Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.2.3
6.2.3 Invulling ‘passend’: enkele extra aanwijzingen
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660974:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie in het bijzonder §3.4.
Zie over dit doel §2.3.4, en verder §8.2.3 en §8.4.
Zie bijv. Bygrave 2002, §3.1 die aangeeft dat toezichthouders de AVG-beginselen kunnen gebruiken bij de afwegingen die zij moeten maken in het kader van hun handhaving. Zie verder Krzysztofek 2017, §4.01; Voigt & Von dem Bussche 2017, §4.1; De Hert 2017, p. 169.
Alexy (1985) 2009, p. 102. Hij stelt dat “The greater the degree of non-satisfaction of, or detriment to, one principle, the greater must be the importance of satisfying the other.” (zie hierover ook Wolters 2013, p. 51). Zie verder ook Dworkin 1967, p. 27; Braithwaite 2002, p. 50; De Hert 2017, p. 168/169.
In gelijke zin Wolters 2013, p. 51.
Art. 24 AVG verplicht tot het treffen van passende technische en organisatorische maatregelen, net als art. 32 AVG. De term ‘passend’ is in de context van art. 24 AVG verder uitgewerkt dan in die van art. 32 AVG.
In de context van art. 24 AVG verduidelijkt de wetgever dat de plicht tot het treffen van passende maatregelen meebrengt dat verwerkingsverantwoordelijken deze maatregelen moeten evalueren en indien nodig actualiseren.1 Bovendien heeft hij expliciet gemaakt dat de maatregelen effectief moeten zijn.2 Beide verduidelijkingen staan niet expliciet in de AVG-beveiligingsbepalingen of de preambuleoverwegingen die betrekking hebben op deze artikelen.
De maatregelen die verwerkingsverantwoordelijken moeten treffen vanwege art. 24 AVG zien op de naleving van de AVG, en dus niet specifiek op persoonsgegevensbeveiliging. Toch vullen bovengenoemde aanwijzingen naar mijn mening ook (mede) de term ‘passend’ in de zin van de AVG-beveiligingsbepalingen in. Effectieve en geactualiseerde maatregelen zijn immers noodzakelijk om het passende beveiligingsniveau te bereiken, vooral vanwege de snelle ontwikkelingen op het gebied van cyberbeveiliging.3 Oftewel: maatregelen die niet geactualiseerd en/of effectief zijn, kunnen hun doel – het waarborgen van het passende beveiligingsniveau – nooit verwezenlijken. Zij kunnen daarom niet passend zijn.4
Verder leiden de algemene verplichtingen van verwerkingsverantwoordelijken ertoe dat alle persoonsgegevensbeschermingsbeginselen een rol kunnen spelen bij de invulling van art. 32 AVG.5
Wanneer een verwerkingsverantwoordelijke kan kiezen uit beveiligingsmaatregelen die vanuit het oogpunt van beveiliging gelijkwaardig zijn, dan dient hij te kiezen voor de maatregelen die het beste verenigbaar zijn met de overige AVG-beginselen, zoals het beginsel van minimale gegevensverwerking.
Soms moet een verwerkingsverantwoordelijke voor beveiligingsmaatregelen kiezen die een lager beveiligingsniveau waarborgen dan andere maatregelen, ten gunste van een ander persoonsgegevensbeschermingsbeginsel. Zo kan een autorisatiesysteem dat gebruikmaakt van verschillende gevoelige persoonsgegevens en deze opslaat weliswaar de beveiliging van andere gegevens dienen, maar zal het doorgaans een te grote aantasting vormen van het beginsel van minimale gegevensverwerking. In het algemeen is het uitgangspunt dat wanneer beginselen met elkaar in conflict komen, zij tegen elkaar moeten worden afgewogen. Daarbij geldt dat een inbreuk op een beginsel slechts mag, indien het belang van de waarborging van een ander beginsel in het concrete geval groter is. Dit betekent dat beperkte inbreuken eerder zijn toegestaan dan grote inbreuken.6 Het is op dit moment nog onduidelijk hoe de verschillende beginselen van de AVG zich tot elkaar verhouden. Welk beginsel in een concreet geval prevaleert, is waarschijnlijk afhankelijk van de omstandigheden van het geval.7