Beveiliging van persoonsgegevens
Verantwoord omgaan met persoonsgegevens valt of staat met een goede beveiliging van deze gegevens. Dit is niet voor niets 1 van de 6 basisbeginselen van de Algemene verordening gegevensbescherming (AVG).
Op deze pagina
Als de beveiliging niet goed geregeld is, kan dit bijvoorbeeld leiden tot een datalek. Waardoor het risico ontstaat op bijvoorbeeld identiteitsfraude.
Beveiligingsmaatregelen
Elke organisatie die persoonsgegevens verwerkt, moet zelf bepalen welke beveiligingsmaatregelen nodig zijn. Vervolgens moet de organisatie kunnen aantonen dat persoonsgegevens goed zijn beveiligd. Verder moet beveiliging van persoonsgegevens binnen de organisatie een blijvend punt van aandacht zijn.
Toezicht door de AP
De Autoriteit Persoonsgegevens (AP) houdt toezicht op hoe organisaties hun verwerkingen van persoonsgegevens beveiligen. Als een organisatie de beveiliging niet goed geregeld heeft, kan de AP ingrijpen. Bijvoorbeeld door een boete op te leggen.
Snelle antwoorden
Wat is meerfactorauthenticatie?
Meerfactorauthenticatie (ook wel MFA genoemd) is een techniek waarbij een persoon of systeem een combinatie van minimaal 2 verschillende typen authenticatiefactoren moet gebruiken om toegang te krijgen.
Wat is authenticatie?
Authenticatie is het beveiligingsmechanisme dat toegangscontrole regelt. Het vereist dat de (digitale) identiteit van een gebruiker of systeem wordt geverifieerd met een authenticatiemiddel.
Voorbeelden meerfactorauthenticatie
Voorbeelden van meerfactorauthenticatie zijn:
- de combinatie van een wachtwoord en een eenmalige code (token) per sms;
- de combinatie van een wachtwoord en een smartcard;
- het gebruik van een app of hardwaretoken die wisselende wachtwoorden genereert in combinatie met een wachtwoord of pincode.
Authenticatiefactoren
De 3 meest gebruikte authenticatiefactoren zijn:
- Iets wat (alleen) de gebruiker weet. Bijvoorbeeld een wachtwoord, een pincode of een andere unieke authenticatiecode.
- Iets wat de gebruiker heeft. Bijvoorbeeld een smartcard, een token of een sleutel. Een (mobiele) telefoon behoort ook tot deze categorie en wordt vaak gebruikt voor sms-tokens.
- Iets wat de gebruiker is. Bijvoorbeeld een biometrisch gegeven, zoals een vingerafdruk. Onder deze categorie vallen ook onderscheidende producten van handelingen, zoals een handtekening of kinetische metingen van een toetsenbord.
Andere authenticatiefactoren zijn:
- Waar de gebruiker is. Deze authenticatiefactor is gebaseerd op een geografische bepaling. Bijvoorbeeld door het IP-adres te gebruiken.
- Hoe de gebruiker zich gedraagt. Deze authenticatiefactor is gebaseerd op het herkennen van gedrag. Bijvoorbeeld door een inlogtijd te hanteren.
Wat is geen meerfactorauthenticatie?
Een combinatie van hetzelfde type authenticatiefactor is géén meerfactorauthenticatie. Bijvoorbeeld wanneer er meerdere combinaties van gebruikersnamen en wachtwoorden nodig zijn om toegang te krijgen. Gebruikersnamen en wachtwoorden vallen beide binnen het type authenticatiefactor ‘iets wat de gebruiker weet’. Hierdoor kwalificeren deze combinaties niet als meerfactorauthenticatie.
Over het algemeen zijn de volgende voorbeelden géén authenticatiefactoren voor het gebruik van een computer of applicatie:
- een toegangspas waarmee toegang wordt verkregen tot een ruimte waar meerdere mensen toegang hebben;
- een unieke telefoon of unieke computer (tenzij de mobiele telefoon een tijdelijk paswoord of wachtwoord genereert of gebruikmaakt van een ingebouwde authenticatiefactor);
- een uniek IP-adres.
Meer informatie
- Factsheet Gebruik tweefactorauthenticatie van het Nationaal Cyber Security Centrum.
- AP Datalekkenrapportage 2020 (p. 7-11).
- Techblogpost: factoren in authenticatie.
Moeten legacy-systemen ook aan de AVG voldoen?
Ja. Bij het verwerken van persoonsgegevens moet u altijd voldoen aan regels uit de Algemene verordening gegevensbescherming (AVG). Dat geldt ook als u een legacy-systeem gebruikt. De AVG maakt daar geen uitzondering voor.
Dat betekent onder meer dat u:
- De persoonsgegevens die u in uw legacy-systeem verwerkt, voldoende moet beveiligen. Hierbij moet u rekening houden met de huidige stand van de techniek en actuele dreigingen.
- Ervoor moet zorgen dat de mensen van wie u gegevens verwerkt hun privacyrechten kunnen uitoefenen. Zij kunnen u bijvoorbeeld vragen om hun persoonsgegevens te wissen. U moet dus onder meer zorgen dat het mogelijk is om gegevens uit uw legacy-systeem te verwijderen.
- Moet voldoen aan de algemene principes uit de AVG, zoals privacy by default.
Verwerker
Levert u als verwerker een legacy-systeem? Dan moet u zich ook aan deze regels houden, voor zover dat gezien uw invloedssfeer passend is. Daarnaast moet u de verwerking uitvoeren volgens de afspraken in de verwerkersovereenkomst.
Risico’s bij legacy-systemen
Een legacy-systeem is een ICT-voorziening die al heel lang in gebruik is. Bijvoorbeeld legacy-software of een legacy-applicatie. Vaak zijn er bij het ontwikkelen van legacy-systemen hulpmiddelen of technieken gebruikt die nu niet meer gangbaar zijn.
Ook is niet altijd goed beschreven in documentatie hoe legacy-systemen precies werken. Daardoor is een legacy-systeem soms lastig aan te passen. Of is het moeilijk om persoonsgegevens uit het systeem te exporteren of te verwijderen.
Gebruikt u een legacy-systeem, dan loopt u het risico dat u niet voldoet aan de AVG. Bijvoorbeeld doordat het systeem verouderde technologie gebruikt die leidt tot beveiligingsrisico’s. Het is daarom noodzakelijk deze verouderde systemen aan te passen aan de eisen van de AVG.