Juridische vraag: Schiet een bedrijf tekort in het nakomen van de wet als een ICT-afdeling voor de Wbp/AVG verantwoordelijk wordt gemaakt?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Steeds vaker lees ik hier (en elders) dat systeem- of netwerkbeheerders bij bedrijven worden aangewezen door hun werkgevers om te zorgen dat aan de Wet bescherming persoonsgegevens / Algemene Verordening Gegevensbescherming wordt voldaan. Deze mensen zijn natuurlijk niet (perse) gespecialiseerd in informatiebeveiliging of compliance met privacywetgeving. Kun je dan zeggen dat het bedrijf tekortschiet in haar nakoming van de wet?
Antwoord: Sinds de invoering van de Wet meldplicht datalekken op 1 januari vorig jaar maken veel bedrijven een inhaalslag op het gebied van naleving van de privacywetgeving. De nieuwe Europese Privacyverordening (die 25 mei 2018 van kracht wordt, en nee we zitten nú in het overgangsrecht) zal daar nog een schepje bovenop doen.
Omdat privacy compliance vaak hand in hand gaat met ICT-systemen, ligt het voor de hand dat deze taak bij de afdeling ICT wordt neergelegd. Of dat verstandig is, kun je je inderdaad afvragen. De wettelijke eisen zijn veel breder dan alleen sterke wachtwoorden, netwerkbeveiliging en dichtgetimmerde laptops (om even te chargeren). Iedere afdeling zal hierin een taak hebben.
De vraagsteller wees nog op artikel 13 Wbp, dat eist dat de verantwoordelijke passende technische en organisatorische maatregelen moet nemen om persoonsgegevens te beveiligen. Even voor de duidelijkheid, de term 'verantwoordelijke' slaat hier op de eindverantwoordelijke voor de persoonsgegevens en dat is de werkgever dus, niet de ICT-afdeling of de individuele beheerder.
Als invoering van Wbp/AVG-compliance een uitdaging wordt, dan doet een bedrijf er goed aan een data protection officer of functionaris gegevensbescherming (FG) te benoemen. Dit is soms verplicht, maar ook als het niet verplicht is, kan het nuttig zijn. Een FG kan extra aandacht vragen voor nakoming van de wet, en wanneer een organisatie een goed functionerende FG heeft, zal de toezichthouder zich terughoudend opstellen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Veel interessanter is om op te merken dat voorheen "automatisering", als inslag had om bedrijfsprocessen met moderne middelen te verbeteren. Dat verbeteren bleek te moeilijk dus doen we maar "ICT", lekker doosjes naarbinnen schuiven en gut ist. Waarmee de afdeling ICT, feitelijk de afdeling "digitale schoonmakers", niet onterecht gezien wordt als irritante digitale knutselaars waar je desondanks afhankelijk van bent. En nu zien we dus nog een keertje de kloof tussen dat "digitaal" opserveren aan het bedrijf en de extra eisen die nu per decreet aan de informatiestromen binnen het bedrijf gesteld worden, omdat al dat digitale knutselmoois veel makkelijker en sneller wereldwijd gevoelige informatie lekt, van het bedrijf zelf of van de klant.
Onderaan de streep moet je concluderen dat dit al jaren geleden bedacht had moeten zijn. En dat het technische gedeelte inderdaad expertise vraagt die je van de afdeling computerknutselen mag vragen. Maar uiteindelijk moet het hele bedrijf leren hoe met informatiestromen in digitale vorm om te gaan, en dat is echt anders dan als het op papier staat.
Helemaal mooi wordt het als de overheid dezelfde manke inslag over heel het land uitsmeert in naam van de biereco verherverbetering, met een dikke laag "ies verpliecht menier" erbovenop. Dat gaat nog leuk worden. Nee, dat is al leuk en wordt alleen maar leuker. Nietwaar, belastingdienst?
Het lijkt mij zo te zijn:
- Het bedrijf blijft aansprakelijk (is groter dan verantwoordelijk)
- intern mag een bedrijf naar eigen keuze de verantwoordelijkheden bij een persoon of een afdeling (manager) leggen.
- Dat mag dus ook bij de IT afdeling.
- Als een particulier het bedrijf aanspreekt, dan kan dus de interne IT de behandelaar zijn.
- Als een particulier bij de Autoriteit Persoonsgegevens gaat klagen, dan wordt het bedrijf (niet de interne IT) aangesproken. Dus een boete vanuit een datalek moet door het bedrijf worden betaald. De particulier heeft niets, maar dan ook helemaal niets te maken met de interne IT van dat bedrijf (dus niets te maken met de interne verantwoordelijkheden).
Als de IT intern de verantwoordelijkheid heeft voor WBP/AVG, dan kan de IT zich maar beter heel goed voorbereiden. En ook heel goed gepositioneerd moeten zijn.
- Dan moet de IT namelijk aan de business mensen opleggen (ja, opleggen) dat bepaalde zaken niet meer mogen of anders moeten. Heee, dat is leuk ;-).
- Dan moet de IT ineens vragen van particulieren gaan beantwoorden (soms met een aardige deadline). En de beantwoording van die vragen kunnen ook nog eens juridische consequenties krijgen. Hee, dat is ook leuk ;-).
Dit gaat natuurlijk goed totdat het fout gaat. En dan kan het zo maar zijn dat de IT manager de gebeten hond wordt. Zorg er daarom voor dat opdrachtverstrekking, randvoorwaarden en terugkoppelingen heel expliciet zijn. Daar ga je zeker profijt van trekken.
Voor een voldoende implementatie van privacy zijn nodig
- De business
- De jurist
- De IT (en dit is eigenlijk maar een klein stukje)
- Waarschijnlijk de P afdeling (eigen medewerkers zijn ook betrokkenen)
- De afdeling communicatie
en als het niet op C level wordt gedragen, dan krijg je vanzelf een nieuwe set met uitdagingen.
Toch blijft het lastig de fg vaak op management niveau geborgd te krijgen, verantwoordelijkheid zal wel iets engs zijn.
Overigens is er in Duitsland al een gerechtelijke uitspraak (deelstaat) dat de verantwoordelijke voor de avg/wbp niet de iT manager mag zijn vanwege een belangenconflict
Hoewel me dat wel lastig lijkt in kleine ondernemingen...
- De CISO en FG (zelfde persoon) valt onder de ICT manager.
- Het toepassen van technische maatregelen en bovenstaand persoon adviseren gebeurt door allround systeem-/netwerkbeheerders. Denk daarbij ook bijv. aan pentesting en technisch onderzoek doen naar serieuze security incidenten.
- Dezelfde beheerders buigen zich bijv. over de security rondom een intern ontwikkeld en zelf gehost patiëntenplatform (online EPD) dat jaarlijks met zo'n 35.000 patiënten wordt aangevuld.
Waar ik moeite mee heb:
- De CISO/FG is in de huidige positie tandenloos. Deze hoort niet thuis bij de ICT afdeling in het kader van belangenverstrengeling. Daarbij kun je je ook nog afvragen wat zijn invloed buiten de ICT afdeling is.
- In de huidige situatie is nergens vastgelegd wie zich met security (de techniek) bezig houdt en daar de vereiste kennis voor heeft. Technische security dien je m.i. aan experts over te laten, niet aan systeembeheerders die zich er niet volledig op kunnen toespitsen.
Dat deze situatie onwenselijk is lijkt me wel duidelijk. Maar ik ben vooral benieuwd of dit juridisch gezien allemaal wel door de beugel kan en welke instantie daar iets van zou kunnen vinden.
Het aanstellen van een FG is niet verplicht, dus de Autoriteit Persoonsgegevens zal er niets van vinden als je de CISO als FG aanstelt. Dat is dan gewoon een fop-functionaris.
Het bedrijf zal te allen tijde aansprakelijk zijn voor niet-nakoming van de AVG, ongeacht hoe ze intern de boel inrichten. Of ze nu externe experts inhuren of de eigen systeembeheerders opleiden: prima. Een goedwillende IT'er laten aanmodderen: het mag. Maar achteraf moet je als bedrijf motiveren waarom je je stinkende best hebt gedaan qua security, datalekken, documentatie en algemene compliance. En let op: de AVG heeft een omgekeerde bewijslast (art. 5 lid 2), de verwerkingsverantwoordelijke moet met documentatie kunnen aantonen dat hij aan de wet heeft voldaan anders heeft hij dat niet.
Het aanstellen van een FG is niet verplicht, dus de Autoriteit Persoonsgegevens zal er niets van vinden als je de CISO als FG aanstelt. Dat is dan gewoon een fop-functionaris.
Dit lijkt me een onjuiste stelling. De CISO is niet hetzelfde als een IT-er maar uit hoofde van zijn functie reeds een controlerende taak op de IT omgeving en is verantwoordelijk voor security van de gegevens. Dat lijkt me dus uitstekend te combineren met de DPO taak, zeker als je naast de klassieke juridische invulling (legal als DPO) ook eens wat inhoudelijke gegevenbeschermingskennis wilt toevoegen aan de kwestie. Dat je dat niet vaak genoeg ziet is een ander verhaal.
Het punt is dat een FG een onafhankelijke positie moet hebben en direct moet rapporteren aan de directie. Allereerst heb je dan het probleem dat een CISO vaak rapporteert aan de IT-manager, en dat is dan dus niet wat de FG moet doen. En Daarnaast kun je je afvragen of er geen belangenconflict ontstaat als de CISO tegen de directie zegt "de beveiliging is brak, dit moet anders" en zijn IT-manager zegt "hou je mond".
'integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging'
(bron: https://nl.wikipedia.org/wiki/Algemene_verordening_gegevensbescherming).
Dit is lekker generiek en vooral heel moeilijk meetbaar, bij PCI-DSS staat er duidelijk beschreven wat je moet doen en hoe je getoest kan worden, uit bovenstaande kan ik totaal niet opmaken of ik bijv alle systemen in scope (en hoe weet je wat precies de scope is?) voldoende moet beveiligen (is dat patching, password policy, least privileges, SoD, security monitoring, netwerk security, etc.) en in welke mate?
Hoe moet ik dit interpreteren en waarom kan het niet zo concreet gemaakt worden als zo een standaard als de PCI-DSS 3.* ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.