image

CBP publiceert richtlijn voor beveiliging persoonsgegevens

dinsdag 19 februari 2013, 11:48 door Redactie, 8 reacties

Het College bescherming persoonsgegevens (CBP) heeft richtlijnen gepubliceerd hoe organisaties persoonsgegevens zouden moeten beveiligen. De 'Richtsnoeren beveiliging van persoonsgegevens' leggen uit hoe het CBP bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens de beveiligingsnormen uit de Wet bescherming persoonsgegevens (Wbp) toepast.

Volgens het CBP zit in gemiddelde Nederlandse burgers met zijn gegevens in honderden tot duizenden bestanden, zowel in de publieke als de private sector.

"Iedereen moet er op kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Onvoldoende beveiliging kan leiden tot verlies en diefstal van persoonsgegevens en vervolgens tot misbruik van persoonsgegevens", aldus de privacywaakhond.

Wet
Bedrijven en overheden die persoonsgegevens verwerken moeten deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen en hiervoor passende technische en organisatorische maatregelen nemen.

“Verantwoord omgaan met persoonsgegevens staat of valt met een adequate beveiliging. Denk na over beveiliging vóórdat je persoonsgegevens gaat verzamelen en laat het een blijvend punt van aandacht zijn”, aldus Wilbert Tomesen, collegelid van het CBP.

Beveiliging
Organisaties en bedrijven die gegevens willen beschermen moeten volgens het CBP een zogeheten plan­-do­-check­-act­-cyclus in de dagelijkse praktijk binnen de organisatie toepassen.

Dat komt neer op het beoordelen van risico's, het gebruik van algemeen geaccepteerde beveiligingsstandaarden en het regelmatig controleren of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd.

Encryptie
Naast de beveiliging van persoonsgegevens ziet artikel 13 Wbp ook op de toepassing van privacy enhancing technologies (pet). Bij het onderzoeken en beoordelen van de naleving van de wettelijke verplichting tot het toepassen van pet hanteert het CBP als uitgangspunt een aantal gangbare pet­maatregelen zoals encryptie en het hashen van wachtwoorden.

Specifiek advies hoe organisaties de richtlijnen moeten invullen wordt niet gegeven. Met de richtlijn wil het CBP vooral duidelijk maken wat het van de beveiliging van persoonsgegevens verwacht.

"Daarbij heeft een organisatie de ruimte om de beveiliging van persoonsgegevens in te rich­ ten op de wijze en met de middelen die in de specifieke situatie van deze organisatie het meest passend zijn."

Reacties (8)
19-02-2013, 12:35 door SecuritySander
Goed dat CBP nu eindelijk met concrete richtlijnen komt. Na een korte scan van het document lijkt het me dat men een aardige koers gekozen die in het midden zit tussen een procedurele beschrijving en een technische checklist. Men beoogt een document te schrijven dat tussen de wetgeving en het treffen van maatregelen in zit. En dat lijkt gelukt.

De praktijk zal wel moeten uitwijzen hoe hanteerbaar het document is. Er zit soms wat verwarrende volgorde in de maatregelen (zie paragraaf nummering in relatie tot PDCA-cyclus op pagina 6). Men spreekt over het uitvoeren van een risicoanalyse, maar geeft daar beperkt handvatten voor. Ook lopen het invullen van een beveiligingsorganisatie en het beveiligen van een nieuwe ICT dienst door elkaar in het document. En er mist een overzichtelijke tabel of checklist van alle punten waarop CBP wil controleren.

Ben ook even benieuwd wat de relatie is met de AV23, maar al met al een goed initiatief van CBP.
19-02-2013, 12:57 door Anoniem
Door Redactie: Volgens het CBP zit in gemiddelde Nederlandse burgers met zijn gegevens in honderden tot duizenden bestanden, zowel in de publieke als de private sector.
Contrasteer bovenstaande met wat er gelijk op volgt:

"Iedereen moet er op kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd."
Iedereen in de computerwereld en nog veel meer in de informatiebeveiliging, en dus helemaal het CPB, moet onmiddelijk doorhebben dat dit niet alleen niet gaat werken, maar dat het onmogelijk kan werken.

Een klein stukje kansrekening, aldus: "honderden tot duizenden" maal "hele kleine kans dat het misgaat, echt waar, staan we met z'n allen voor in hoor! getekend uw vrinden bij dit commerciële bedrijf danwel bureaucratische instelling" betekent nog steeds uiteindelijk best wel grote kans dat het misgaat. Nu nog maal een hele hoop mensen in elke database en de kans dat het voor iemand misgaat wordt zekerheid, daar kunnen geen beste intenties van de wereld tegenop.

Uiteindelijk blijven we dus onoverkomelijk met gepapte en natgehouden peren zitten. Mooi is dat.
19-02-2013, 14:40 door Anoniem
Door Anoniem: Uiteindelijk blijven we dus onoverkomelijk met gepapte en natgehouden peren zitten. Mooi is dat.

"We'll never make it 100% so let's stop trying."

Zo kan je natuurlijk ieder initiatief de grond in boren, maar een nuttige bijdrage is het dan niet echt. Persoonlijk vind ik ieder stukje handreiking dat een partij als het CBP doet voor bewustmaking in elk geval positief.

Het feit dat er partijen zijn die er een broertje dood aan hebben, is niet echt van belang daarbij - dan kan je ook wel stoppen met, pak 'em beet, misdaadbestrijding ("je roeit diefstal toch nooit uit"), vredesonderhandelingen ("er is toch altijd wel ergens oorlog") en eten ("ik heb morgen toch weer honger").
19-02-2013, 17:56 door Anoniem
Door Anoniem:
Door Anoniem: Uiteindelijk blijven we dus onoverkomelijk met gepapte en natgehouden peren zitten. Mooi is dat.
"We'll never make it 100% so let's stop trying."
In essentie is dat de counter die veel gegeven wordt op suggesties dat windows niet meer gebruiken een goed idee zou zijn, qua beveiliging ("alles heeft gaten"). Maar is niet wat ik hier betoog.

Zo kan je natuurlijk ieder initiatief de grond in boren, maar een nuttige bijdrage is het dan niet echt. Persoonlijk vind ik ieder stukje handreiking dat een partij als het CBP doet voor bewustmaking in elk geval positief.
Ieder beetje dweilen helpt, maar niet als de kraan nog steeds open staat. Betoog was nou net dat de kraan open stond en dat daar niets aan gedaan wordt.

Maargoed, het CBP kwam pas in actie nadat erover gevallen werd dat ze pas in actie wilden komen als én het kalf verdronken was én er iemand over ging klagen én er genoeg herrie in de media gemaakt werd dat het CBP niet vooruit te branden was. Dan is het niet gek dat ze hopeloos achter de feiten aanlopen.

Ik zeg dus: Schoorvoetend achter de problemen aanhobbelen is niet wat we nodig hebben. Je dweiltjes standaardiseren (en daarmee dus een excuus geven aan partijen die er een bende van maken: "maar onze dweiltjes zijn standaardformaat hoor!") is best een leuk initiatief maar helpt niet tegen openstaande kranen. Echt niet.

Maargoed. Wilde je zeggen dat constateren dat de kraan open staat geen nuttige bijdrage is? Hier, jij ook een dweiltje.
19-02-2013, 18:10 door Anoniem
@SecuritySander
Zoals staat beschreven in het document zelf, vervangen deze Richtsnoeren AV-23.
19-02-2013, 19:06 door slartibartfast
Door Anoniem: Uiteindelijk blijven we dus onoverkomelijk met gepapte en natgehouden peren zitten. Mooi is dat.

Ja kankeren kan iedereen; maar als jij het beter weet... doe dan eens een voorstel?

Er is gewoon voor het zachte vakgebied (want mensenwerk) informatiebeveiliging geen 100% sluitende oplossing. Dat hoeft ook niet want risico's horen bij het leven. Dus werken met algemeen aanvaardde best-practice richtlijnen is de enige mogelijkheid. En natuurlijk een goed incident management proces voor als het fout gaat (en dat begint met weten dat het fout gaat, dus detectie).

Op de snelweg rijden allemaal mensen met een rijbewijs. En ja; er gebeuren toch ongelukken en dan hebben we politie, ambulance, verzekering etc., en toch ben ik blij dat er zoiets is als een rijvaardigheidsbewijs; een richtlijn voor dat wat je moet kunnen voordat je de weg op mag. Richtlijnen informatiebeveiliging zijn net zoiets, wel is het nog steeds erg jammer dat naleving van deze richtlijnen, ISO27001, NEN7510 e.d., nergens verplicht is. Maar heel langzamerhand gaat het wel die kant op...
20-02-2013, 08:37 door SecuritySander
@Anoniem 18:10
Thanx. Zag het gisteravond ook staan. Vond AV23 wel een bruikbaar document, ben benieuwd hoe de nieuwe richtsnoeren gaan bevallen.
20-02-2013, 09:38 door Anoniem
Door slartibartfast: Ja kankeren kan iedereen; maar als jij het beter weet... doe dan eens een voorstel?

Er is gewoon voor het zachte vakgebied (want mensenwerk) informatiebeveiliging geen 100% sluitende oplossing. Dat hoeft ook niet want risico's horen bij het leven. Dus werken met algemeen aanvaardde best-practice richtlijnen is de enige mogelijkheid. En natuurlijk een goed incident management proces voor als het fout gaat (en dat begint met weten dat het fout gaat, dus detectie).
Dit is nou werkelijk de "100% kan niet dus geef het maar op" aanpak waar anon 14:40 tegen waarschuwde. Dat mag dan het beste waar het CBP mee kan komen (onder andere vanwege wettelijk kader maar ook wegens gelimiteerd begrip her en der), maar de conclusie dat het niet beter kan is volstrekt ongegrond.

Wat je noemt is een leuk beginnetje en al beter dan we hebben--de meeste processen gaan ervanuit dat het uitvoerend orgaan lekloos perfect is en dat gaat heel ver, tot en met het onmogelijk maken van rechtzetten van de gevolgen van vergissingen en misbruik. Maar hoewel zulke mechanismen nuttig zijn, bouwen ze op een achterhaalde fundering waarmee het uiteindelijk een exercitie in futiele mooimakerij zal blijken te zijn geweest.

En voorstellen hoe het beter kan? Vaak zat geroepen, ook op deze site. De basis moet niet langer zijn voortdurend maar je hele identiteit open en bloot te moeten afgeven. Dat is wat we nu doen, dat is hoe het systeem nu inelkaar zit. Dat moet anders en het kan best, de technologie bestaat al.

Maar zolang dat inzicht te moeilijk is en elk voorstel, elk noemen van die visie als te negatief wordt weggewuifd komen we niet vooruit natuurlijk. Dan heb je gelijk, dan kan het echt niet beter. Maar dat ligt niet aan de processen of de techniek, dat ligt dan aan het halfzachte kader dat beter zou moeten weten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.