Encryptie als beheersmaatregel voor de AVG / GDPR

Binnen de Algemene Verordening Gegevensbescherming (AVG), ook wel de Global Data Protection Regulation (GDPR), wordt voor het verwerken van persoonsgegevens gesteld dat passende organisatorische en technische maatregelen aanwezig moeten zijn.

Niet melden bij de Autoriteit Persoonsgegevens bij verlies of diefstal?

Het gebruik van versleutelde schijven en usb-sticks is een duidelijk voorbeeld van een technische maatregel die ervoor zorgt dat bij verlies of diefstal van het versleutelde opslagmedium na interne afweging hoogstwaarschijnlijk geen melding hoeft te worden gemaakt bij de Autoriteit Persoonsgegevens, of een andere DPA.

Verlies of diefstal van versleutelde gegevensdragers intern wel altijd registreren

Wel dient intern een registratie bijgehouden te worden: welke data stond op het medium, hoe is het medium versleuteld en wat is de reden om niet te melden. Indien later blijkt dat de gebruikte encryptie niet meer voldoende is moet namelijk alsnog gemeld worden.

Let op dat de juiste encryptie gebruikt wordt

Let wel op dat de gebruikte encryptie nog van deze tijd is, en dat de werking van de encryptie ook gecertificeerd is. Gecertificeerde producten bieden de garantie dat de versleuteling ook goed geïmplementeerd is in het product en beschikken over een certificaat. Producten die niet daadwerkelijk gecertificeerd zijn (maar zich aanprijzen als compliant) zijn dus niet getest op hun bewering dat ze voldoen.

Standaards die je tegenkomt op versleutelingsgebied zijn bijvoorbeeld FIPS 197 en FIPS 140-2. FIPS 197 is een federale standaard van de Verenigde Staten die het AES encryptie algoritme definieert. De standaard FIPS 140-2 beoordeelt de werking en bescherming van het cryptografisch systeem, met een bepaald niveau van certificering (level 1 tot 4).

Welke gecertificeerde encryptie producten wil je gebruiken?

Voor veilige draagbare opslag van (persoons)gegevens wil je daarom producten die zowel FIPS 197 als FIPS 140-2 (level 2 of hoger) gecertificeerd zijn, om te voorkomen dat je moet gaan melden bij de Autoriteit Persoonsgegevens of een andere DPA bij verlies of diefstal.

Deze blog is geen (juridisch) advies, bij verlies of diefstal van gegevensdragers met persoonsgegevens bent u als organisatie verantwoordelijk voor het melden van een datalek bij de AP en de afweging die u hierbij maakt.