AP aanbevelingen voor organisaties

In de Datalekkenrapportage 2021 geeft de Autoriteit Persoonsgegevens (AP) inzicht in de in 2021 gemelde datalekken. In een eerdere bijdrage hebben wij de belangrijkste conclusies al gedeeld. Op de zes aanbevelingen voor organisaties  gaan wij in deze bijdrage nader in.

In de rapportage stelt de AP het volgende:

Zes aanbevelingen voor organisaties

Besteedt u als organisaties (een deel van) uw ICT uit aan een of meerdere IT-leveranciers? Dan kunt u zelf maatregelen treffen om de impact van een datalek bij uw IT-leverancier(s) te verkleinen. Daarnaast kunt u vooraf maatregelen nemen om ervoor te zorgen dat u de meldplicht datalekken adequaat kunt naleven. De AP heeft hiervoor zes aanbevelingen:

1. Schakel alleen IT-leveranciers in die genoeg garanties geven voor passende technische en organisatorische U kunt daarbij letten op eventuele certificering van de IT-leverancier. Let op: u blijft als verwerkingsverantwoordelijke volgens de AVG verantwoordelijk voor de beveiliging van persoonsgegevens, ook als u de beveiliging volledig aan de IT-leverancier heeft uitbesteed.
2. Pas dataminimalisatie toe en controleer de naleving. De AP ziet nog te vaak dat bij cyberaanvallen gegevens worden getroffen waarvan de bewaartermijn is overschreden en die dus al gewist hadden moeten zijn.
3. Leg in de verwerkersovereenkomst concrete afspraken vast over de hulp die de IT-leverancier geeft bij naleving van de meldplicht datalekken. In de verwerkersovereenkomst maakt u afspraken over het verwerken van persoonsgegevens en de beveiliging daarvan.
4. Controleer periodiek of de IT-leverancier de verwerkersovereenkomst naleeft.
5. Maak een actieplan melding datalekken om de termijnen na te leven. De AVG vereist snel handelen. De IT-leverancier moet u zo snel mogelijk informeren over een datalek. U moet het vervolgens binnen 72 uur nadat u hiervan op de hoogte bent geraakt, melden bij de AP. De slachtoffers moet u direct informeren.
6. Zorg voor een zorgvuldig opgesteld en goed bijgehouden verwerkingsregister, zowel bij uzelf als bij de verwerker. Het verwerkingsregister helpt u een snelle inschatting te maken welke organisaties en categorieën van persoonsgegevens zijn geraakt bij een datalek. Zo wordt het eenvoudiger om de gevolgen voor de slachtoffers in kaart te brengen.

Bron: Datalekkenrapportage 2021 van de Autoriteit Persoonsgegevens

De aanbevelingen – uitwerking

De aanbevelingen bevatten eigenlijk geen nieuws, omdat al deze zaken al onderdeel zijn (of hadden moeten zijn) van het privacy beleid van en de implementatie van de AVG binnen organisaties. Op basis van de analyse van de gemelde datalekken in 2021 komt de AP echter tot deze aanbevelingen. Mijn conclusie is dat deze punten veelvuldig als zwakte naar voren zijn gekomen bij de analyse van de datalekken.

Voor pensioenfondsen als verwerkingsverantwoordelijken kan dit een tip zijn om die zaken goed te regelen in het kader van de Integere Bedrijfsvoering en het beschermen van de persoonsgegevens van hun deelnemers.

1 – Garanties

In het uitbestedingsbeleid liggen veelal criteria vast die bij de selectie van leveranciers gehanteerd moeten worden. Aanbeveling 1 voegt hier de suggestie aan toe om te kijken naar de garanties die potentiële leveranciers zouden moeten afgeven voor ‘passende technische en organisatorische beveiligingsmaatregelen’. De AP noemt certificering als voorbeeld. Let wel, het fonds blijft verantwoordelijk voor de beveiliging. Dat betekent dat het fonds ten eerste zélf moet aangeven wat ‘passend’ is, wat de norm c.q. vereiste is van het fonds. En ten tweede moet het fonds periodiek vaststellen dat aan de afgesproken vereisten is voldaan (leveranciersmanagement). Een certificering of een accountantsverklaring kan hiervoor de basis vormen. Fondsen moeten wel zelf beoordelen of de ontvangen certificering of accountantsrapportage afdoende is en aansluit bij de intern geformuleerde eisen. Vergeet ook niet om dit in de bestuursnotulen vast te leggen.

2 – dataminimalisatie 

In het privacy beleid zal dataminimalisatie ook een plaats moeten hebben (aanbeveling 2). Het hanteren van bewaartermijnen is een van de onderdelen van dataminimalisatie. Dat is een weerbarstig en lastig onderwerp. Met de veelheid van (legacy) systemen voor de diverse onderdelen voor pensioenadministratie is dataminimalisatie in het algemeen en het hanteren van bewaartermijnen in het bijzonder een lastige exercitie: in welke systemen zijn welke gegevens opgenomen? En gegevens die in back-ups van systemen zijn opgenomen vormen daarbij een extra hindernis. Maar dit is geen reden om dit topic maar te laten lopen: de AP maakt expliciet hierover een kritische opmerking.

Het is de vraag of het toetsen op naleving een afdoende plaats heeft in het privacy beleid. Voor naleving van verwijderen van gegevens geldt dit in het bijzonder: dit is voor alle betrokkenen lastig aan te tonen en te controleren (zie ook onder 4). Het fonds kan een dergelijke toets invullen door een privacy audit te laten uitvoeren op haar PUO. Hiermee kunnen uiteraard meer onderwerpen worden getoetst dan alleen dataminimalisatie. Als de PUO zelf een privacy audit laat uitvoeren zal het fonds zich moeten vergewissen dat de audit op deskundige wijze en door een geschikte partij is uitgevoerd en dat de scope aansluit bij de wensen en behoeften van het fonds. Je wilt immers wel zekerheid hebben of je als fondsbestuur kunt vertrouwen op de uitkomsten van de betreffende audit.

3 – Verwerkersovereenkomst

De AP benadrukt dat in verwerkersovereenkomsten concrete afspraken zouden moeten staan over de hulp die leveranciers moeten bieden bij de naleving van de meldplicht voor datalekken. Een duidelijke tip, ook al heeft de AP daar in haar 2021 rapportage enkele kritische bevindingen over (zie ook onze eerdere bijdrage).

4 – Controle op naleving

De AP benoemt expliciet de toets op naleving van de verwerkersovereenkomst. Dit is een bredere toetsing dan onder aanbeveling 1 en 2 al was benoemd. Een eerste stap voor pensioenfondsen zou kunnen zijn om bij hun verwerkersovereenkomsten te bepalen hoe de verschillende onderdelen zouden kunnen worden getoetst. Een risico-gebaseerde aanpak ligt hier niet voor de hand, omdat de verwerkingsverantwoordelijke aan alle aspecten van de AVG moet voldoen.

Vervolgens kan het fonds in gesprek met de PUO over de wijze waarop de PUO kan rapporteren over de naleving en eventuele externe toetsing daarvan.

Daarna kan het fonds de desbetreffende periodieke rapportage opnemen in haar leveranciersmanagement.

5 – Actieplan datalekken

Uit het rapport blijkt dat leveranciers de tendens hebben eerst uitgebreid onderzoek te doen naar aard van een datalek, de mogelijke oorzaken en de vereiste maatregelen, voordat tot melding wordt overgegaan aan de verwerkingsverantwoordelijke. De AP benadrukt dat de verwerkingsverantwoordelijke alles in het werk moet stellen om zo snel mogelijk te worden geïnformeerd om zo snel mogelijk (uiterlijk binnen 72 uur na vaststelling van een datalek) aan de AP te melden en zo nodig ook de slachtoffers te informeren. Het eerst uitgebreid onderzoeken en nemen van maatregelen voordat gemeld wordt, kan niet op de goedkeuring van de AP rekenen. Als er na de eerste ontdekking van een (mogelijk) datalek een behoefte of noodzaak bestaat om nader onderzoek te doen, dan kan een voorlopige melding de noodzakelijke tijdwinst opleveren om een nadere analyse uit te kunnen voeren zonder overschrijding van de 72 uur-tijdslimiet.

Pensioenfondsen zouden hun afspraken met de PUO en de interne datalek-protocollen hier op moeten naslaan en beoordelen of deze in lijn zijn met de aanbevelingen van de AP.

6 – Verwerkingsregister 

De AP benadrukt het belang van een up-to-date verwerkingsregister (eigen en bij de PUO) als hulpmiddel bij het inschatten van organisaties en categorieën persoonsgegevens die bij een datalek zijn geraakt en daarmee de inschatting van de gevolgen voor de slachtoffers. Aandachtspunt hierbij is het eigen verwerkingsregister. Het is aanlokkelijk om dat van de PUO over te nemen, maar het fonds heeft ook een eigen verwerking van persoonsgegevens zoals van leden van bestuursorganen en medewerkers van het bestuursbureau. Wel kan eventueel de afspraak gemaakt worden dat het verwerkingsregister van de PUO als aanvulling dient op het eigen verwerkingsregister van het fonds. Daarmee wordt een foutgevoelig handmatig ‘knip-en-plak’ traject van het register van de PUO in het eigen register van het fonds voorkomen. Als voor een bepaalde oplossing gekozen wordt, moet die onderbouwd worden vastgelegd ten behoeve van de audittrail.

De aanbevelingen – wat hebben we er vandaag aan? 

In de kern zijn de aanbevelingen van de AP niet echt nieuw; het zijn bestaande onderdelen van de wet- en regelgeving rond de AVG en de wijze waarop organisaties daaraan uitvoering moeten geven. Wel leggen de aanbevelingen de vinger op een aantal zere plekken, waar de AP observeert en constateert dat de werkelijkheid nog niet helemaal in lijn is met hoe het zou moeten zijn. Praktische tips, die zeker hun nut hebben bij de periodieke boordeling die fondsen doen op hun privacy beleid en de implementatie daarvan. De AP houdt ons hier een spiegel voor.

De aanbevelingen – wat hebben we er in de toekomst aan? 

We schreven het al eerder: het nieuwe pensioenstelsel lijkt voor compliance en privacy officers nieuwe wijn in oude zakken. Maar, in hoeverre geven deze zes aanbevelingen een handvat voor de bewaking van de privacy van de deelnemers in het pensioenfonds in het nieuwe pensioenstelsel?

Ik zie dan in de aanbevelingen een aantal nuttige tips:

• Zorg bij de overgang naar een nieuw systeem binnen de PUO of de overgang naar een andere PUO vooraf voor afdoende garanties over de technische en organisatorische beveiligingsmaatregelen. Met het oog op de transitie naar het nieuwe pensioenstelsel moet je de vraag stellen of garanties die gelden voor de huidige situatie, nog integraal en ongewijzigd gegeven (kunnen) blijven worden door IT- leveranciers op het moment dat IT-systemen moeten worden aangepast of vervangen. Cloudverwerking en verwerking in derde landen kan daarbij ook een rol spelen. Als u signalen krijgt dat dit tot problemen kan leiden is het verstandig om daar tijdig op in te spelen om de continuïteit van de dienstverlening te waarborgen. (aanbeveling 1)
• Leg in de nieuwe verwerkersovereenkomst of in de update ven de bestaande vast hoe de leverancier gaat voldoen aan alle AVG-vereisten, hoe hij ondersteunt bij datalekken, hoe hij daarover gaat rapporteren en welke assurance daarbij moet worden vertrekt (aanbevelingen 1, 2 en 4)
• Review het verwerkingsregister (aanbeveling 3):
  • Zijn de gegevens die niet door de PUO worden verwerkt adequaat opgenomen
  • Heeft de PUO een nieuwe versie opgeleverd voor het nieuwe systeem
• Review het datalekkenprotocol (aanbevelingen 3 en 5):
  • Is er een protocol voor datalekken binnen bestuursorganen en het bestuursbureau
  • Is het protocol voor datalekken binnen de PUO gericht op snel melden en adequaat informeren en liggen de juiste verantwoordelijkheden van de PUO vast in de verwerkersovereenkomst

De AP biedt ons hier eigenlijk een kristallen bol waarmee we naar (een stukje van) de invoering van het nieuwe pensioenstelsel kunnen kijken.

Take away voor pensioenfondsen

Pensioenfondsen kunnen de aanbevelingen van de AP gebruiken om nog eens kritisch naar hun privacy beleid en processen te kijken. De AP is duidelijk in haar focus op tijdig melden van datalekken en  adequaat en tijdig informeren van slachtoffers. Verwerkingsverantwoordelijken zullen in het datalekkenprotocol bij hun interne afwegingen hiermee rekening moeten houden.

Bij de andere aanbevelingen, die partijen ter hand moeten nemen, ligt ook een directe link naar de eisen die verwerkingsverantwoordelijken kunnen/moeten stellen bij de invoering van het nieuwe pensioenstelsel. Let wel, deze zes aanbevelingen vormen geen complete set van eisen. We zullen daar in een latere bijdrage op terugkomen.