De richtsnoeren beveiliging van persoonsgegevens moet het uit 2001 stammende A&V 23 (pdf) vervangen. Ook daarin staat uitgelegd wat het CBP controleert op basis van de Wet bescherming persoonsgegevens, maar dat is door de tijd achterhaald. De nieuwe richtsnoeren zijn inmiddels in de Staatscourant gepubliceerd en worden per 1 maart van kracht. Het is vooral bedoeld als handboek cq leidraad voor bedrijven en organisaties.

Wet verbinden met de dagelijkse praktijk

De richtsnoeren (pdf) moeten een verbinding maken tussen het juridisch domein, de wet (Wbp) en de ict-beveiliging, zegt Lisette Rutgers van het CBP. De nieuwe richtlijnen zijn meer toegesneden op 'privacy by design' en heeft meer binding met de praktijk, zegt Rutgers. In een verklaring op de website van het CBP zegt collegelid Wilbert Tomesen dat de richtsnoer moet leiden tot het nadenken over de beveiliging voordat een bedrijf persoonsgegevens gaat verzamelen.

Het CBP onderscheidt drie stappen in de beveiliging van persoonsgegevens. Eerst moeten de risico's worden beoordeeld, vervolgens moet bij de keuze van beveiligingsmaatregelen gebruik worden gemaakt van algemeen geaccepteerde beveiligingsstandaarden en tot slot dient er regelmatig te worden gecontroleerd en geëvalueerd of alles werkt en wordt nageleefd.

Richtsnoer is niet de heilige graal

In de richtsnoeren zijn praktijkvoorbeelden opgenomen, maar die dienen “ter illustratie", zegt het CBP, omdat die door de tijd weer achterhaald kunnen worden. Ook is de richtsnoer niet alles bepalend: het voldoen aan alle bepalingen binnen de Wet bescherming persoonsgegevens bepaalt de beoordeling van het CBP bij een onderzoek bij bedrijven, en niet alleen de richtlijnen zoals die zijn opgenomen in de richtsnoer. Daarnaast zijn er naast de Wbp nog andere wetten van belang.

De richtsnoeren kunnen in de loop der tijd nog worden aangepast, als bijvoorbeeld een gerechtelijke uitspraak daar aanleiding toe geeft. In ieder geval worden de richtsnoeren aangepast als de algemene verordening gegevensbescherming wordt ingevoerd. Die Europese regelgeving, de Data Protection Regulation, wordt momenteel besproken in het Europees Parlement en is nog onderwerp van veel controversie tussen onder meer dat parlement, de Europese regeringsleiders en de Amerikaanse bedrijvenlobby.