BLOG: De nieuwe Practice Guide GDPR van de CNIL:             dit heb je eraan voor jouw organisatie

De Franse privacytoezichthouder publiceerde nieuwe guidance over de beveiliging van persoonsgegevens. Ruben Grijpstra, adviseur bij L2P, legt uit hoe de practice guide je helpt om beveiligingsmaatregelen te nemen die nodig zijn vanuit de Algemene verordening gegevensbescherming (AVG).

Security is een essentieel onderdeel van de bescherming van persoonsgegevens. Artikel 32 van de Algemene verordening gegevensbescherming (AVG, of GDPR) verplicht organisaties om passende technische en organisatorische maatregelen te nemen. Het kan voor privacy professionals ingewikkeld zijn om invulling te geven aan de wettelijke verplichtingen, vooral als je geen technische achtergrond hebt. De Comission Nationale Informatique & Libertés (CNIL), de Franse collega van de Nederlandse Autoriteit Persoonsgegevens (AP), publiceerde daarom in 2024 een Practice Guide GDPR, die inzoomt op de beveiliging van persoonsgegevens.

De digitale gids bestaat uit 25 factsheets, die afzonderlijk van elkaar kunnen worden gelezen. Vijf factsheets zijn nieuw ten opzichte van de eerdere editie van de practice guide. De nieuwe factsheets gaan over cloud computing, mobiele applicaties, Artificial Intelligence (AI), Application Programming Interfaces (API’s) en data management security.

Twee opvallende conclusies van de CNIL

Een opvallende constatering van de CNIL is dat je als organisatie niet blindelings kunt vertrouwen op cloud service providers. Het advies is om als gebruiker van clouddiensten zelf maatregelen te nemen om externe dreigingen tegen te gaan, zodat data die worden verwerkt en opgeslagen in de cloud goed zijn beschermd. Daarnaast vraagt de CNIL aandacht voor de controle op de cloud service providers, die ervoor moeten zorgen dat er voldoende beveiligingsmaatregelen zijn geïmplementeerd. De factsheet stelt voor dat je als organisatie regelmatig security audits uitvoert bij de leverancier van cloudoplossingen.

Verder is het opmerkelijk dat de CNIL zich in de factsheet over AI voornamelijk richt op de ontwikkeling van nieuwe AI-modellen en de integratie van AI-modellen in software en toepassingen. Het gebruik van AI-tools blijft buiten beschouwing. Dat is opmerkelijk, omdat dataminimalisatie een basisuitgangspunt is van de AVG. Dat betekent dat je als organisatie alert moet zijn op onder meer de invoering van persoonsgegevens en andere vertrouwelijke data in AI-systemen en -chatbots.

Wat heb jij aan de practice guide voor jouw organisatie?

De CNIL gebruikt de practice guide als referentie om de beveiliging van persoonsgegevens door organisaties te beoordelen. Maar de publicatie is vooral bedoeld om het data protection officers, Chief Information Security Officers, computerwetenschappers en juridische experts makkelijker te maken om activiteiten op het vlak van informatiebeveiliging te toetsen aan de GDPR. De Franse gids is direct toepasbaar in Nederland (en andere Europese lidstaten), omdat de verplichtingen van artikel 32 van de GDPR gelden voor de gehele Europese Unie.

In de practice guide komt een scala aan onderwerpen aan bod. Dat maakt het document interessant voor alle organisaties die in het licht van nieuwe (technologische) ontwikkelingen stappen willen zetten in AVG-compliance.

Voor relatief kleine organisaties, zoals een school of een huisartsenpraktijk is de practice guide een handig vertrekpunt. De gids geeft je een overzicht van de basismaatregelen waarmee je kunt voldoen aan de AVG-vereisten voor beveiliging.

Middelgrote en grote organisaties hebben de basisbeginselen van de AVG doorgaans al geïmplementeerd. Denk aan beveiligingsmaatregelen zoals meerfactorauthenticatie, encryptie van data en de training van medewerkers om veilig te werken. De practice guide kan je gebruiken als naslagwerk om te checken of alle relevante maatregelen zijn genomen en om inspiratie op te doen over aanvullende acties.

Naslagwerk

De nieuwe practice guide van de CNIL is niet baanbrekend. De publicatie doet denken aan de Wadden: breed, ondiep en soms droog. De gids geeft een overzicht van wat organisaties op grond van de GDPR aan informatiebeveiliging moeten doen. Maar je krijgt geen handvatten over hoe je dat concreet in de praktijk brengt.

Het algemene karakter van de practice guide is natuurlijk wel verklaarbaar. Elke organisatie is immers anders, en beveiliging is altijd maatwerk. De gids is dan ook vooral van waarde als een naslagwerk dat je op weg helpt met de basismaatregelen rondom de beveiliging van persoonsgegevens.