DEN HAAG - Het College bescherming persoonsgegevens (CBP) heeft een richtlijn uitgebracht voor de beveiliging van informatie bij organisaties die persoonsgegevens verwerken.

Het document beschrijft waar de privacywaakhond op let als ze onderzoeken of organisaties zich aan de wet houden.

Zo'n 'richtsnoer' (pdf) is nodig, omdat beveiliging wettelijk verplicht is voor organisaties die persoonsgegevens verwerken. De wet is echter minder duidelijk over wat er precies moet worden gedaan.

Zo eist de wetgever dat een organisatie 'passende technische en organisatorische maatregelen' moet nemen, rekening houdend met 'de stand van de techniek'.

Die onduidelijkheid in de wet leidt na cyberaanvallen vaak tot discussie of een bedrijf wel of niet voldoende aan beveiliging heeft gedaan. Wie privédata onvoldoende beveiligt riskeert ingrijpen van het CBP, waarbij in de toekomst mogelijk ook forse boetes kunnen worden opgelegd.

Risico-inschatting

Volgens het CBP moet daarom een beveiligingsplan worden opgesteld en moeten organisaties constant verbeteringen doorvoeren. Zo moet het risico op een aanval worden ingeschat. Ook moet er een plan zijn voor het afdekken van de schade als een hacker toegang krijgt tot de informatie.

Ook moet worden ingeschat hoeveel privédata wordt verwerkt en hoe de privacy wordt beïnvloed als die data lekt. Dat hoeft niet altijd te leiden tot meer beveiligingsmaatregelen, maar zou ook als gevolg kunnen hebben dat er juist minder informatie wordt verwerkt. Zo neemt het risico immers ook af.

Als gevoeligere informatie wordt verwerkt, moeten er strengere beveiligingsmaatregelen worden genomen. Dat zijn bijvoorbeeld bijzondere persoonsgegevens als medische informatie en details over ras, geloof en seksuele voorkeuren. Maar ook inloggegevens, financiële data en burgerservicenummers moeten zwaarder worden beveiligd.

Standaarden

De richtlijn verwijst naar standaarden in de beveiligingsindustrie die de basis moeten vormen voor het beleid van organisaties.

Zo wordt in de zorg de zogenoemde NEN-norm gehanteerd en bestaat er een Code voor Informatiebeveiliging voor het bedrijfsleven en de overheid. Die laatste standaard wordt nu op veel plekken nog niet gehaald.

De richtlijnen voor webapplicaties en mobiele apparaten van het Nationaal Cyber Security Centrum (NCSC) worden door het CBP ook als voorbeelden van bestaande standaarden genoemd.