CBP legt 'passende beveiligingsmaatregelen' uit
Het CBP heeft zijn 'Richtsnoeren beveiliging van persoonsgegevens' gepubliceerd. Geen nieuwe regels, maar een link tussen het juridische domein (de Wbp) en het domein van de informatiebeveiliging.
Het CBP heeft zijn 'Richtsnoeren beveiliging van persoonsgegevens' gepubliceerd. Geen nieuwe regels, maar een link tussen het juridische domein (de Wbp) en het domein van de informatiebeveiliging.
Privacy by design
De Wet bescherming persoonsgegevens eist dat bedrijven en overheden die persoonsgegevens verwerken technische en organisatorische maatregelen moeten nemen om die gegevens te beveiligen. Maar een passende beveiliging is eigenlijk alleen mogelijk als bestuurders en de verantwoordelijken voor ICT-beveiliging samen nadenken over beveiliging - liefst al vóórdat er persoonsgegevens worden verzameld en opgeslagen. "De beveiliging van persoonsgegevens binnen een organisatie moet gedurende de gehele levensduur van een informatiesysteem punt van aandacht zijn, van het allereerste ontwerp tot aan het onomkeerbaar wissen van het laatste backupbestand na afloop van de bewaartermijn", aldus het CBP. Die benadering wordt ook wel 'privacy by design' genoemd.
Specifieke situaties
In 2012 heeft het CBP 28 beveiligings- en datalekken onderzocht. De richtsnoeren leggen vooral uit hoe het CBP zelf te werk gaat bij het beoordelen van de vraag of maatregelen in die gevallen wel 'passend' zijn geweest. De Wbp blijft wel uitgangspunt, legt een woordvoerster van het CBP uit. "De wet is het juridische kader. Met de richtsnoeren willen we duidelijkheid bieden over wat wij van de beveiliging van persoonsgegevens verwachten." Daar kunnen overheden en bedrijven best wat hulp bij gebruiken, stelt ze. "Het is een open wet en het verschilt van situatie tot situatie wat er aan informatiebeveiliging nodig is." Juist in die specifieke situaties zullen de richtsnoeren van pas komen. De in de richtsnoeren opgenomen praktijkvoorbeelden dienen daarbij als illustraties.
Geen nieuw juridisch kader
De richtsnoeren treden op 1 maart in werking, maar dat betekent niet dat er daarmee een extra juridisch middel is ontstaan om lakse overheden en bedrijven harder aan te kunnen pakken, aldus de woordvoerster. "We zullen de richsnoeren wel gebruiken bij onderzoek. Het is niet een middel om harder mee op te treden, wel om duidelijker te maken waaraan we toetsen."
Cyclus
Een belangrijk uitgangspunt blijft voor het CBP de 'plan-do-check-act'-cyclus: eerst de risico's beoordelen, vervolgens algemeen geaccepteerde beveiligingsstandaarden gebruiken en daarna blijven controleren en evalueren en eventueel nieuwe maatregelen plannen.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.