CBP legt uit wat ‘passende beveiling’ is

Afbeelding: Keys van Matt Erasmus | Licentie: CC BY 2.0

De richtsnoeren leggen uit hoe het CBP bij het beoordelen van beveiliging van persoonsgegevens de beveiligingsnormen uit de Wet bescherming persoonsgegevens (Wbp) toepast.

Uit de erg beperkte samenvatting:

Verantwoord omgaan met persoonsgegevens valt of staat met een adequate beveiliging van de gegevens. In de praktijk blijkt dat de aandacht voor beveiliging nogal eens tekortschiet. In de media zijn vrijwel dagelijks berichten te vinden over datalekken door onvoldoende beveiliging, waardoor persoonsgegevens op straat liggen. Het College bescherming persoonsgegevens (CBP) ontvangt ook regelmatig signalen over tekortschietende beveiliging en de kwalijke gevolgen ervan.

[…]

Het uitgangspunt om tot een passende beveiliging te komen is dat in een organisatie bestuurders en de mensen die verantwoordelijk zijn voor de informatiesystemen en -beveiliging gezamenlijk nadenken over de wijze van beveiliging, al vóórdat ze persoonsgegevens gaan verzamelen. De beveiliging van persoonsgegevens binnen een organisatie moet gedurende de gehele levensduur van een informatiesysteem punt van aandacht zijn, van het allereerste ontwerp tot aan het onomkeerbaar wissen van het laatste back-up-bestand na afloop van de bewaartermijn. De beveiliging past binnen het bredere verband van privacy by design, waarbij de bescherming van persoonsgegevens en de borging van de rechten van de betrokkenen vanaf het allereerste begin in de informatiesystemen wordt ingebouwd.

De richtsnoeren Beveiliging van persoonsgegevens.

Uit het nieuwsbericht op de website:

Een gemiddelde burger in Nederland zit met zijn gegevens in honderden tot duizenden bestanden, zowel in de publieke als de private sector. Iedereen moet er op kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Onvoldoende beveiliging kan leiden tot verlies en diefstal van persoonsgegevens en vervolgens tot misbruik van persoonsgegevens, zoals identiteitsfraude. […]

Het CBP heeft in 2012 28 beveiligings- en datalekken onderzocht. De meeste van die onderzoeken zijn inmiddels afgerond. Bij de beveiligingslekken ging het vaak om webformulieren waar de betrokkenen allerlei persoonsgegevens moesten invullen die vervolgens onbeveiligd via het internet werden verstuurd. Regelmatig ging het daarbij ook om medische of fraudegevoelige persoonsgegevens. Bij de datalekken ging het vaak om twee veel voorkomende vormen van hacking: SQL-injectie en cross site scripting. De persoonsgegevens die met deze vormen van hacking werden verkregen waren in veel gevallen niet versleuteld […]