GDPRist

  • Artikel 32 GDPR: Beveiliging van de verwerking in hapklare brokken uitgelegd

    15 februari 2018

    De GDPR is een systeem. Dat systeem bestaat uit totaal 99 artikelen. Het goede nieuws is dat bedrijven en organisaties met enkel een klein aantal van die artikelen écht aan de slag moeten. Het slechte nieuws is dat die bewuste artikelen samen een heel dwingend systeem vormen. Het verschrikkelijke nieuws is dat elk van die artikelen bomvol met verplichtingen staan.

    Voor hosters die vooral optreden als verwerker is met name artikel 32 GDPR van belang. Daarin staat namelijk de eisen die aan de beveiliging van de verwerking worden gesteld. Het artikel heeft amper vier leden en één van die leden heeft vier onderdelen. Dat klinkt niet heel spannend. Echter valt dat vies tegen wanneer het artikel helemaal wordt ontleed.

    Hieronder heb ik artikel 32 GDPR opgedeeld in kleine brokjes waarbij elk brokje een deel van de instructie aan de partij die verantwoordelijk voor de verwerking is bevat. Op elke regel staat een brokje tekst uit de verordening en daaronder mijn uitleg van dat brokje. Op deze manier wordt duidelijk wat er allemaal bij de verwerking komt kijken.

    mr. Arnout Veenman
    JURICT

    Artikel 32

    lid 1
    Rekening houdend met:
    De volgende zaken dienen in beschouwing genomen te worden bij het bepalen van de verplichting die uit de verordening voortvloeit.

    de stand van de techniek,
    Het is dus verplicht om up-to-date te blijven met de systemen.

    de uitvoeringskosten,
    Zijn de maatregelen in verhouding tot de te beschermen belangen.

    de aard, de omvang, de context en de verwerkingsdoeleinden
    Wat wordt er op/via de systemen verwerkt?

    de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen
    Welke risico’s lopen de mensen van wie persoonsgegevens worden verwerkt via de systemen?

    treffen de verwerkingsverantwoordelijke en de verwerker
    De klant en hoster zijn dus allebei (én samen) verantwoordelijk voor de maatregelen.

    passende
    De maatregelen moeten dus goed aansluiten bij al het bovenstaande. Daar moet daadwerkelijk beoordeeld worden.

    technische en organisatorische maatregelen
    Naast techniek moet er dus ook gekeken worden hoe er met die techniek om wordt gegaan worden gekeken. Denk daarbij aan zaken als procedures en bedrijfscultuur.

    om een op het risico afgestemd beveiligingsniveau
    Wat passend is, is dus afhankelijk van de risico’s.

    te waarborgen,
    Het gaat om een resultaatsverplichting en nadrukkelijk geen inspanningsverplichting.

    die, waar passend, onder meer het volgende omvatten:
    Wanneer dat op zijn plaats is moet het volgende gebeuren.

    a)
    de pseudonimisering en
    Normaliter is er enkel toegang tot een set anonieme gegevens en door koppeling met een apart systeem te maken is de identiteit van de gegevens als nog te bepalen.

    versleuteling van persoonsgegevens;
    Deze verplichting spreekt voorzich.

    b)
    het vermogen om op permanente basis de
    Dit moet dus altijd het geval zijn. Geen uitzonderingen toegestaan!

    vertrouwelijkheid,
    Onbevoegden mogen geen toegang tot de gegevens hebben.

    integriteit,
    De gegevens moeten kloppen en niet onbevoegd kunnen worden aangepast of zomaar kunnen veranderen.

    beschikbaarheid en
    De systemen moeten werken en beschikbaar zijn voor diegenen die ze gebruiken.

    veerkracht
    Mocht er een verstoring van de systemen zijn, dan moet men in staat zijn om (afhankelijk van het soort verstoring) de systemen weer snel als vanouds draaien.

    van de verwerkingssystemen en
    De (sub)systemen die worden gebruikt voor de verwerking van persoonsgegevens mogelijk te maken.

    diensten
    Het geldt ook voor de dienst die de klant als zodanig afneemt waarbij wordt geabstraheerd van de (sub)systemen die daarvoor gebruikt worden.

    te garanderen;
    Het gaat om een resultaatsverplichting en nadrukkelijk geen inspanningsverplichting.

    c)
    het vermogen om
    Hier moet men dus toe in staat zijn.

    bij een fysiek of technisch incident
    Het maakt niet uit of het gaat om iets dat zijn oorzaak in de fysieke wereld vind (zoals een stroomstoring) of een gecrashte database.

    de beschikbaarheid van en de toegang tot de persoonsgegevens
    Het herstellen van een backup is niet voldoen. Het is belangrijk dat er daadwerkelijk weer mee gewerkt kan worden.

    tijdig te herstellen;
    Best-effort is niet genoeg! Een verstoring zal binnen een bepaalde tijd moeten worden verholpen.

    d)
    een procedure voor het
    Er moet iets op papier worden gezet.

    op gezette tijdstippen
    Er moet een planning worden gemaakt. Het volstaat niet om dat er zo nu en dan tussendoor te doen.

    testen, beoordelen en evalueren
    Na het uitvoeren van een test zul men de resultaten kritisch moeten kijken naar wat er uit de test komt en daar zo nodig ook opvolging aan moeten geven.

    van de doeltreffendheid van de technische en organisatorische maatregelen
    Er moet goed worden gekeken of de maatregelen tot het beoogde resultaat leiden.

    ter beveiliging van de verwerking.
    Als doel van de maatregelen moet in ogenschouw worden genomen dat de verwerking veilig gebeurd.

    2.
    Bij de beoordeling van het passende beveiligingsniveau
    Hier moet dus goed naar gekeken worden.

    wordt met name rekening gehouden
    Dit zijn de voornaamste zaken echter is deze lijst niet uitputtend.

    met de verwerkingsrisico’s,
    Het gaat dus om de verwerkingsrisico’s echter is het verstandig om ook te kijken of er nog andere zaken zijn die van belang kunnen zijn bij de beoordeling.

    vooral als gevolg van
    Dit zijn dus de voornaamste zaken om op te letten bij de verwerkingsrisico’s echter is ook deze lijst dus niet uitputtend.

    de vernietiging,
    De (doelbewuste) verwijdering van de persoonsgegevens.

    het verlies,
    Het verloren gaan van persoonsgegevens zonder dat hier opdracht toe is gegeven.

    de wijziging of
    Elke aanpassing van de persoonsgegevens die niet de bedoeling is.

    de ongeoorloofde verstrekking van of
    Een vorm van een datalek, waarbij de persoonsgegevens (actief) aan een derde wordt gegeven/getoond.

    ongeoorloofde toegang tot
    Een datalek waarbij de persoonsgegevens beschikbaar zijn voor een onbevoegde partij.

    doorgezonden, opgeslagen of anderszins verwerkte gegevens,
    Het maakt niet uit op welke wijze de bewuste gegevens verwerkt worden.

    hetzij per ongeluk hetzij onrechtmatig.
    Het maakt niet uit of dat iedereen zich aan de regels houdt of dat iemand die doelbewust overtreedt.

    3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42
    Het is mogelijk om bij een gedragcode of certificeringsmechanisme aan te sluiten.

    kan worden gebruikt
    Het aansluiten erbij aansluiten is vrijwillig.

    als element
    Er is geen sprake van automatische compliancy. Het is enkel een hulpmiddel.

    om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.
    Het is een manier om je compliancy (deels) zichtbaar te maken.

    4.
    De verwerkingsverantwoordelijke en de verwerker
    Ze moeten het dus allebei én samen doen.

    treffen maatregelen om ervoor te zorgen dat
    Dit is niet vrijwillig. Er is actie noodzakelijk.

    iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en
    Het gaat dus om mensen met wie er een gezagsverhouding is met een van beide partijen.

    toegang heeft tot persoonsgegevens
    Dit geldt alleen voor personen die daadwerkelijk bij persoonsgegevens kunnen. Een schoonmaker zal dat bijvoorbeeld doorgaans niet kunnen.

    deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt,
    Er moeten dus afspraken met de personen die voor beide partijen werken worden gemaakt.

    tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.
    Wanneer er een wettelijke verplichting is om de persoonsgegevens toch te verwerken dan mag de persoon in kwestie dat wel doen wanneer hij daartoe geen opdracht van de klant voor heeft gekregen.

Over the Client Side

the Client Side is het platform voor de digitale infrastructuur sector.

alpha Publieke alpha-versie