Vergroot contrast
  1. Beveiliging
  2. Beveiliging van persoonsgegevens

Beveiliging van persoonsgegevens

Gemiddeld zit iemand met zijn gegevens in honderden tot duizenden bestanden, zowel van het bedrijfsleven als van de overheid. Iedereen moet erop kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens. Bijvoorbeeld voor identiteitsfraude.

Actueel: corona

Bent u op zoek naar informatie over hoe u veilig kunt thuiswerken tijdens de coronacrisis? Kijk dan bij Veilig thuiswerken tijdens corona.

Maatregelen voor beveiliging

Bedrijven en overheden die persoonsgegevens gebruiken moeten deze volgens de Algemene verordening gegevensbescherming (AVG) beveiligen. Zo voorkomen ze datalekken.

Volgens de AVG moeten bedrijven en overheden hiervoor passende technische en organisatorische maatregelen nemen:

  • Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen.
  • Verder moeten ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. En beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn.

Als organisaties andere partijen inschakelen om persoonsgegevens te verwerken, dan moeten deze verwerkers voldoende maatregelen treffen om de gegevens te beveiligen. Organisaties die gegevensverwerking door een verwerker laten uitvoeren, blijven verantwoordelijk voor de naleving van de AVG.  

Datalekregister en meldplicht datalekken

Iedere organisatie moet een datalekregister bijhouden. Heeft een organisatie een ernstig datalek? Dan moet de organisatie het datalek direct melden bij de Autoriteit Persoonsgegevens en soms ook aan de mensen van wie gegevens zijn gelekt.

Nieuws

Alle nieuwsberichten over het onderwerp 'Beveiliging van persoonsgegevens'

Alle antwoorden op mijn vragenVragen van organisaties over beveiliging

  • Mag ik persoonsgegevens delen via e-mail, app, cloudprovider x?

    In de Algemene verordening gegevensbescherming (AVG) staat niet expliciet dat het gebruik van deze diensten verboden is. Wel kan het in sommige gevallen als een ‘gebrek aan beveiliging’ worden gezien.

    Bijvoorbeeld wanneer u gevoelige persoonsgegevens opslaat in een gratis clouddienst. En deze dienst gratis is omdat de aanbieder uw gegevens verkoopt aan onbekende derden voor marketingdoeleinden.

    Of het gebruik van deze diensten in uw situatie passend is, is volledig afhankelijk van uw risicoanalyse en totale beveiligingsplan.

    Zie ook

  • Hoe kan ik veilig persoonsgegevens via e-mail versturen?

    Aan het verzenden van informatie via e-mail zitten risico’s. Dus wilt u persoonsgegevens via e-mail versturen? Bijvoorbeeld gegevens over uw klanten, burgers of andere relaties? Dan bent u er als organisatie verantwoordelijk voor dat u die gegevens veilig verstuurt.

    U moet voor e-mail maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. In de wet staat niet precies omschreven welke maatregelen u moet treffen. Wel dat deze passend moeten zijn. Wij geven u hieronder twee voorbeelden van passende maatregelen.

    1. Het versleutelen van de persoonsgegevens in een e-mailbijlage.
    2. Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaard(en). Voorbeelden van moderne internetstandaarden zijn DANE, DKIM, PGP, S/MIME, SPF en STARTTLS.

    Meer informatie van het NCSC

    Meer informatie over veilige internetstandaarden vindt u op de website van het Nationaal Cyber Security Centrum (NCSC):

    E-mailtest

    Wilt u weten of uw e-mailvoorziening de moderne internetstandaarden ondersteunt? Doe dan de e-mailtest op de website van internet.nl.

  • Moet ik registreren (loggen) wie toegang heeft gehad tot gegevens?

    In de Algemene verordening gegevensbescherming (AVG) staat niet expliciet dat het loggen van wie toegang heeft gehad tot persoonsgegevens verplicht is. Wel is het in de meeste gevallen een noodzakelijke beveiligingsmaatregel.

    Inzicht in uw systemen

    Als organisatie moet u de persoonsgegevens die u verwerkt passend beveiligen. Door middel van logging worden gebeurtenissen op uw systemen vastgelegd. Bijvoorbeeld, wie bepaalde gegevens heeft bekeken of aangepast. Maar ook pogingen om ongeautoriseerd toegang te krijgen.

    Door de logbestanden regelmatig te controleren of automatisch te analyseren, kunt u bijvoorbeeld inbreuken op de beveiliging ontdekken. Ook kunt u datalekken signaleren. Of juist uitsluiten dat er een datalek is geweest.

    Vervolgacties bepalen

    Op basis van de verkregen informatie uit het loggen, kunt u efficiënter in actie komen bij een datalek. En/of bepalen welke aanvullende technische en organisatorische maatregelen u moet treffen.

    Uitzonderingen

    In sommige sectoren is logging wel verplicht. Het gaat dan om situaties waarin er met gevoelige persoonsgegevens wordt gewerkt. Zoals in de zorg.

  • Moet ik altijd https gebruiken voor mijn website?

    Als u persoonsgegevens verzamelt via uw website, moet u in ieder geval https gebruiken. Zo voorkomt u dat onbevoegde derden mee kunnen lezen met het verkeer naar uw website.

    Er zijn organisaties bij wie u een https-certificaat kunt aanvragen. Tip: vraag advies aan uw webhost.

  • Hoe weet ik of moderne internetstandaarden goed geconfigureerd zijn voor mijn website?

    Dat kunt u zelf controleren via www.internet.nl.

    Voer uw website-adres in op deze site. U krijgt onmiddellijk een analyse van de verbeterpunten.

    Zo kunt u eenvoudig controleren of uw internetverbinding, e-mail en website wel voldoen aan moderne internetstandaarden. Bijvoorbeeld aan de internetstandaard https.

    Internet.nl is een initiatief van de Internetgemeenschap en de Nederlandse overheid.

  • Wat is meerfactorauthenticatie?

    Authenticatie is het proces waarbij de identiteit van een gebruiker wordt gecontroleerd. Meerfactorauthenticatie is een vorm van (toegangs)beveiliging waarbij de gebruiker zich met een combinatie van minimaal twee verschillende typen authenticatiefactoren moet authentiseren om toegang te krijgen tot een computer, (besturings)systeem of applicatie.

    Authenticatiefactoren

    Drie mogelijke authenticatiefactoren zijn:

    • Iets wat de gebruiker weet. Bijvoorbeeld een wachtwoord, een pincode of de beantwoording op een beveiligingsvraag.
    • Iets wat de gebruiker heeft. Bijvoorbeeld een telefoon of een token.
    • Iets wat de gebruiker is. Bijvoorbeeld een biometrisch gegeven zoals een vingerafdruk, spraakherkenning of gezichtsherkenning.

    Geen meerfactorauthenticatie

    Een combinatie van hetzelfde type authenticatiefactor is géén meerfactorauthenticatie. Bijvoorbeeld wanneer er meerdere combinaties van gebruikersnamen en wachtwoorden nodig zijn om toegang te krijgen.

    Gebruikersnamen en wachtwoorden vallen beide binnen het type authenticatiefactor ‘iets wat de gebruiker weet’, waardoor deze combinaties niet als meerfactorauthenticatie kwalificeren.

    Over het algemeen zijn de volgende voorbeelden géén authenticatiefactoren voor het gebruik van een computer of applicatie:

    • een toegangspas waarmee toegang wordt verkregen tot een ruimte waar meerdere mensen toegang hebben;
    • een unieke telefoon of unieke computer (tenzij de mobiele telefoon een tijdelijk paswoord of wachtwoord genereert of gebruik maakt van een ingebouwde authenticatiefactor);
    • een uniek IP-adres.

    Voorbeelden meerfactorauthenticatie

    Voorbeelden van meerfactorauthenticatie zijn:

    • de combinatie van het gebruik van een wachtwoord én een eenmalig te gebruiken paswoord of wachtwoord (token) per sms;
    • de combinatie van een vingerafdruk én een wachtwoord;
    • de combinatie van een irisscan én een smartcard als token;
    • het gebruik van een app of hardwaretoken die wisselende wachtwoorden genereert in combinatie met een wachtwoord of pincode.

    Meer informatie

  • Moet ik betrokkenen laten weten wie toegang heeft gehad tot hun gegevens?

    Ja. Een betrokkene (degene van wie u als organisatie persoonsgegevens verwerkt) heeft het recht om te vragen wie binnen uw organisatie toegang heeft gehad tot zijn gegevens.

    Vraagt een betrokkene, zoals een patiënt van uw zorginstelling of een inwoner van uw gemeente, wie toegang heeft gehad tot zijn gegevens? Dan verstrekt u een overzicht van (categorieën van) medewerkers die toegang hebben gehad. U stelt dit overzicht samen op basis van uw logbestanden.

  • Wat is pseudonimiseren?

    Pseudonimiseren is een beveiligingsmaatregel waarbij persoonsgegevens worden verwerkt zonder dat daarbij duidelijk wordt over welke personen de gegevens gaan. Bij pseudonimiseren van persoonsgegevens kunnen gegevens alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens.

    Pseudonimisering van persoonsgegevens is een verwerking van persoonsgegevens waarbij u zich nog steeds moet houden aan de Algemene verordening gegevensbescherming (AVG).

    Bij pseudonimisering moet u technische en organisatorische maatregelen nemen om ervoor te zorgen dat onbevoegden de koppeling met het bestand met aanvullende gegevens niet kunnen maken.  

    Houd rekening met externe bronnen

    Bij pseudonimisering moet u rekening houden met informatie uit externe bronnen als de Basisregistratie Personen, de Kamer van Koophandel, het Kadaster, de Telefoongids, Facebook en Twitter. En met de ontwikkeling van nieuwe databronnen en -methoden.

    Bevatten de gepseudonimiseerde gegevens een locatie, datum en tijd? Dan kan er mogelijk een koppeling worden gemaakt met bijvoorbeeld beschikbare camerabeelden of pintransacties.

    Ook moet u als verwerkingsverantwoordelijke rekening houden met de ontwikkeling van nieuwe databronnen en -methoden waarmee pseudonieme gegevens alsnog te herleiden kunnen zijn.

    Pseudonimisering is geen anonimisering

    Zijn de gegevens volledig geanonimiseerd? Dan is de AVG niet meer van toepassing. 

    Geanonimiseerde gegevens zijn gegevens die helemaal geen betrekking meer hebben op individuen. Er mogen bij anonimisering dus géén aanvullende gegevens beschikbaar zijn waarmee iemand alsnog een koppeling kan maken met een specifiek persoon.

Alle antwoorden op mijn vragenVragen van organisaties over testen

  • Mag ik testen met persoonsgegevens bij de ontwikkeling van een systeem of applicatie?

    Dat is niet aan te raden. Testen is een complex proces, waarvoor zorgvuldigheid en meerdere gescheiden omgevingen nodig zijn. Het testen met persoonsgegevens brengt namelijk risico’s met zich mee.

    Aparte grondslag

    De mensen van wie u persoonsgegevens verwerkt, verwachten niet dat u hun gegevens ook voor testdoeleinden gaat gebruiken. Dat betekent onder meer dat u voor het testen een aparte grondslag moet hebben.

    Niet noodzakelijk

    Verder is het vaak niet noodzakelijk om te testen met persoonsgegevens, omdat er meestal alternatieven mogelijk zijn. Dat is een van de redenen dat testen met persoonsgegevens moeilijk in overeenstemming te brengen is met de AVG.

    Eind van het proces

    Pas aan het einde van een ontwikkel- en testproces kunt u, bij de transitie of conversie, persoonsgegevens in het nieuwe systeem inlezen. En ook die verwerking moet zeer zorgvuldig gebeuren.

  • Welke gegevens kan ik wel gebruiken om testen uit te voeren?

    U kunt bijvoorbeeld onderzoeken of er synthetische gegevens of testdata (‘dummy data’) beschikbaar zijn. Stel daarbij altijd vast dat de dataset die u wilt gebruiken niet alsnog persoonsgegevens bevat. 

    De Rijksdienst voor Identiteitsgegevens biedt bijvoorbeeld een reeks test-burgerservicenummers aan. 

    Wilt u testen of een nieuw systeem of een nieuwe applicatie dezelfde uitkomsten genereert als het oude systeem of de oude applicatie? Ook dan kunt u in beide applicaties vaak testdata inzetten.

Alle antwoorden op mijn vragenVragen van organisaties over hashing

  • Wat is hashing?

    Hashing is het toepassen van een berekening (cryptografische hashfunctie) om gegevens van verschillende omvang te veranderen naar gegevens met dezelfde omvang.

    Hashing kan een tabel met grote en kleine gegevens veranderen in een tabel met gegevens met dezelfde lengte, bijvoorbeeld 64 karakters. Dit proces kan makkelijk de ene kant op (naar de hashwaardes), maar is bedoeld om het moeilijker te maken de andere kant op te gaan (naar de oorspronkelijke waardes).

    Cryptografische hashfuncties (zoals SHA en MD5) zijn zo ontworpen dat er voor verschillende invoergegevens zo min mogelijk dubbeling ontstaat van dezelfde hashwaarden.

    Als je één hashwaarde ziet, kun je niet raden wat de invoer was. Behalve door verschillende invoergegevens te proberen, net zo lang totdat je de gezochte hashwaarde tegenkomt.

    Gebruik hashing

    Organisaties kunnen hashing gebruiken als methode om persoonsgegevens te pseudonimiseren. Gegevens als BSN, telefoonnummer, IP-adres of e-mailadres vervangen zij dan door een hash.

  • Zijn gehashte persoonsgegevens anoniem?

    Gehashte persoonsgegevens zijn meestal niet anoniem. Cryptografische hashmethoden zijn ontworpen om het zo moeilijk mogelijk te maken om van een hashwaarde terug te rekenen naar het oorspronkelijke gegeven. Maar in de praktijk blijkt dat het toch mogelijk is om gehashte persoonsgegevens te herleiden naar een individu.

    Dat betekent dat u zich als verwerkingsverantwoordelijke ook bij hashing aan de Algemene verordening gegevensbescherming (AVG) moet houden.

    Dit zijn de drie meest voorkomende redenen waarom gehashte persoonsgegevens vaak niet anoniem zijn:

    1. Oorspronkelijke gegevens vaak nog beschikbaar

    Ten eerste zijn gegevens niet anoniem zolang de oorspronkelijke gegevens nog beschikbaar zijn. Door alle oorspronkelijke gegevens opnieuw te hashen en de pseudoniemen naast de oorspronkelijke gegevens op te slaan, is een koppeltabel te maken. 

    Met deze koppeltabel kan iemand alsnog een link leggen tussen de pseudonieme gegevens en de oorspronkelijke gegevens. In de praktijk blijkt dat dit vaak mogelijk is. Er is dan sprake van pseudonimisering en niet van anonimisering.

    2. Hashwaardes zijn te reproduceren

    Ten tweede kunt u de oorspronkelijke gegevens herleiden uit een nieuwe berekening van de hashwaardes van alle mogelijke oorspronkelijke gegevens, een zogenoemde brute force attack. Net zo lang totdat u een match heeft. Ieder uniek gegeven heeft namelijk een eigen unieke hashwaarde die onveranderlijk is.

    Ter illustratie: u heeft een lijst met een aantal gehashte Nederlandse mobiele telefoonnummers. Iemand zou dan alle mobiele telefoonnummers in Nederland kunnen hashen en de hashwaardes vergelijken met uw lijst. Gelet op de rekenkracht van computers is dit ook een risico voor gegevens zoals BSN’s en IP-adressen.

    3. Beschikbaarheid van aanvullende informatie

    Ten derde slaan organisaties pseudoniemen vaak op in combinatie met aanvullende informatie. Wanneer deze aanvullende informatie onderscheidend genoeg is, is het mogelijk om deze informatie te gebruiken om gepseudonimiseerde gegevens te herleiden naar individuele personen.

    Een geboortedatum in combinatie met de vier cijfers van een postcode is bijvoorbeeld vaak uniek genoeg om een persoon te herleiden met  informatie uit de Basisregistratie Personen.

    Houd rekening met externe bronnen

    U moet bij de herleidbaarheid ook rekening houden met beschikbare informatie uit externe bronnen. Zoals de Basisregistratie Personen, de Kamer van Koophandel, het Kadaster, de Telefoongids, Facebook en Twitter.

    Als de gepseudonimiseerde gegevens een locatie, datum en tijd bevatten, kan er mogelijk een koppeling worden gemaakt met bijvoorbeeld beschikbare camerabeelden of pintransacties.

    Ook moet u als verwerkingsverantwoordelijke rekening houden met de ontwikkeling van nieuwe databronnen en -methoden waarmee pseudonieme gegevens alsnog te herleiden kunnen zijn.

    Afknippen van hashes

    Wilt u persoonsgegevens anonimiseren door de gegevens te hashen en vervolgens af te knippen? Let dan op dat u voldoende afknipt.

    Te weinig afknippen van hashwaardes laat namelijk unieke identificatoren achter. En dan is er dus géén sprake van geanonimiseerde gegevens.

    Zie verder: Techblogpost: Praktische problemen bij het afknippen van hashes.

  • Hoe werkt hashing met salt?

    Hashing is een techniek die u kunt gebruiken om persoonsgegevens te pseudonimiseren. Door een salt toe te voegen, kunt u het herleiden van een hashwaarde moeilijker maken voor personen die geen kennis hebben van de gebruikte salt.

    Een salt is een waarde die u toevoegt aan de berekening van elke afzonderlijke hash. Onbevoegden die de oorspronkelijke persoonsgegevens willen herleiden, moeten dan niet alleen de hashwaarde achterhalen maar ook nog eens de salt.

    Het toevoegen van een goede salt is een beveiligingsmaatregel die voorkomt dat onbevoegden zomaar data kunnen koppelen aan individuele personen.

    Een goede salt

    Een goede salt bestaat uit een lange reeks karakters die willekeurig zijn samengesteld. Bijvoorbeeld met een cryptografische random number generator

    Want als de salt voorspelbaar is, kunnen de gegevens alsnog te herleiden zijn. Bijvoorbeeld als de salt heel kort is of gebaseerd is op de datum.

    Salts vernietigen en vervangen

    Wanneer u de salt vernietigt of vervangt door een andere salt, leidt de overgebleven hashwaarde niet meer tot dezelfde pseudoniemen.

    Heeft u als verwerkingsverantwoordelijke het recht om bepaalde persoonsgegevens gedurende 24 uur te verwerken? Dan kunt u kiezen voor een rotating salt. U vernietigt dan elke 24 uur de saltwaarde en vervangt deze door een nieuwe waarde.

    Let op: ook met gebruik van een salt is er vaak nog steeds sprake van pseudonimisering en niet van anonimisering. U verwerkt dan dus nog steeds persoonsgegevens en moet zich aan de Algemene verordening gegevensbescherming (AVG) houden.

Alle antwoorden op mijn vragenVragen over beveiliging van persoonsgegevens

  • Wat moet een organisatie doen om mijn persoonsgegevens te beveiligen?

    Heeft een organisatie, bijvoorbeeld een webwinkel waar u iets heeft gekocht, uw persoonsgegevens? Dan is deze organisatie verplicht om passende maatregelen te nemen om uw gegevens te beschermen.

    Niet meer gegevens gebruiken dan nodig

    De organisatie moet ervoor zorgen dat deze niet méér persoonsgegevens verzamelt en verder gebruikt dan echt nodig is.

    Bijvoorbeeld door, waar mogelijk, uw naam en andere identificerende kenmerken uit uw gegevens te verwijderen.

    Ook heeft de organisatie lang niet altijd al uw persoonsgegevens nodig voor een bepaald doel, zoals het versturen van een rekening.

    Toegang tot gegevens beperken

    Ook moet de organisatie de toegang tot uw persoonsgegevens beperken.

    Hoe meer personen toegang hebben tot de gegevens, hoe groter de kans op misbruik.

    Zo moeten zorginstellingen, zoals ziekenhuizen, ervoor zorgen dat uitsluitend bevoegde medewerkers toegang hebben tot digitale patiëntendossiers.

    Moderne beveiligingstechniek gebruiken

    De organisatie moet uw persoonsgegevens beveiligen in overeenstemming met de stand van de techniek.

    Dit houdt in dat de organisatie geen verouderde techniek gebruikt om uw gegevens te beveiligen.

    Hierdoor krijgen bijvoorbeeld hackers geen of weinig kans om zich toegang te verschaffen tot uw persoonsgegevens.

  • Waar kan ik op letten als ik mijn persoonsgegevens online aan organisaties geef?

    Soms moet u op een website inloggen of persoonlijke informatie achterlaten. Bijvoorbeeld bij internetbankieren, veilingsites en webwinkels. Vraagt een website om uw persoonsgegevens? Let dan op dat de website gebruik maakt van een beveiligde internetverbinding.

    Bij een beveiligde internetverbinding staat er https:// in de adresbalk van uw browser in plaats van het normale http://. Met https:// voorkomt een website dat onbevoegden mee kunnen lezen met de gegevens die u invult.

    Maakt een website geen gebruik van een beveiligde verbinding? Denk dan goed na of u uw via die website wel uw persoonsgegevens wilt delen.

    Meer weten? Op de website Veilig internetten vindt u uitgebreide informatie over hoe u veilig kunt internetbankieren en online winkelen.

  • Wat kan ik doen als ik een vraag of klacht heb over de beveiliging van mijn persoonsgegevens door een organisatie?

    Ga met uw vragen of klachten altijd eerst naar de organisatie zelf. Heeft u een klacht en komt u er samen met de organisatie niet uit? Dan kunt u een privacyklacht indienen bij de Autoriteit Persoonsgegevens.

Privacyverhalen

Lees deze privacyverhalen

Gerrit (72) werd slachtoffer van een datalek én een auto-inbraak. Toeval?

Bij Onno’s administratiekantoor ontstond een datalek door een verkeerd geadresseerde mail

Meer privacyverhalen

Publicaties

Al het onderzoek over het onderwerp 'Beveiliging van persoonsgegevens'Alle wetgevingsadviezen over het onderwerp 'Beveiliging van persoonsgegevens'