CBP publiceert richtlijn voor beveiliging persoonsgegevens
Het College bescherming persoonsgegevens (CBP) heeft richtlijnen gepubliceerd hoe organisaties persoonsgegevens zouden moeten beveiligen. De 'Richtsnoeren beveiliging van persoonsgegevens' leggen uit hoe het CBP bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens de beveiligingsnormen uit de Wet bescherming persoonsgegevens (Wbp) toepast.
Volgens het CBP zit in gemiddelde Nederlandse burgers met zijn gegevens in honderden tot duizenden bestanden, zowel in de publieke als de private sector.
"Iedereen moet er op kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Onvoldoende beveiliging kan leiden tot verlies en diefstal van persoonsgegevens en vervolgens tot misbruik van persoonsgegevens", aldus de privacywaakhond.
Wet
Bedrijven en overheden die persoonsgegevens verwerken moeten deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen en hiervoor passende technische en organisatorische maatregelen nemen.
“Verantwoord omgaan met persoonsgegevens staat of valt met een adequate beveiliging. Denk na over beveiliging vóórdat je persoonsgegevens gaat verzamelen en laat het een blijvend punt van aandacht zijn”, aldus Wilbert Tomesen, collegelid van het CBP.
Beveiliging
Organisaties en bedrijven die gegevens willen beschermen moeten volgens het CBP een zogeheten plan-do-check-act-cyclus in de dagelijkse praktijk binnen de organisatie toepassen.
Dat komt neer op het beoordelen van risico's, het gebruik van algemeen geaccepteerde beveiligingsstandaarden en het regelmatig controleren of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd.
Encryptie
Naast de beveiliging van persoonsgegevens ziet artikel 13 Wbp ook op de toepassing van privacy enhancing technologies (pet). Bij het onderzoeken en beoordelen van de naleving van de wettelijke verplichting tot het toepassen van pet hanteert het CBP als uitgangspunt een aantal gangbare petmaatregelen zoals encryptie en het hashen van wachtwoorden.
Specifiek advies hoe organisaties de richtlijnen moeten invullen wordt niet gegeven. Met de richtlijn wil het CBP vooral duidelijk maken wat het van de beveiliging van persoonsgegevens verwacht.
"Daarbij heeft een organisatie de ruimte om de beveiliging van persoonsgegevens in te rich ten op de wijze en met de middelen die in de specifieke situatie van deze organisatie het meest passend zijn."
De praktijk zal wel moeten uitwijzen hoe hanteerbaar het document is. Er zit soms wat verwarrende volgorde in de maatregelen (zie paragraaf nummering in relatie tot PDCA-cyclus op pagina 6). Men spreekt over het uitvoeren van een risicoanalyse, maar geeft daar beperkt handvatten voor. Ook lopen het invullen van een beveiligingsorganisatie en het beveiligen van een nieuwe ICT dienst door elkaar in het document. En er mist een overzichtelijke tabel of checklist van alle punten waarop CBP wil controleren.
Ben ook even benieuwd wat de relatie is met de AV23, maar al met al een goed initiatief van CBP.
Een klein stukje kansrekening, aldus: "honderden tot duizenden" maal "hele kleine kans dat het misgaat, echt waar, staan we met z'n allen voor in hoor! getekend uw vrinden bij dit commerciële bedrijf danwel bureaucratische instelling" betekent nog steeds uiteindelijk best wel grote kans dat het misgaat. Nu nog maal een hele hoop mensen in elke database en de kans dat het voor iemand misgaat wordt zekerheid, daar kunnen geen beste intenties van de wereld tegenop.
Uiteindelijk blijven we dus onoverkomelijk met gepapte en natgehouden peren zitten. Mooi is dat.
"We'll never make it 100% so let's stop trying."
Zo kan je natuurlijk ieder initiatief de grond in boren, maar een nuttige bijdrage is het dan niet echt. Persoonlijk vind ik ieder stukje handreiking dat een partij als het CBP doet voor bewustmaking in elk geval positief.
Het feit dat er partijen zijn die er een broertje dood aan hebben, is niet echt van belang daarbij - dan kan je ook wel stoppen met, pak 'em beet, misdaadbestrijding ("je roeit diefstal toch nooit uit"), vredesonderhandelingen ("er is toch altijd wel ergens oorlog") en eten ("ik heb morgen toch weer honger").
Maargoed, het CBP kwam pas in actie nadat erover gevallen werd dat ze pas in actie wilden komen als én het kalf verdronken was én er iemand over ging klagen én er genoeg herrie in de media gemaakt werd dat het CBP niet vooruit te branden was. Dan is het niet gek dat ze hopeloos achter de feiten aanlopen.
Ik zeg dus: Schoorvoetend achter de problemen aanhobbelen is niet wat we nodig hebben. Je dweiltjes standaardiseren (en daarmee dus een excuus geven aan partijen die er een bende van maken: "maar onze dweiltjes zijn standaardformaat hoor!") is best een leuk initiatief maar helpt niet tegen openstaande kranen. Echt niet.
Maargoed. Wilde je zeggen dat constateren dat de kraan open staat geen nuttige bijdrage is? Hier, jij ook een dweiltje.
Zoals staat beschreven in het document zelf, vervangen deze Richtsnoeren AV-23.
Ja kankeren kan iedereen; maar als jij het beter weet... doe dan eens een voorstel?
Er is gewoon voor het zachte vakgebied (want mensenwerk) informatiebeveiliging geen 100% sluitende oplossing. Dat hoeft ook niet want risico's horen bij het leven. Dus werken met algemeen aanvaardde best-practice richtlijnen is de enige mogelijkheid. En natuurlijk een goed incident management proces voor als het fout gaat (en dat begint met weten dat het fout gaat, dus detectie).
Op de snelweg rijden allemaal mensen met een rijbewijs. En ja; er gebeuren toch ongelukken en dan hebben we politie, ambulance, verzekering etc., en toch ben ik blij dat er zoiets is als een rijvaardigheidsbewijs; een richtlijn voor dat wat je moet kunnen voordat je de weg op mag. Richtlijnen informatiebeveiliging zijn net zoiets, wel is het nog steeds erg jammer dat naleving van deze richtlijnen, ISO27001, NEN7510 e.d., nergens verplicht is. Maar heel langzamerhand gaat het wel die kant op...
Thanx. Zag het gisteravond ook staan. Vond AV23 wel een bruikbaar document, ben benieuwd hoe de nieuwe richtsnoeren gaan bevallen.
Er is gewoon voor het zachte vakgebied (want mensenwerk) informatiebeveiliging geen 100% sluitende oplossing. Dat hoeft ook niet want risico's horen bij het leven. Dus werken met algemeen aanvaardde best-practice richtlijnen is de enige mogelijkheid. En natuurlijk een goed incident management proces voor als het fout gaat (en dat begint met weten dat het fout gaat, dus detectie).
Wat je noemt is een leuk beginnetje en al beter dan we hebben--de meeste processen gaan ervanuit dat het uitvoerend orgaan lekloos perfect is en dat gaat heel ver, tot en met het onmogelijk maken van rechtzetten van de gevolgen van vergissingen en misbruik. Maar hoewel zulke mechanismen nuttig zijn, bouwen ze op een achterhaalde fundering waarmee het uiteindelijk een exercitie in futiele mooimakerij zal blijken te zijn geweest.
En voorstellen hoe het beter kan? Vaak zat geroepen, ook op deze site. De basis moet niet langer zijn voortdurend maar je hele identiteit open en bloot te moeten afgeven. Dat is wat we nu doen, dat is hoe het systeem nu inelkaar zit. Dat moet anders en het kan best, de technologie bestaat al.
Maar zolang dat inzicht te moeilijk is en elk voorstel, elk noemen van die visie als te negatief wordt weggewuifd komen we niet vooruit natuurlijk. Dan heb je gelijk, dan kan het echt niet beter. Maar dat ligt niet aan de processen of de techniek, dat ligt dan aan het halfzachte kader dat beter zou moeten weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
