Opinie
Pentests en het Saksische advies
Onderstaand mijn vertaling van het advies uit paragraaf 4.3.4 van het rapport (link). Mijn Duits is niet perfect, dus als er fouten in staan hoor ik dat graag (in de comments). De onderstreping is door mij toegevoegd.
De oorspronkelijke tekst staat onderin, zowel ter referentie als verantwoording.
Aan mijn autoriteit is gevraagd of zogeheten "penetratietesten" als verwerking door een Verwerker moeten worden beschouwd.
Op basis van de wetgeving moeten door de Verantwoordelijke geschikte technische en organisatorische maatregelen ter bescherming van de gegevens worden genomen en gedocumenteerd. Mijn autoriteit verwijst hierbij ook uitdrukkelijk naar de voorschriften uit artikel 5, lid 1, lid 2 van de AVG. Deze komen overeen met artikel 32 AVG en ook met artikel 25 van de Algemene Verordening Gegevensbescherming (dat betrokkenen beschermt). Artikel 25 legt principes vast over hoe de verwerking van persoonsgegevens moet worden ontworpen om individuen te beschermen en welke standaardinstellingen moeten worden ingesteld. Artikel 32, dat niet betrekking heeft op de bescherming van het individu maar op de systeembeveiliging, presenteert de te nemen maatregelen. Artikel 32 sub d van de AVG voorziet naast de implementatie en het doorvoeren van technische en organisatorische maatregelen met betrekking tot de beschikbaarheid, vertrouwelijkheid en integriteit van de systemen, dat de daadwerkelijke doeltreffendheid van deze maatregelen moet worden aangetoond door middel van geschikte procedures.
Daarmee kan als tussenconclusie worden vastgesteld dat zogenaamde "penetratietesten", dat wil zeggen procedures waarmee een gerichte aanval op IT-systemen en applicaties om zwakke plekken in de systeeminfrastructuur te identificeren, uitdrukkelijk kunnen worden gestoeld op de bepalingen van de Algemene Verordening Gegevensbescherming.
Hieraan moet worden toegevoegd dat, naast [de noodzaak tot] het louter identificeren van beveiligingslacunes in complexe IT-systeemstructuren, wellicht juist hierdoor [door pentests] maatregelen ontwikkeld kunnen worden ter verhoging van de technische beveiliging, met betrekking tot personeel alsook met betrekking tot de organisatie.
Naast de technische maatregelen tegen interne en externe toegangen die uit penetratietests volgen, kunnen ook maatregelen worden genomen om de naleving van veiligheidsrichtlijnen en het veiligheidsbewustzijn van werknemers te toetsen, zogenaamde "social engineering tests".
Op basis van de uitgevoerde test bestaat, afhankelijk van de opdracht, de mogelijkheid dat door de opdrachtnemer die de test uitvoert persoonsgegevens verworven, uitgelezen of op de een of andere manier verwerkt worden. Als dit niet kan worden uitgesloten, adviseer ik de verantwoordelijken om de opdrachtnemer te binden door middel van een verwerkersrelatie, zodat deze niet wettelijk optreedt als 'derde' [AVG art. 4 lid 10] en de opdrachtgever de baas blijft over de gegevens. Ook als penetratietests in de praktijk, zoals hierboven beschreven, absoluut legale doelen dienen, zou ik bedenkingen hebben bij het verzamelen van persoonsgegevens door de opdrachtnemer en gegevensoverdracht aan hem, ook met het oog op het uitvoeren van de analyses.
Bij verwerking [door een Vewerker] gaat het eigenlijk om een overeengekomen dienst voor technische ondersteuning, met als belangrijkste doel bewaring, onderhoud, verzameling of andere verwerking van persoonsgegevens. Bovendien is de Verwerker gebonden aan instructies en blijft de Verwerkingsverantwoordelijke de gegevensverwerking controleren en de inhoud ervan bepalen. Bij onderhoudscontracten en penetratietesten is de verwerking van persoonsgegevens eigenlijk niet de kern van het contract. Niettemin is de Verwerkingsverantwoordelijke zich bewust van de mogelijkheid van openbaarmaking en geeft hij als het ware met "voorwaardelijke intentie" opdracht [tot verwerking].
Daarmee acht ik het passend en noodzakelijk, met het oog op mogelijke kennisname van persoonsgegevens buiten het bereik van de opdrachtgever, de opdrachtnemer te binden zoals in een verwerkersrelatie. Ik raad praktisch aan om een aanvullende standaard verwerkersovereenkomst te gebruiken die kan verwijzen naar de hoofdovereenkomst. Daarin moet contractueel worden vastgelegd hoe de persoonsgegevens, in het verwachte of onverwachte geval dat deze buiten de sfeer van de opdrachtgever worden ontvangen of bekendgemaakt, zullen worden behandeld volgens de instructies van de opdrachtgever en in het bijzonder dat de informatie na afronding van de testmaatregelen en rapportage aan de verantwoordelijke worden overhandigd of op correcte wijze worden verwijderd.
De oorspronkelijke tekst:
Meiner Behörde ist die Frage gestellt werden worden, ob sogenannte „Penetrationstests“ als Auftragsverarbeitung zu werten sind.
Nach der Rechtslage sind geeignete technische und organisatorische Maßnahmen zum Schutz der Daten seitens Verantwortlicher zu ergreifen und diese auch zu dokumentieren. Meine Behörde bezieht sich hierbei auch ausdrücklich auf die Vorschrift des Artikels 5 Absatz 1, Absatz 2 DSGVO. Die Vorschrift korrespondiert mit Artikel 32 DSGVO und auch mit dem betroffene Personen schützenden Artikel 25 der DatenschutzGrundverordnung. Artikel 25 legt Prinzipien fest, wie personenbezogene Datenverarbeitung zum Schutz des Einzelnen gestaltet sein muss und welche Voreinstellungen vorzunehmen sind. Die Vorschrift des Artikels 32, die nicht auf den Schutz des Einzelnen, sondern die Systemsicherheit bezogen ist, präzisiert zu ergreifende Maßnahmen. Artikel 32 Absatz 1 Buchstabe d) Datenschutz-Grundverordnung sieht neben der Implementierung und Durchführung technischer und organisatorischer Maßnahmen in Bezug auf die Verfügbarkeit, Vertraulichkeit und Integrität der Systeme vor, dass die tatsächliche Wirksamkeit der Maßnahmen durch geeignete Verfahren nachzuweisen sind.
Somit wäre als Zwischenergebnis festzuhalten, dass sogenannte „Penetrationstests“, also Verfahren mit denen gezielt ein Angriff auf IT-Systeme und Anwendungen zum Zweck der Identifizierung von Schwachstellen der Systeminfrastruktur erfolgt, ausdrücklich auf Vorschriften der Datenschutz-Grundverordnung gestützt werden können.
Hinzuzufügen ist, dass neben der bloßen Identifikation von Sicherheitslücken bei komplexen IT-Systemstrukturen gegebenenfalls erst hierdurch Maßnahmen zur Erhöhung der technischen Sicherheit sowie in personeller und organisatorischer Hinsicht entwickelt werden können.
Zusätzlich zu den technischen Eingriffen, internen und externen Zugriffen, die durch Penetrationstests erfolgen, können auch Maßnahmen durchgeführt werden, um die Einhaltung von Sicherheitsrichtlinien und das Sicherheitsbewusstsein der Beschäftigten zu prüfen, sogenannte „Social Engineering-Tests“.
Aufgrund durchgeführter Testmaßnahmen besteht, je nach Auftrag, die Möglichkeit, dass seitens eines Auftragnehmers, der die Tests durchführt, personenbezogene Daten erlangt, ausgelesen oder auf irgendeine Weise verarbeitet werden. Ist dies nicht auszuschließen, rate ich Verantwortlichen, den Auftragnehmer im Wege einer Auftragsverarbeitung zu binden, so dass dieser rechtlich nicht als Dritter handelt und der Auftraggeber Herr der Daten bleibt. Auch wenn Penetrationstests in der Praxis, wie zuvor dargestellt, durchaus gesetzlichen Zwecken dienen, hätte ich in Bezug auf personenbezogene Datenerhebungen durch den Auftragnehmer und Datenübermittlungen an diesen, auch zum Zweck der Durchführung der Analysen, Vorbehalte.
Bei der Auftragsverarbeitung handelt es sich eigentlich um eine vertragliche technische Hilfsdienstleistung, die die Verwahrung, die Pflege, das Einsammeln oder eine sonstige personenbezogene Datenverarbeitung zum Hauptgegenstand hat. Zudem ist der Auftragnehmer weisungsgebunden und der Auftraggeber steuert weiterhin die Datenverarbeitung und bestimmt sie inhaltlich. Bei Wartungsverträgen und Penetrationstests ist die Verarbeitung der personenbezogenen Daten eigentlich nicht Kern des Vertrags. Gleichwohl weiß der Auftraggeber von der Möglichkeit der Offenlegung und beauftragt quasi „mit bedingtem Vorsatz“.
So halte ich es für interessengerecht und erforderlich, den Auftraggeber für den Fall der Kenntnisnahme personenbezogener Daten aus dem Bereich des Auftraggebers zu binden, wie bei einer Auftragsverarbeitung. Ich empfehle praktisch, einen ergänzenden Standard-Auftragsverarbeitungsvertrag zu verwenden, der auf den Hauptvertrag referenzieren kann. Vertraglich sollte darin konkret festgelegt sein, wie mit personenbezogenen Daten, für den erwartbaren oder unerwarteten Fall, dass diese aus der Sphäre des Auftraggebers empfangen oder offengelegt werden, nach Weisung des Auftraggebers umgegangen wird bzw. dass die Informationen nach Abschluss der Testmaßnahmen und Berichterstattung gegenüber dem Verantwortlichen übergeben oder ordnungsgemäß gelöscht werden.