Het Britse equivalent van de Autoriteit Persoonsgegevens ("AP"), de Information Commissioner's Office ("ICO"), heeft een handleiding gepubliceerd met betrekking tot de versleuteling van data (encryptie) onder de Algemene Verordening Gegevensbescherming ("AVG"). De handleiding vormt een handig hulpmiddel voor bedrijven die encryptie willen inzetten als technische maatregel om persoonsgegevens te beschermen.
AVG
Persoonsgegevens moeten door middel van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (artikel 5, eerste lid, sub f, AVG). In artikel 32 van de AVG wordt versleuteling (encryptie) genoemd als een van de relevante mogelijk te nemen maatregelen.
Encryptie
Encryptie betekent dat informatie wordt versleuteld om te voorkomen dat onbevoegden de informatie kunnen lezen. Onderscheid wordt gemaakt tussen asymmetrische en symmetrische encryptie. Met asymmetrische encryptie wordt gebruik gemaakt van een sleutelpaar: een geheime en een openbare sleutel. Zonder de geheime sleutel kan de versleutelde informatie niet worden ontsleuteld. Met symmetrische encryptie wordt gebruik gemaakt van een en dezelfde sleutel voor versleuteling en ontsleuteling.
In beide gevallen is het van belang dat een veilige methode wordt gekozen voor het versturen van de sleutel tussen de afzender en de ontvanger. Ook is het in beide gevallen van belang dat de sleutel bij de tijd blijft om voldoende bescherming te blijven bieden. De sleutel dient namelijk de levensduur van de versleutelde gegevens te overleven. Dit betekent dat wat vandaag de dag misschien een afdoende sleutel is, over een jaar al een slechte sleutel kan zijn gelet op de steeds krachtigere rekencapaciteit van computers.
Ook versleutelde persoonsgegevens verwerken is een verwerking
Artikel 4, tweede lid, van de AVG definieert "verwerking" als bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, waaronder "bijwerken of wijzigen". De versleuteling van informatie naar versleutelde tekst ("ciphertext") betekent dat de informatie daarmee wordt "bijgewerkt of gewijzigd". De versleuteling zelf is derhalve een verwerking als bedoeld in de AVG.
Wanneer een entiteit, ongeacht de hoedanigheid als verwerkingsverantwoordelijke of verwerker, versleutelde persoonsgegevens heeft en verantwoordelijk is voor het beheer van de sleutel, is er ook sprake van een verwerking als bedoeld in de AVG. Ook is sprake van een verwerking als bedoeld in de AVG als vervolgens de versleutelde gegevens worden opgeslagen, opgevraagd, geraadpleegd of er anderszins gebruik van wordt gemaakt.
Wanneer encryptie toepassen?
De ICO geeft aan dat encryptie moet worden overwogen als beveiligingsmaatregel in plaats van of naast andere technische en organisatorische maatregelen. Er kunnen branche- of sectorspecifieke regels gelden die een bepaalde (minimum)standaard (bijvoorbeeld de Advanced Encryption Standard (AES)) of een specifiek beleid voorschrijven voor de versleuteling van persoonsgegevens. Encryptie wordt voornamelijk ingezet bij de opslag en bij de doorgifte van persoonsgegevens. Een bekend voorbeeld van een encryptie protocol is HTTPS. HTTPS is een combinatie van HTTP met TLS voor versleutelde communicatie met, en veilige identificatie van, websites. Een veiligere variant op HTTPS is HTTP Strict Transport Security (HSTS). Het voert echter te ver om hier in dit blog uitgebreid bij stil te staan.
Bij versleutelde gegevensoverdracht zonder aanvullende versleutelingsmethoden (zoals versleutelde gegevensopslag) zijn de gegevens alleen tijdens de overdracht ervanversleuteld en mogelijk niet zodra de gegevens zijn aangekomen (en ontsleuteld) op het systeem van de ontvanger. Daarnaast bestaat het risico dat tijdens de overdracht de metadata van de gegevens in een niet-versleutelde vorm worden verzonden. ICO adviseert in dit kader om bij het versturen van persoonsgegevens bijvoorbeeld het Transport Layer Security (TLS protocol, v1.2 of nieuwer) te gebruiken.
Encryptie betekent niet per definitie dat de versleuteling als zodanig genoeg waarborgen biedt tegen ongeautoriseerde of onrechtmatige verwerking. Het is van belang om ervoor te zorgen dat het gebruik van de encryptie genoeg bescherming biedt tegen de risico's die gepaard gaan met de specifieke verwerking en de aard van de (persoons)gegevens. Onder meer een gegevensbeschermingseffectbeoordeling, in het Engels een "Data Protection Impact Assessment" ("DPIA"), maakt het voor bedrijven mogelijk om te bepalen welke mate van encryptie, of andere beveiligingsmaatregelen, zij nodig hebben. Afhankelijk van de aard van de te verwerken gegevens kan, ingevolge artikel 35 van de AVG, een DPIA verplicht zijn om uit te voeren.
Voordeel encryptie: niet altijd een meldingsplicht
Ingevolge artikel 33 van de AVG dient een inbreuk in verband met persoonsgegevens te worden gemeld aan de toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van betrokkenen. Daarnaast volgt uit artikel 34 van de AVG dat de verwerkingsverantwoordelijke de betrokkene(n) moet informeren bij een inbreuk in verband met persoonsgegevens als deze inbreuk waarschijnlijk een hoog risico voor de betrokkenen inhoudt, tenzij de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen heeft genomen en toegepast op de persoonsgegevens die betrokken zijn bij de inbreuk, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling.
Het ICO stelt zich op het standpunt dat bij verlies van een versleutelde dataset wel nog altijd sprake zal kunnen zijn van een risico voor de rechten en vrijheden van betrokkenen als bedoeld in art. 33 van de AVG, waardoor dit gemeld moet worden aan de toezichthoudende autoriteit.
Volgens de ICO betekent dat bij goed versleutelde data er veelal geen sprake zal zijn van een hoog risico voor betrokkenen, waardoor een mededeling aan hen achterwege kan blijven. Voor de verwerkingsverantwoordelijke bestaat dan nog wel de plicht om aan te tonen dat de data in kwestie daadwerkelijk goed versleuteld was. Als de verwerkingsverantwoordelijke hierin slaagt dan moet hij voorts nog wel documenteren waarom hij is overgegaan om betrokkenen niet te informeren.
Kortom, omgaan met goed versleutelde data (op laptops, telefoons, usb sticks, cd's, dvd's, back-up apparaat of server, of bij de (draadloze) overdracht van gegevens) kan in geval van een inbreuk in verband met persoonsgegevens (/datalek) een hoop ellende voor zowel de verwerkingsverantwoordelijke als voor de betrokkene voorkomen.
Risico's
In de handleiding van de ICO wordt nog op enkele risico's gewezen die ondanks versleuteling blijven bestaan: Bijvoorbeeld, niet limitatief, in het geval van:
- Het onbeheerd achterlaten van een versleuteld apparaat terwijl een gebruiker ingelogd is;
- Apparaten die gegevens in versleutelde delen van een harde schijf/server opslaan, wanneer deze versleutelde delen niet zijn afgesloten nadat een gebruiker klaar is met zijn werkzaamheden;
- De aanwezigheid van malware (waaronder een SQL-injectie aanval) op een apparaat; of
- Een Application Programming Interface (API), waarmee toegestaan wordt om inhoud van een website te lezen en bestanden te schrijven op het onderliggende systeem ervan.
Bij al deze voorbeelden wordt het voor een onbevoegde mogelijk om ondanks de versleuteling van de gegevens toch toegang ertoe te krijgen. Het aanpakken van dit soort risico's is daarom een belangrijk onderdeel van een gedegen versleutelingsbeleid. Een versleutelingsbeleid zou ook awareness trainingen voor werknemers moeten omvatten.
Het Britse equivalent van de Autoriteit Persoonsgegevens ("AP"), de Information Commissioner's Office ("ICO"), heeft een handleiding gepubliceerd met betrekking tot de versleuteling van data (encryptie) onder de Algemene Verordening Gegevensbescherming ("AVG"). De handleiding vormt een handig hulpmiddel voor bedrijven die encryptie willen inzetten als technische maatregel om persoonsgegevens te beschermen.
AVG
Persoonsgegevens moeten door middel van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (artikel 5, eerste lid, sub f, AVG). In artikel 32 van de AVG wordt versleuteling (encryptie) genoemd als een van de relevante mogelijk te nemen maatregelen.
Encryptie
Encryptie betekent dat informatie wordt versleuteld om te voorkomen dat onbevoegden de informatie kunnen lezen. Onderscheid wordt gemaakt tussen asymmetrische en symmetrische encryptie. Met asymmetrische encryptie wordt gebruik gemaakt van een sleutelpaar: een geheime en een openbare sleutel. Zonder de geheime sleutel kan de versleutelde informatie niet worden ontsleuteld. Met symmetrische encryptie wordt gebruik gemaakt van een en dezelfde sleutel voor versleuteling en ontsleuteling.
In beide gevallen is het van belang dat een veilige methode wordt gekozen voor het versturen van de sleutel tussen de afzender en de ontvanger. Ook is het in beide gevallen van belang dat de sleutel bij de tijd blijft om voldoende bescherming te blijven bieden. De sleutel dient namelijk de levensduur van de versleutelde gegevens te overleven. Dit betekent dat wat vandaag de dag misschien een afdoende sleutel is, over een jaar al een slechte sleutel kan zijn gelet op de steeds krachtigere rekencapaciteit van computers.
Ook versleutelde persoonsgegevens verwerken is een verwerking
Artikel 4, tweede lid, van de AVG definieert "verwerking" als bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, waaronder "bijwerken of wijzigen". De versleuteling van informatie naar versleutelde tekst ("ciphertext") betekent dat de informatie daarmee wordt "bijgewerkt of gewijzigd". De versleuteling zelf is derhalve een verwerking als bedoeld in de AVG.
Wanneer een entiteit, ongeacht de hoedanigheid als verwerkingsverantwoordelijke of verwerker, versleutelde persoonsgegevens heeft en verantwoordelijk is voor het beheer van de sleutel, is er ook sprake van een verwerking als bedoeld in de AVG. Ook is sprake van een verwerking als bedoeld in de AVG als vervolgens de versleutelde gegevens worden opgeslagen, opgevraagd, geraadpleegd of er anderszins gebruik van wordt gemaakt.
Wanneer encryptie toepassen?
De ICO geeft aan dat encryptie moet worden overwogen als beveiligingsmaatregel in plaats van of naast andere technische en organisatorische maatregelen. Er kunnen branche- of sectorspecifieke regels gelden die een bepaalde (minimum)standaard (bijvoorbeeld de Advanced Encryption Standard (AES)) of een specifiek beleid voorschrijven voor de versleuteling van persoonsgegevens. Encryptie wordt voornamelijk ingezet bij de opslag en bij de doorgifte van persoonsgegevens. Een bekend voorbeeld van een encryptie protocol is HTTPS. HTTPS is een combinatie van HTTP met TLS voor versleutelde communicatie met, en veilige identificatie van, websites. Een veiligere variant op HTTPS is HTTP Strict Transport Security (HSTS). Het voert echter te ver om hier in dit blog uitgebreid bij stil te staan.
Bij versleutelde gegevensoverdracht zonder aanvullende versleutelingsmethoden (zoals versleutelde gegevensopslag) zijn de gegevens alleen tijdens de overdracht ervanversleuteld en mogelijk niet zodra de gegevens zijn aangekomen (en ontsleuteld) op het systeem van de ontvanger. Daarnaast bestaat het risico dat tijdens de overdracht de metadata van de gegevens in een niet-versleutelde vorm worden verzonden. ICO adviseert in dit kader om bij het versturen van persoonsgegevens bijvoorbeeld het Transport Layer Security (TLS protocol, v1.2 of nieuwer) te gebruiken.
Encryptie betekent niet per definitie dat de versleuteling als zodanig genoeg waarborgen biedt tegen ongeautoriseerde of onrechtmatige verwerking. Het is van belang om ervoor te zorgen dat het gebruik van de encryptie genoeg bescherming biedt tegen de risico's die gepaard gaan met de specifieke verwerking en de aard van de (persoons)gegevens. Onder meer een gegevensbeschermingseffectbeoordeling, in het Engels een "Data Protection Impact Assessment" ("DPIA"), maakt het voor bedrijven mogelijk om te bepalen welke mate van encryptie, of andere beveiligingsmaatregelen, zij nodig hebben. Afhankelijk van de aard van de te verwerken gegevens kan, ingevolge artikel 35 van de AVG, een DPIA verplicht zijn om uit te voeren.
Voordeel encryptie: niet altijd een meldingsplicht
Ingevolge artikel 33 van de AVG dient een inbreuk in verband met persoonsgegevens te worden gemeld aan de toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van betrokkenen. Daarnaast volgt uit artikel 34 van de AVG dat de verwerkingsverantwoordelijke de betrokkene(n) moet informeren bij een inbreuk in verband met persoonsgegevens als deze inbreuk waarschijnlijk een hoog risico voor de betrokkenen inhoudt, tenzij de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen heeft genomen en toegepast op de persoonsgegevens die betrokken zijn bij de inbreuk, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling.
Het ICO stelt zich op het standpunt dat bij verlies van een versleutelde dataset wel nog altijd sprake zal kunnen zijn van een risico voor de rechten en vrijheden van betrokkenen als bedoeld in art. 33 van de AVG, waardoor dit gemeld moet worden aan de toezichthoudende autoriteit.
Volgens de ICO betekent dat bij goed versleutelde data er veelal geen sprake zal zijn van een hoog risico voor betrokkenen, waardoor een mededeling aan hen achterwege kan blijven. Voor de verwerkingsverantwoordelijke bestaat dan nog wel de plicht om aan te tonen dat de data in kwestie daadwerkelijk goed versleuteld was. Als de verwerkingsverantwoordelijke hierin slaagt dan moet hij voorts nog wel documenteren waarom hij is overgegaan om betrokkenen niet te informeren.
Kortom, omgaan met goed versleutelde data (op laptops, telefoons, usb sticks, cd's, dvd's, back-up apparaat of server, of bij de (draadloze) overdracht van gegevens) kan in geval van een inbreuk in verband met persoonsgegevens (/datalek) een hoop ellende voor zowel de verwerkingsverantwoordelijke als voor de betrokkene voorkomen.
Risico's
In de handleiding van de ICO wordt nog op enkele risico's gewezen die ondanks versleuteling blijven bestaan: Bijvoorbeeld, niet limitatief, in het geval van:
- Het onbeheerd achterlaten van een versleuteld apparaat terwijl een gebruiker ingelogd is;
- Apparaten die gegevens in versleutelde delen van een harde schijf/server opslaan, wanneer deze versleutelde delen niet zijn afgesloten nadat een gebruiker klaar is met zijn werkzaamheden;
- De aanwezigheid van malware (waaronder een SQL-injectie aanval) op een apparaat; of
- Een Application Programming Interface (API), waarmee toegestaan wordt om inhoud van een website te lezen en bestanden te schrijven op het onderliggende systeem ervan.
Bij al deze voorbeelden wordt het voor een onbevoegde mogelijk om ondanks de versleuteling van de gegevens toch toegang ertoe te krijgen. Het aanpakken van dit soort risico's is daarom een belangrijk onderdeel van een gedegen versleutelingsbeleid. Een versleutelingsbeleid zou ook awareness trainingen voor werknemers moeten omvatten.