Het Nationaal Cyber Security Centrum heeft onlangs een nieuwe versie uitgebracht van de ICT-beveiligingsrichtlijnen voor Transport Layer Security.[1] Met dit TLS-protocol kunt u de beveiliging van uw netwerkverkeer beoordelen. Voldoet uw netwerkverkeer nog aan de beveiligingseisen van de AVG? En hoe toekomstbestendig is deze beveiliging?
De AVG bepaalt, dat verwerkingsverantwoordelijken en verwerkers verplicht zijn om passende technische en organisatorische beveiligingsmaatregelen te treffen bij de verwerking van persoonsgegevens.[2] Dat geldt ook het versturen van persoonsgegevens over netwerken.
Geüpdatete TLS-protocol
Het Nationaal Cyber Security Centrum (NCSC) heeft recentelijk haar ICT-beveiligingsrichtlijnen over Transport Layer Security (TLS) uit 2014 geüpdatet. Het TLS is een protocol dat een beveiligde verbinding tussen twee computers tot stand brengt. Over deze beveiligde verbinding kunnen vervolgens gegevens worden uitgewisseld. TLS is de opvolger van Secure Sockets Layer (SSL) en wordt onder andere gebruikt voor uitwisseling van data van webverkeer en e-mailverkeer.
Het TLS-protocol bevat richtlijnen, waarmee kan worden bepaald welke instellingen van TLS een veilige configuratie bieden. Daarin onderscheidt het NCSC vier beveiligingsniveaus, namelijk: (1) onvoldoende, (2) uitfaseren, (3) voldoende en (4) goed. De Autoriteit Persoonsgegevens heeft inmiddels gewaarschuwd dat organisaties die gebruikmaken van een beveiligingsniveau ‘uitfaseren’, zich zouden moeten beraden op het uitvoeren van een risicoanalyse en maatregelen om de risico’s te beheersen.[3] Doen zij dit niet, dan kan het gebeuren dat hun netwerkverkeer binnenkort niet langer voldoende beveiligd zal zijn. In dat geval voldoen zij niet langer aan de eis van passende (technische) beveiligingsmaatregelen en zijn zij direct in overtreding van de AVG.
Wacht daarom niet af en onderzoek met behulp van het TLS-protocol of het netwerkverkeer van uw organisatie nog voldoende is beveiligd en welke maatregelen noodzakelijk zijn, zodat uw netwerkverkeer ook in de toekomst voldoende beveiligd is.
Meer weten?
Wilt u meer weten of heeft u vragen over de AVG of andere juridische zaken? En/of kunt u daar hulp bij gebruiken? Neem dan contact met ons op.
[1] https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls/2/ICT%2Bbeveiligingsrichtlijnen%2Bvoor%2BTransport%2BLayer%2BSecurity%2B%2BTLS%2B%2B%2Bprintversie%2B.pdf
[2] Onder andere in artikel 24, 32
[3] https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/nieuwe-ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls