers die over bepaalde certificeringen beschikken. Ook zou de praktische uitvoerbaarheid van Hoofdstuk IV aan de orde kunnen komen. Een ander punt uit de praktijk dat het NGFG graag wil aanstippen, is dat van de verhouding tussen de FG aan de ene kant, en de security officer of beveiligingsambtenaar aan de andere kant. De praktijk wijst uit dat deze functies in een en dezelfde organisatie vaak naast elkaar voorkomen. Zij hebben te 6 7

Zie in dit verband o.a. DIN-norm 66399. Zie art. 62 Wbp.

maken met samenwerking en taakverdeling, gelet op de overlap van hun beider werkterreinen: (informatie)beveiliging en gegevensbescherming. Dit geeft in de praktijk vaak onduidelijkheid wat betreft de taakafbakening en het spreken van dezelfde taal. Valt privacy onder security of andersom? De Richtsnoeren zouden bij uitstek kunnen ondersteunen dat er wat die verhouding betreft meer duidelijkheid ontstaat. Het NGFG adviseert in dat licht om de tekst van de Richtsnoeren aan te vullen met een of meer passages die op die verhouding ingaan. Hiertoe kan een beschrijving van de security officer worden toegevoegd aan het einde van Hoofdstuk II (vergelijkbaar met hoofdstuk I, 8) en de verhouding tussen de functies worden toegevoegd aan Hoofdstuk V, dat dan niet alleen de handhaving en de rol van het CBP zou behandelen, maar ook het toezicht. 4. Specifieke opmerkingen Het NGFG heeft nog de volgende opmerkingen bij specifieke onderdelen van de Richtsnoeren:


Het NGFG adviseert u om een passende passage op te nemen over de beveiligingseisen van andere toezichthouders, zoals De Nederlandsche Bank (DNB). De Richtsnoeren maken hier naar het oordeel van het NGFG ten onrechte geen melding van.




Het NGFG adviseert u om bepaalde beveiligingsnormen verder uit te werken. NEN-ISO/IEC 27002:2007 is onderdeel van een stelsel van ISO-normen. De focus op uitsluitend ISO/IEC 27002:2007 geeft onvoldoende inzicht in de normen die daarnaast ook relevant (kunnen) zijn. Denk bijvoorbeeld aan NEN-ISO/IEC 27001:2005 (Information Security Management System, ISMS) en NEN-ISO/IEC 27005 (Risicomanagement).




Het NGFG adviseert u om meer nadruk te leggen op de eigen verantwoordelijkheid van de medewerkers van de organisatie en de rol die de werkgever daarin kan spelen. Immers, persoonsgegevens zitten niet alleen maar in gestructureerde bedrijfsinformatiesystemen, maar zwerven vaak ook rond op harde schijven, USB-sticks en smartphones, of zijn onderdeel van e-mailbijlagen. Juist bij deze ongestructureerde data is awareness over informatiebeveiliging bij de medewerkers onontbeerlijk.




Het NGFG geeft u in overweging om de titel van de paragraaf op bladzijde 12 over Privacy by Design te veranderen in Beveiliging als onderdeel van compliance. De reden daarvoor is dat Privacy by Design niet hetzelfde is als “bij het ontwerp van de verwerking al rekening houden met de wettelijke eisen”. Dat zou gelet op de huidige definities, strikt genomen ‘compliance by design’ moeten zijn. Het NGFG adviseert u om in deze paragraaf het gebruik van Privacy enhancing technologies (PETs) te vermelden, omdat deze immers bijdragen aan het verminderen van de compliance-risico’s.




Voetnoot nr. 41 op bladzijde 13 is inhoudelijk onjuist en het NGFG dringt er sterk op aan dat deze wordt geschrapt vanwege de grote gevolgen voor de praktijk.




De 2e alinea op bladzijde 14 is voor discussie vatbaar. ‘Beveiligen tegen verlies’ van persoonsgegevens als bedoeld in artikel 13 Wbp heeft op zich geen directe relatie met ‘beschikbaarheid’ van gegevens als gebruikt in informatiebeveiliging (continuïteitsmanagement). De eis van beveiliging van persoonsgegevens tegen verlies is in beginsel gericht op de vermindering van het risico op onbevoegde kennisneming door het

verlies, niet op de beschikbaarheid van persoonsgegevens. Op zich zou beveiligen tegen verlies van persoonsgegevens nog met continuïteit kunnen samenhangen in verband met de kwaliteit van persoonsgegevens en dataminimalisatie (terugzetten van verouderde backups), maar daar zien de in de betreffende passage genoemde voorbeelden niet op. Het NGFG adviseert u om deze paragraaf te verduidelijken en aan te geven in hoeverre beschikbaarheid zowel onderdeel is van het domein van informatiebeveiliging als van de Wbp. Hetzelfde geldt voor de bullet ‘Continuïteitsbeheer’ op bladzijde 22 en de praktijkvoorbeelden op bladzijden 32, 33 en 35.


Wat betreft het praktijkvoorbeeld onderaan op bladzijde 15 adviseert het NGFG u om een ander voorbeeld te noemen. De in het voorbeeld beschreven herstelmaatregelen zijn gericht op de rechten van de betrokkenen (vermindering van schade, empowerment over het incident) en niet op het herstel van informatiebeveiligingsmaatregelen.




Het NGFG adviseert de zinsnede over het up-to-date houden van software onder het kopje ‘Beheer van technische kwetsbaarheden’ op bladzijde 22 zodanig aan te passen dat het gevolg is dat men steeds de laatste stabiele en veilige versie van de software zal gebruiken. Immers, de meeste recente update kan juist een beveiligingslek veroorzaken, zoals diverse voorbeelden in het verleden hebben laten zien.




Voetnoot 69, tweede bullet, kan juridisch worden aangescherpt. In december 2011 is nog geen wetsvoorstel tot aanpassing van de Wbp gepresenteerd, maar wel een voorontwerp van een meldplicht beveiligingslekken. Beter is daarom om te verwijzen naar het voornemen van het kabinet Rutte 1 om een algemene meldplicht beveiligingslekken in te voeren. Voorts gelden wat betreft de eerste bullet, naast de meldplicht voor de telecomsector nog andere meldplichten. Te denken valt aan de meldplicht van de banken aan de DNB en het voorstel voor een algemene meldplicht beveiligingsincidenten bij het NCSC.




Qua onderwerp verdient de plaats van vermelding van het praktijkvoorbeeld op bladzijde 23 (onrechtmatige inzage in medisch dossier) een betere uitleg. Mogelijk kan het immers ook worden vermeld bij ‘logging en controle’ op bladzijde 21.




Het NGFG adviseert het kader op bladzijde 24: Nader Bekeken over encryptie, hashing, pseudonimisering en anonimisering te controleren op actualiteitswaarde. Zo zijn er bijvoorbeeld thans cryptografische technieken die dezelfde data middels het toevoegen van ruis toch kunnen versleutelen tot verschillende resultaten.




De opmerking op bladzijde 26 dat bij de keuze van de beveiligingsmaatregelen het vereiste beveiligingsniveau leidend is en dat de kosten van secundair belang zijn, zou misschien nog getoetst kunnen worden aan de verhouding met artikel 13 Wbp en de opmerkingen over proportionaliteit eerder in het document.




Op bladzijde 28 wordt als een van de relevante veranderingen genoemd: Nieuwe werkwijze en technologie. Het NGFG adviseert de risico’s van Het Nieuwe Werken uitgebreider aan bod te laten komen, omdat steeds meer organisaties daartoe over gaan. Bovendien is de

problematiek van Bring Your Own Device (BYOD) wel gerelateerd aan Het Nieuwe Werken, maar niet het enige risico dat in dat verband speelt. In het voorbeeld op bladzijde 28 met betrekking tot “papieren” verwerkingen zou wat betreft de keuze van (preventieve) maatregelen en middelen aangegeven kunnen worden welke maatregelen wanneer gekozen moeten worden, en welke normen hiervoor gelden.

5. Tot slot Degenen die in de praktijk met de Richtsnoeren zullen werken, zullen te maken hebben met omstandigheden, die onmiskenbaar hun schaduw zullen werpen over de toepassing van de Richtsnoeren. Het gaat daarbij om de aanpassing van de Europese juridische kaders rond gegevensbescherming, en de beleidskaders op het gebied van de beveiliging van persoonsgegevens door toezichthouders in andere landen, waaronder de EU-lidstaten. Het NGFG adviseert daarom om aan te geven, bijvoorbeeld in een voetnoot, op welke wijze daar bij de toepassing van de Richtsnoeren in de praktijk rekening mee moet worden gehouden. ***