Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.2.1
2.2.1 Tekst en enkele tekstuele opvallendheden
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660984:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Terminologie ontleend aan Handleiding AVG en UAVG 2018, §2.4. Zie ook preambule Dataprotectierichtlijn, o. 25. Dat de beginselen het normatieve hart van de AVG vormen, brengt mee dat iedere persoonsgegevensverwerking aan de beginselen moet voldoen. Zie bijv. preambule Dataprotectierichtlijn, o. 12 en daarnaast HvJ EG 20 mei 2003, ECLI:EU:C:2003:294, pt. 65 (Österreichischer Rundfunk e.a.); HvJ EU 24 november 2011, ECLI:EU:C:2011:777, pt. 26 (ASNEF & FECEMD); HvJ EU 30 mei 2013, ECLI:EU:C:2013:355, pt. 33 (Worten); HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 71 (Google Spain). Zie voor een op het EU-rechtelijke persoonsgegevensbeschermingsrecht toegespitste bespreking van de beginselen AVG art. 29-werkgroep, WP 2016, WP 250REV.01, §I.A; Engelfriet, Meij & Krager 2017, art. 5.1-f; Jay 2017, 5-018; Voigt & Von dem Bussche 2017, Krzysztofek 2017, hfdst. 4 en en voor een meer algemene bespreking van de persoonsgegevensbeschermingsbeginselen Bygrave 2002, hfdst. 3. Zie Europese Toezichthouder voor gegevensbescherming 2019-II, §3.5 voor een hulpmiddel van de Europese Toezichthouder voor gegevensbescherming voor bedrijven om aan deze beginselen te voldoen.
Art. 32 AVG maakt onderdeel uit van Hoofdstuk IV, ‘Verwerkingsverantwoordelijke en verwerker’. De bepaling staat in de tweede afdeling van dit Hoofdstuk (‘Persoonsgegevensbeveiliging’), dat volgt op de afdeling ‘Algemene verplichtingen’. Deze afdeling bestaat uit op de op persoonsgegevensbeveiliging toegespitste verplichtingen. Zie voor een behandeling van de verhouding tussen enerzijds art. 5 lid 1 onder f AVG en anderzijds art. 32 AVG ook §6.2 en §6.6.
Deze opsomming bespreek ik in §3.5.4.
Hierop bestaat, zo volgt uit hetzelfde lid, een uitzondering voor de situatie waarin een natuurlijke persoon EU-rechtelijk of lidstaatsrechtelijk is gehouden de persoonsgegevens te verwerken. Zie ook §2.2.3.2.
Deze bepalingen zien niet zozeer op de beveiliging van gegevens, maar op de naleving van de AVG in het algemeen. Zie bijv. art. 4 onder 5, art. 24 lid 1, art. 25 leden 1 en 2, art. 28 leden 1, 3 onder e en 4 en art. 30 lid 1 onder e AVG. Zie over enkele van deze bepalingen §6.2.1, §6.3.1 en §6.4.1. Zie overigens ook §7.3, waarin ik andere EU-rechtelijke beveiligingsbepalingen bespreek die verplichten tot het treffen van beide type maatregelen.
Het beginsel is ook relatief laat in zijn huidige vorm in de AVG terecht gekomen. Het AVG-commissievoorstel kende nog geen beveiligingsgerelateerd persoonsgegevensverwerkingsbeginsel, in de AVG-compromistekst luidde het beginsel nog “persoonsgegevens worden verwerkt op een wijze die een passende beveiliging van persoonsgegevens waarborgt”.
Overigens is er geen sprake van een vertaalfout. In de Engelse tekstversie wordt gesproken over ‘technical or organisational measures’.
De beveiliging tegen handelingen hangt immers sterk samen met de beheersing van risico’s (zie de volgende alinea). De beheersing van deze risico’s is, zo zal later blijken, de kern van persoonsgegevensbeveiliging (§3.4).
Zie §1.4.3.
Zie §1.4.3.
Welke voorschriften precies uit deze bepaling voortvloeien, hangt af van de specifieke situatie. Zie §2.3.3.
Verder kunnen er maatregelen moeten worden getroffen die beveiligingsincidenten kunnen opsporen, daarop kunnen reageren, en ze kunnen herstellen.
Hieruit volgt overigens nog niet dat de verplichtingen die uit deze bepalingen voortvloeien ook hetzelfde zijn (oftewel, dat ‘passend’ hetzelfde moet worden ingevuld).
Zowel art. 5 lid 1 onder f AVG als art. 32 AVG gaat over de beveiliging van persoonsgegevens. Art. 5 lid 1 onder f AVG bevat een van de zogenoemde ‘beginselen inzake verwerking van persoonsgegevens’. Deze beginselen vormen “het normatieve hart” van de AVG.1 Art. 5 lid 1 onder f AVG beschrijft het beginsel inzake integriteit en vertrouwelijkheid. Art. 32 AVG maakt onderdeel uit van het AVG-hoofdstuk waarin deze beginselen worden uitgewerkt tot specifieker geformuleerde voorschriften.2 Art. 5 lid 1 aanhef en onder f AVG luidt als volgt.
“Persoonsgegevens moeten:
(…)
door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (“integriteit en vertrouwelijkheid”).”
Deze bepaling is uitgewerkt in art. 32 AVG. Het beginsel inzake integriteit en vertrouwelijkheid is te herkennen in de eerste twee leden van art. 32 AVG. Zij bepalen als volgt:
“1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
de pseudonimisering en versleuteling van persoonsgegevens;
het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.3
2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.”
Verder heeft art. 32 AVG ook een derde en een vierde lid. Lid 3 bepaalt dat verwerkingsverantwoordelijken en verwerkers die zich hebben aangesloten bij een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme dit ‘als element’ kunnen gebruiken om aan te tonen dat ze art. 32 lid 1 AVG naleven.4 Lid 4 bepaalt dat verwerkingsverantwoordelijken en verwerkers door middel van maatregelen moeten verzekeren dat natuurlijke personen die onder hun gezag werken en toegang hebben tot persoonsgegevens in beginsel alleen verwerkingshandelingen verrichten in opdracht van de verwerkingsverantwoordelijke.5
Art. 32 AVG is veel uitgebreider dan art. 5 lid 1 onder f AVG. De essenties van deze bepalingen zijn echter min of meer hetzelfde geformuleerd. Beide brengen, kort gezegd, mee dat er beveiligingsmaatregelen moeten worden getroffen en dat deze maatregelen een bepaalde mate van beveiliging moeten waarborgen. Toch vertoont de formulering van art. 5 lid 1 onder f en 32 AVG zelfs in deze essentie enkele verschillen. Op deze verschillen en de betekenis daarvan ga ik hieronder in.
Allereerst valt het op dat art. 5 lid 1 onder f AVG bepaalt dat er technische of organisatorische maatregelen moeten worden getroffen, terwijl art. 32 AVG verplicht tot het treffen van technische en organisatorische maatregelen. Over dat zowel technische als organisatorische maatregelen noodzakelijk zijn voor de beveiliging van informatie, bestaat echter geen discussie. Dit is een vaststaand uitgangspunt binnen het informatiebeveiligingsdomein en klinkt ook al decennialang door in het persoonsgegevensbeschermingsrecht.6 Het is daarom onaannemelijk dat de EU-wetgever met art. 5 AVG heeft willen verplichten tot het treffen van ofwel technische, ofwel organisatorische maatregelen.
Dat art. 5 lid 1 onder f AVG bepaalt dat er technische of organisatorische maatregelen moeten worden getroffen, wijkt ook opvallend af van de rest van de AVG. Deze verordening verplicht verwerkingsverantwoordelijken en verwerkers op verschillende plekken tot het treffen van technische en organisatorische maatregelen,7 maar nooit tot het treffen van technische of organisatorische maatregelen. Naar mijn mening kan dan ook worden geconcludeerd dat deze vaste zinsnede ten onrechte anders in art. 5 AVG terecht is gekomen.8 Dit betekent dat ook op grond van deze bepaling er zowel technische als organisatorische maatregelen moeten worden getroffen.9 Beveiliging dient dus vorm te krijgen aan de hand van verschillende soorten beveiligingsmaatregelen: het treffen van alleen technische maatregelen is bijvoorbeeld niet genoeg. Wat voor maatregelen technisch en wat voor maatregelen organisatorisch zijn, bespreek ik in §3.5.2.
Een ander verschil tussen art. 5 lid 1 onder f AVG enerzijds en art. 32 AVG anderzijds is de duiding van de beveiliging die verwerkingsverantwoordelijken en verwerkers met beveiligingsmaatregelen moeten waarborgen. Art. 5 lid 1 onder f AVG spreekt in dit kader over passende beveiliging, art. 32 lid 1 AVG over een op het risico afgestemd beveiligingsniveau, en art. 32 lid 2 AVG over het passende beveiligingsniveau. Hierdoor rijzen er twee vragen: “is het op het risico afgestemde beveiligingsniveau in de zin van art. 32 lid 1 AVG hetzelfde als het passende beveiligingsniveau in de zin van art. 32 lid 2 AVG?”, en “is passende beveiliging in de zin van art. 5 AVG een synoniem voor het passende/op het risico afgestemde beveiligingsniveau in de zin van art. 32 AVG?”10
Bij een vergelijking tussen het beveiligingsniveau dat moet worden gewaarborgd op grond van art. 32 lid 1 AVG enerzijds en art. 32 lid 2 AVG anderzijds, is allereerst de formulering in de Engelse tekstversie van de AVG interessant. Hierin liggen bovengenoemde begrippen qua formulering dichter bij elkaar. Art. 32 lid 1 AVG spreekt over a level of security appropriate to the risk, lid 2 over the appropriate level of security (en art. 5 lid 1 onder f AVG over de appropriate security). Anders dan in de Nederlandse tekstversie, wordt het te waarborgen beveiligingsniveau in beide leden dus beschreven met gebruik van de term appropriate (passend). Daarbij bepaalt lid 1 dat het beveiligingsniveau ‘passend bij het risico’ moet zijn, en lid 2 dat bij de beoordeling van deze passendheid met name rekening moet worden gehouden met verwerkingsrisico’s. Met andere woorden: art. 32 lid 2 AVG vult de term ‘op het risico afgestemd beveiligingsniveau’ uit lid 1 verder in. De term ‘met name’ in lid 2 impliceert echter dat andere factoren dan verwerkingsrisico’s het passende beveiligingsniveau kunnen medebepalen. Welk beveiligingsniveau passend is, is dus (mogelijk) afhankelijk van meer dan alleen deze risico’s. In deze studie spreek ik daarom over het passende beveiligingsniveau, en niet over het op het risico afgestemde beveiligingsniveau. In §7.3.1.2 en §8.3 ga ik in op de betekenis van ‘met name’ en de andere factoren die het te waarborgen beveiligingsniveau beïnvloeden.
Ten slotte valt bij een vergelijking tussen art. 5 lid 1 onder f AVG enerzijds en art. 32 AVG anderzijds op dat de termen ‘passende beveiliging’ en ‘het passende beveiligingsniveau’ niet dezelfde invalshoek lijken te hebben. Art. 5 lid 1 onder f AVG lijkt de nadruk te leggen op de bescherming tegen verwerkingen, art. 32 AVG op de beheersing van risico’s.
In dit kader is allereerst interessant dat art. 5 lid 1 onder f AVG bepaalt dat beveiligingsmaatregelen de passende beveiliging van de gegevens moeten waarborgen en moeten beschermen tegen ongeoorloofde en onrechtmatige verwerkingen en opzettelijk verlies, vernietiging en beschadiging. Dit onderscheid (‘en’) bestaat feitelijk niet: de bescherming tegen verwerkingen is – dankzij de ruime definitie van dit begrip – de kern van persoonsgegevensbeveiliging.11 Dat art. 5 lid 1 onder f AVG hier toch onderscheid tussen maakt, lijkt te komen door een ongelukkige vertaling. De Engelse en Franse tekstversies van de AVG kennen dit onderscheid niet. Daarin worden bovenstaande handelingen niet genoemd naast (‘en’) de passende beveiliging, maar als uitwerking daarvan (‘inclusive’ en ‘compris’). Deze uitwerking betreft allereerst ongeoorloofde en onrechtmatige verwerkingen. In de context van beveiliging vullen de AVG-termen ‘onrechtmatig’ en ‘ongeoorloofd’ elkaar aan, al kunnen zij ook overlappen.12 Tezamen beslaan zij bijna alle handelingen waartegen persoonsgegevens zullen moeten worden beveiligd (zie §1.4.3). De (kleine) restcategorie bestaat uit onopzettelijke handelingen die niet ook onrechtmatig of ongeoorloofd zijn.13 Ook de term onopzettelijk komt terug in art. 5 lid 1 onder f AVG. Daarin is hij gekoppeld aan enkele specifieke verwerkingshandelingen. Nu de uitdrukkelijk genoemde verwerkingen echter slechts voorbeelden zijn, kan deze bepaling – indien de situatie daarom vraagt – ook meebrengen dat persoonsgegevens moeten worden beschermd tegen onopzettelijke verwerkingen die niet zijn genoemd.14 Art. 5 lid 1 onder f AVG beslaat dus alle verwerkingen die verwerkingsverantwoordelijken en verwerkers bij de beveiliging van persoonsgegevens mogelijk moeten tegengegaan – ongeoorloofde, onrechtmatige en onopzettelijke. Overigens moeten de termen ‘onrechtmatig’ en ‘ongeoorloofd’ in de context van art. 5 lid 1 onder f en 32 AVG autonoom worden uitgelegd. Zij betekenen dus niet hetzelfde als binnen het Nederlandse privaatrecht. Zie hierover §1.4.3.
Anders dan art. 5 lid 1 onder f AVG bepaalt art. 32 AVG niet dat beveiligingsmaatregelen moeten worden beschermd tegen verwerkingen. In plaats daarvan relateert art. 32 AVG het passende beveiligingsniveau aan risicobeheersing. Daarbij gaat het ‘met name’ om verwerkingsrisico’s. Er geldt daarbij geen beperking: de risico’s van alle verwerkingen zijn relevant.15 Oftewel: bij zowel art. 5 lid 1 onder f AVG als art. 32 AVG zijn ‘alle’ verwerkingen van belang. In het kader van art. 5 lid 1 onder f AVG gaat het om de verwerkingen zelf, in het kader van art. 32 AVG om de risico’s daarvan. Het tegengaan van verwerkingen is een belangrijk onderdeel van risicobeheersing (zie hierover §3.5.3) maar is daarvoor niet voldoende.16 Op het eerste oog is art. 32 AVG daarom breder dan art. 5 lid 1 onder f AVG. Echter, doordat het deel van art. 5 lid 1 onder f AVG bepaalt dat sommige verwerkingen moeten worden tegengegaan illustratief is, kan ‘passende beveiliging’ in de zin van deze bepaling, net als ‘het passende beveiligingsniveau’ in de zin van art. 32 AVG, meer omvatten dan alleen de verplichting tot het tegengaan van verwerkingen.
Al met al zijn zowel de passende beveiliging in de zin van art. 5 lid 1 onder f AVG als het passende beveiligingsniveau in de zin van art. 32 AVG in ieder geval gericht op het tegengaan van bepaalde handelingen, ten einde de aan deze handelingen gerelateerde risico’s te beheersen. Ook andere maatregelen kunnen bijdragen aan deze risicobeheersing. Beide bepalingen kunnen meebrengen dat ook dergelijke maatregelen moeten worden getroffen. Deze conclusie past bij de benadering van art. 32 AVG als een uitwerking van art. 5 lid 1 onder f AVG. Het is dan ook aannemelijk dat onder ‘beveiliging’ in de context van art. 5 lid 1 onder f AVG hetzelfde moet worden begrepen als onder ‘beveiligingsniveau’ in de zin van art. 32 AVG.17 Omdat de term ‘beveiligingsniveau’ zich iets beter van ‘beveiligingsmaatregelen’ laat onderscheiden dan ‘beveiliging’, spreek ik in deze studie overwegend over de verplichting tot het waarborgen van ‘het passende beveiligingsniveau’.