Gegevensbeveiliging: fouten maken is (vaak) menselijk

Juridische Watch – november 2019.

Gegevensbeveiliging: fouten maken is (vaak) menselijk. Tot die conclusie kwamen de overheidsinstanties die verantwoordelijk zijn voor de bescherming van persoonsgegevens, bijeen in Tirana van 21 tot en met 24 oktober.

Tijdens de internationale conferentie, die jaarlijks toezichthoudende autoriteiten, de particuliere sector en het maatschappelijk middenveld bijeenbrengt, werden verschillende resoluties aangenomen.

Het gaat onder meer om twee resoluties die gericht zijn op het verbeteren van de samenwerking tussen overheidsinstanties over de grenzen heen en op een betere tenuitvoerlegging van de AVG, een resolutie over sociale media en gewelddadige extremistische inhoud en de resolutie waar we het hier over hebben, over menselijke fouten bij inbreuken op de beveiliging.

Ter herinnering: volgens de AVG is er sprake van een inbreuk op de beveiliging als er sprake is van een situatie waarin persoonsgegevens per ongeluk of op onrechtmatige wijze:

• Vernietigd
• Kwijt
• Gewijzigd
• Bekendgemaakt
• Of wanneer er sprake is van ongeoorloofde toegang tot gegevens.

Het gaat hier dus om een bijzonder ruim toepassingsgebied, met gevolgen voor de verwerkingsverantwoordelijke die, afhankelijk van de impact van de inbreuk op de beveiliging, de CNIL en de bij het incident betrokken personen op de hoogte moet stellen.

Ruim een jaar na de inwerkingtreding van de AVG zien we dat een groot deel van de boetes die worden opgelegd wegens het niet naleven van de verordening, te wijten is aan een gebrekkige beveiliging bij de gegevensverwerking. 

Ook de verschillende instanties in Europa hebben een groot aantal meldingen ontvangen en krijgen steeds beter zicht op de oorsprong van de veiligheidsproblemen. Dit zou moeten bijdragen aan een betere preventie op dit gebied.

De observatie is als volgt: Een groot deel van de beveiligingsinbreuken wordt veroorzaakt doordat werknemers onbedoeld informatie prijsgeven aan onbevoegde ontvangers of aan personen die door misleiding identificatiegegevens en toegangscodes tot informatie doorgeven.

Naast het implementeren van robuuste gegevensbeschermingstechnieken in het ontwerp van systemen ("privacy by design"), roept de resolutie op tot het ontwikkelen van een cultuur van gegevensbescherming binnen het bedrijf. De volgende maatregelen worden benadrukt:

• Regelmatige training-, opleidings- en bewustmakingsprogramma’s voor werknemers over aspecten van ‘privacy’ en gegevensbeveiliging;
• Training in het detecteren en melden van beveiligingsinbreuken;
• Regelmatige controles en audits van de praktijken en systemen die worden geïmplementeerd om gegevens te beschermen.

Een nuttige herinnering: encryptie blijft een zeer relevante manier om gegevens te beschermen, in combinatie met andere technische en organisatorische maatregelen. De CNIL en ANSSI (Franse Autoriteit voor Gegevensbescherming) publiceerden in oktober een schat aan praktische informatie online ter gelegenheid van de Maand van de Cybersecurity.

En ook:

• In Frankrijk:

Medio oktober publiceerde de Franse toezichthoudende autoriteit haar stappenplan voor 2019-2021. om haar prioriteiten op het gebied van de bescherming van persoonsgegevens te communiceren. Er zijn vijf werkgebieden:

• De digitale uitdagingen in het dagelijks leven van burgers;
• Evenwichtige regulering (ondersteunende en repressieve maatregelen);
• Een aanzienlijke investering in Europese samenwerking;
• Toonaangevende expertise op het gebied van digitale en cyberbeveiliging;
• Een innovatieve publieke dienstverlening gebaseerd op humanistische waarden.

De CNIL heeft op 17 oktober ook een standpunt ingenomen over twee gezichtsherkenningssystemen geïmplementeerd op scholen.

Zij was van mening dat deze projecten, die voor het merendeel minderjarig waren en als enig doel hadden de toegang tot het onderwijs te stroomlijnen en te beveiligen, "noch noodzakelijk noch proportioneel waren om deze doelen te bereiken."

Deze beslissingen kunnen worden vergeleken met die welke de Zweedse toezichthoudende autoriteit eind augustus nam in het kader van gezichtsherkenning op scholen, ditmaal met als doel de aanwezigheid te controleren.

• In Europa:

Compensatie voor overtreding van de wet: De voorwaarden waaronder een individu schadevergoeding kan eisen in geval van een schending van zijn rechten, worden verduidelijkt door jurisprudentie.

In de laatste uitspraak van het Hof van Beroep in Londen op 2 oktober wordt een schadevergoeding toegekend voor het op frauduleuze wijze verzamelen van gegevens door Google op de iPhones van meer dan vier miljoen gebruikers, zonder bewijs van schade. Het Hof stelt dat de controle die een persoon heeft over zijn of haar gegevens een waarde heeft, en dat het verlies van deze controle dus ook een waarde moet hebben.

Daarom kan iemand volgens de wet een schadevergoeding eisen, zonder dat hij hoeft aan te tonen dat hij financieel verlies of problemen heeft ondervonden.

Wij wijzen op het verband tussen dit besluit en artikel 82 van de AVG, waarin het bestaan van materiële en immateriële schade wordt vastgesteld en de bewijslast dat de schade niet aan hem te wijten is, bij de verwerkingsverantwoordelijke ligt.

• In de Verenigde Staten:

Internationale gegevensoverdrachten: Op 23 oktober publiceerde de Europese Commissie de conclusies van de derde jaarlijkse evaluatie van het 'Privacy Shield', dat de overdracht van gegevens naar de Verenigde Staten regelt voor bedrijven die zich hierbij hebben aangesloten.

Het rapport bevestigt dat het systeem nog steeds een adequaat beschermingsniveau biedt.

Er wordt gewezen op de verbeteringen die zijn aangebracht in de implementatie van het 'Shield' en er worden nog resterende zwakke punten genoemd, waaronder de tijd die nodig is om (her)certificering te verkrijgen en de verificatie van valse certificeringsclaims door sommige bedrijven.