Column


IT-jurist Peter van Schelven over...

Security en accountability: nieuw stelletje?

Stel, je neemt als organisatie een nieuw IT-systeem in gebruik, waarmee zeer gevoelige persoonsgegevens worden verwerkt. Er is – om redenen van kosten en gebruiksgemak – gekozen voor goedkope en laagdrempelige toegangsbeveiliging door middel van een combinatie van gebruikersnaam en wachtwoord. Er is welbewust afgezien van de inzet van tweefactorauthenticatie.

Kijk je naar de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywetgeving waaraan je als organisatie op 25 mei 2018 moet voldoen, dan doen zich rondom die securitykeuze twee hoofdvragen voor. De eerste is uiteraard of een relatief lichte vorm van beveiliging – gegeven onder meer de aard van de gegevens, de betrokken risico’s, de kosten en de stand van de techniek – in juridische zin wel of niet passend is. Daar gaat deze column nu verder niet over.

Bewijslast?
Ik richt me hier op de tweede hoofdvraag, die betrekking heeft op een harde nieuwe spelregel die door de AVG is geïntroduceerd: de verplichting van organisaties om steeds te kunnen aantonen of je afwegingen bij de concrete keuze behoorlijk en zorgvuldig zijn geweest. Deze spelregel gaat over ‘accountability’ (artikel 5, lid 2 van de AVG), het nieuwste toverwoord in de Europese privacywetgeving.

Als organisatie moet je volgens die regel te allen tijde jouw keuzes kunnen verantwoorden, bijvoorbeeld naar de Autoriteit Persoonsgegevens. Populair gezegd: de bewijslast dat je als organisatie op het vlak van security ‘in control’ bent, ligt bij de organisatie zelf en dus niet bij de toezichthouder. Dat is in de praktijk geen kattenpis.

Deze verantwoordingsplicht noopt in de praktijk tot het zorgvuldig vastleggen en bewaren van de besluitvorming en alle daarbij gemaakte afwegingen. Op enig moment – wellicht jaren na eerste ingebruikname van een systeem – kan de toezichthouder op de stoep staan en dan moet je kunnen aantonen waarom je nu voor de ene vorm van security hebt gekozen en niet voor een andere. Alleen met een vergaande, gedetailleerde en makkelijk toegankelijke administratie kan aan die verplichting worden voldaan.

Cumulatie boeterisico’s
‘Accountability’ is dus een strenge nieuwe spelregel uit de AVG. Dat het meer is dan alleen een administratieve last, blijkt wel uit het feit dat het schenden van deze spelregel ook met een zware bestuurlijke boete bedreigd wordt. Wie op enig moment onvoldoende kan aantonen hoe de besluitvorming rondom security heeft plaats gevonden, stelt zich bloot aan een boete van maximaal 20 miljoen euro of – indien hoger – 4 procent van de jaarlijkse wereldomzet. In wezen komt dat neer op een boete voor een gebrekkige administratieve organisatie.

Dat boeterisico staat los van de boete die kan worden opgelegd voor security die benedenmaats is. Kortom, met de verplichting om je daadwerkelijk te kunnen verantwoorden, dient zich een cumulatie van mogelijke boetes aan. Dat maakt het securityvraagstuk in juridische zin zwaarder en complexer dan nu het geval is.

Praktische gevolgen
Mijn ervaring is dat menige organisatie zich nog maar weinig bewust is van de praktische gevolgen van de verantwoordingsplicht. Je moet immers niet alleen de juiste belangenafwegingen maken, bijvoorbeeld over de vraag welke beheer- en securitymaatregelen je treft. De AVG gaat een stap verder en verlangt dus ook dat de afweging van de betrokken belangen, risico’s en maatregelen expliciet en reproduceerbaar zijn.

De administratieve organisatie betreffende de security verdient bij velen versterking en verdieping. De Europese wetgever schrijft niet voor hoe dat moet gebeuren, maar het staat sinds de komst van de AVG wel vast dat dit moet worden opgepakt. Dus: werk aan de winkel!


Lees meer over