Is encryptie verplicht onder GDPR?

We zijn het afgelopen jaar quasi fulltime met GDPR projecten bezig geweest en een van de vragen die daarin geregeld terugkomt is deze: moeten wij onze data encrypteren om GDPR compliant te zijn?

Bedrijven kunnen de kans op een datalek verminderen en daarmee het risico op boetes in de toekomst verkleinen, als ze ervoor kiezen om encryptie van persoonlijke gegevens te gebruiken. De verwerking van persoonlijke gegevens houdt vanzelfsprekend verband met een zekere mate van risico. Zeker tegenwoordig, waar cyberaanvallen bijna onvermijdelijk zijn voor bedrijven van een bepaalde omvang. Daarom speelt risicobeheer een steeds grotere rol bij IT-beveiliging en is gegevensversleuteling onder meer geschikt voor deze bedrijven.

In het algemeen verwijst encryptie naar de procedure die met een sleutel heldere tekst omzet in een gehashte code, waarbij de uitgaande informatie pas weer leesbaar wordt door de juiste sleutel te gebruiken. Dit minimaliseert het risico van een incident tijdens de gegevensverwerking, omdat gecodeerde inhoud in principe onleesbaar is voor derden die niet over de juiste sleutel beschikken. Versleuteling is de beste manier om gegevens tijdens overdracht te beschermen en een manier om opgeslagen persoonlijke gegevens te beveiligen. Het vermindert ook het risico van misbruik binnen een bedrijf, omdat de toegang beperkt is tot bevoegde personen met de juiste sleutel.

De verordening erkent deze risico’s ook bij de verwerking van persoonsgegevens en legt de verantwoordelijkheid op de verantwoordelijke voor de verwerking en de verwerker in art. 32, lid 1, van de algemene verordening gegevensbescherming om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen. De GDPR bepaalt bewust niet welke specifieke technische en organisatorische maatregelen in elk geval geschikt worden geacht, om tegemoet te komen aan individuele factoren. Het geeft de controller echter een catalogus met criteria waarmee rekening moet worden gehouden bij de keuze van methoden om persoonlijke gegevens te beveiligen. Dat zijn de stand van de techniek, implementatiekosten en de aard, omvang, context en doeleinden van de verwerking. Naast deze criteria moet altijd worden gekeken naar de ernst van de risico’s voor de rechten en vrijheden van de betrokkene en hoe waarschijnlijk deze risico’s zich kunnen manifesteren. Dit komt in feite neer op het volgende: hoe hoger de risico’s die verbonden zijn aan de gegevensverwerking en hoe groter de kans dat deze zich manifesteren, hoe sterker de genomen beveiligingsmaatregelen moeten zijn en hoe meer maatregelen moeten worden genomen. Versleuteling als concept wordt expliciet genoemd als een mogelijke technische en organisatorische maatregel om gegevens te beveiligen in de lijst van Art. 32 (1) van de AVG, die niet uitputtend is. Nogmaals, de GDPR vermeldt geen expliciete versleutelingsmethoden om rekening te houden met de snelle technologische vooruitgang. Bij het kiezen van een methode moet je ook de bovenstaande criteriacatalogus toepassen. Om de vraag te beantwoorden wat momenteel als “state-of-the-art” wordt beschouwd, steunen gegevensbeschermingsfunctionarissen meestal op de definities in informatiebeveiligingsnormen zoals ISO / IEC 27001 of andere nationale IT-beveiligingsrichtlijnen.

Versleuteling van persoonlijke gegevens heeft extra voordelen voor controllers en / of orderprocessors. Bijvoorbeeld, het verlies van een state-of-the-art versleuteld mobiel opslagmedium dat persoonlijke gegevens bevat, wordt niet noodzakelijkerwijs beschouwd als een datalek, dat moet worden gemeld aan de gegevensbeschermingsautoriteiten. Als er zich een gegevensinbreuk voordoet, moeten de autoriteiten bovendien het gebruik van codering positief overwegen bij hun beslissing of en welk bedrag een boete wordt opgelegd overeenkomstig art. 83 (2) (c)

Versleuteling on encryptie is met andere woorden nergens expliciet verplicht of opgelegd door de GDPR, maar is in veel gevallen een handige en waardevolle methode om persoonsgegevens te beschermen.

Vragen over privacyrecht en GDPR?

Contacteer gerust vrijblijvend ons GDPR team op gdpr@siriuslegal.be of bel ons op 0032 2 721 13 00