Print:

De AVG verlangt veerkracht; heeft u al een CMDB?

Peter van Schelven , Adviseur ICT & Recht

LinkedIn profiel

Ook dit jaar is 28 januari weer de Europese Dag van de Privacy. Op die dag wordt het toenemende belang van een zorgvuldige omgang met persoonsgegevens nog eens onderstreept. De keuze voor die datum houdt verband met het feit dat precies 40 jaar geleden – op 28 januari 1981 – de Raad van Europa in Rome haar handtekening zette onder het Dataprotectie-verdrag, onder privacy-kenners ook wel bekend als Conventie nr. 108. In 2018 heeft de Raad van Europa overigens een modernisering van de Conventie op de rails gezet. Lees je het aanvankelijke verdrag er nu nog eens op na, dan valt op dat het vol zit met beginselen die ook in het dataprotectie-recht van de huidige Algemene Verordening Gegevensbescherming (AVG) zijn terug te vinden.

Een voorbeeld daarvan is artikel 7 van dat verdrag, dat – weliswaar in nog tamelijk generieke termen – de verplichting oplegt om passende technische maatregelen te treffen tegen onbedoelde of ongeoorloofde vernietiging of onbedoeld verlies van persoonsgegevens, alsook tegen ongeoorloofde toegang, wijziging of verspreiding. Een verplichting van gelijke strekking vinden we, zoals bekend, nu terug in artikel 32 van de AVG. Echter, de verplichtingen op het vlak van de informatiebeveiliging gaan inmiddels aanzienlijk verder. Zo verplicht de AVG namelijk niet alleen met technische en organisatorische maatregelen de integriteit en vertrouwelijkheid van persoonsgegevens te waarborgen, maar ook om de veerkracht (de “resilience”) van IT-systemen en diensten te garanderen. In gewoon Nederlands: de computers moeten kunnen blijven werken en downtime moet tot een minimum worden beperkt. En dat spreekt voor zich, want als mijn medisch specialist door een technisch mankement niet over mijn patiëntendossier beschikt, dan vormt dat een risico voor zijn onderzoek en voor mijn leven. De AVG zegt daarom heel expliciet dat je als organisatie bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig moet kunnen herstellen.

Resilience en herstelverplichtingen

Kortom, er bestaan onder de AVG dus ook verplichtingen op het vlak van de ‘resilience’ en het herstel van systemen. De indruk die ik heb, is dat niet iedereen die in privacyland werkzaam is, die nieuwe verplichting even helder op het netvlies heeft. Ze gaan een aanzienlijke stap verder dan wat we veertig jaar terug eerder in Europa op het vlak van beveiliging van persoonsgegevens hebben bedacht.

De wettelijke verplichting om de ‘resilience’ van systemen te waarborgen is geen sinecure. Neem nu het spraakmakende voorbeeld van de Universiteit van Maastricht, die net voor de kerstdagen in 2019 getroffen werd door een criminele aanval van ransomware. Het incident zorgde voor de kwalijke versleuteling van 267 servers in het Windows-domein. Het onderzoek en onderwijs binnen de universiteit lag als gevolg daarvan dagenlang plat. Het was voorpaginanieuws in de media.

Een goede en up to date IT-inventaris nodig

Wat bleek bij de universiteit uiteindelijk een van de grotere knelpunten in het forensisch onderzoek en het herstel van de betrokken systemen te zijn geweest? Dat was het feit dat er op centraal niveau geen complete inventaris bestond van alle binnen haar organisatie gebruikte servers, desktop computers en applicaties. Er was – zoals dat in IT-jargon heet – geen goed centraal CMDB aanwezig. Een CMDB (Configuration Management Database) is, simpel gezegd, een inventarisatie van alle actieve en niet-actieve IT-assets die een organisatie in huis heeft, inclusief een beeld van hun plek in de netwerken, hun onderlinge samenhang, de beschikbare backup-systemen en een gedegen beeld welke systemen automatisch dan wel handmatig voorzien worden van security-updates. Een goed CMDB is geen overbodige luxe als je beseft dat de universiteit destijds bijvoorbeeld 1.647 Linux en Windows-servers en 7.307 werkplekken in huis had en jaarlijks circa 100.000 updates binnenkreeg.

Het aanleggen en onderhouden van een centraal CMDB is – dat besef ik me – voor veel organisaties een forse klus. Dat gaat zeker op voor grote organisaties en voor organisaties die toestaan dat IT op decentraal niveau (afdelingen, vestigingen e.d.) wordt ingekocht. Een goed opgezet centraal CMDB is evenwel een noodzakelijke randvoorwaarde om adequaat te kunnen reageren op cyberincidenten en andere technische mankementen. Aldus opgevat ligt in de AVG besloten dat uw organisatie een goed en up to date CMDB in huis heeft. Ik vind het zelfs verdedigbaar dat het ontbreken van een compleet en actueel CMDB op zich al een schending van de AVG kan inhouden. Het kan daarom geen kwaad wanneer u als privacy-professial binnen uw werkomgeving daar toch eens navraag naar doet.

Meer weten over actualiteiten op het gebied van dataprotectie en privacy? Peter van Schelven deelt zijn kennis bij de Actualiteitenreeks Dataprotectie & Privacy, bij de Actualiteitenreeks Next step privacy compliance en is hoofddocent van de opleiding Certified Data Protection Officer

Verder lezen?

Laat uw e-mail achter en ontvang de brochure Actualiteitenreeks Next step privacy compliance direct in uw mailbox.