1.4.6 De rol van besluiten en richtsnoeren van toezichthouders

Op de naleving van de AVG wordt toezicht gehouden door nationale toezichthouders.1 In Nederland is dat de AP, andere lidstaten hebben vergelijkbare toezichthouders ingesteld. Door hun rol en bevoegdheden hebben deze toezichthouders zich al enkele keren uitgelaten over de AVG-beveiligingsverplichtingen. Veelal doen ze dit in een concreet geval, wanneer ze een handhavingsbesluit nemen. Over de voorganger van art. 32 AVG, art. 13 Wet bescherming persoonsgegevens (Wbp),2 heeft de voorganger van de AP, het College Bescherming Persoonsgegevens (CBP), zich ook in het algemeen uitgelaten. Dit heeft het gedaan in de vorm van een handreiking voor de vormgeving van beveiliging (de richtsnoeren beveiliging van persoonsgegevens).3

Omdat ik in mijn onderzoek uitga van een autonome uitleg van de AVG-beveiligingsbepalingen, en de besluiten en toelichtingen van toezichthouders bovendien eerder de toepassing van de AVG-beveiligingsbepalingen betreffen dan hun achtergrond of context, gebruik ik ze niet als aparte invalshoek die bij de uitleg van deze bepalingen moet worden meegenomen.4 Desalniettemin sluit mijn onderzoek wel vaak op de bevindingen van toezichthouders aan. Toezichthouders gebruiken bij de toepassing van de AVG-beveiligingsbepalingen dezelfde rechtsvindingmethoden als ik in dit onderzoek doe. Ik verwijs daarom geregeld naar relevante handhavingsbesluiten en de richtsnoeren beveiliging van persoonsgegevens, voornamelijk ter uitwerking of illustratie van bepaalde situaties of conclusies.5 Daarbij kijk ik alleen naar de toelichtingen en besluiten die in de Nederlandse of Engelse taal zijn gepubliceerd. Overigens zullen ook toezichthouders hun visie moeten aanpassen aan eventuele uitspraken van het HvJ EU.