De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.2.2:8.2.2 Toepassingsbereik: breed in object en subject

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.2.2

8.2.2 Toepassingsbereik: breed in object en subject

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

In mijn onderzoek is naar voren gekomen dat verwerkingsverantwoordelijken en verwerkers in sterk uiteenlopende gevallen persoonsgegevens­beschermings­maatregelen moeten treffen. Dit komt door het toepassingsbereik van art. 5 lid 1 onder f en 32 AVG, dat het brede toepassingsbereik van de AVG volgt.

Het brede toepassingsbereik van art. 5 lid 1 onder f en 32 AVG hangt in de eerste plaats samen met haar object. Hierbij staan de termen ‘persoonsgegevens’ en ‘persoonsgegevensverwerkingen’ centraal. Door de grote hoeveelheid gegevens, respectievelijk handelingen, die hieronder vallen, regelt de AVG veel en gevarieerde gevallen.1 Zo ziet zij niet alleen op gegevens waarmee handelingen worden verricht, maar ook op bewaarde gegevens waarmee (op het moment) niets gebeurt, en die dus ‘in rust’ zijn.2 Verder vallen ook verwerkingen van gegevens die niet inhoudelijk gaan over een natuurlijk persoon, maar wel een aan een natuurlijk persoon gerelateerd doel of gevolg hebben, onder de AVG.3 De hoeveelheid verwerkingen van persoonsgegevens is hierdoor aanzienlijk. Dit werkt door in het bereik van art. 5 lid 1 onder f en 32 AVG, die door hun open en technologieneutrale formulering van toepassing zijn op alle situaties waarop de AVG ziet (zie ook §8.4.2). Hierdoor kunnen de beveiligingseisen die worden gesteld van geval tot geval sterk verschillen (zie ook §8.4.3).4

Dat art. 32 AVG een breed toepassingsbereik heeft, komt verder door het subject van deze bepaling. De bepaling brengt verplichtingen mee voor zowel verwerkingsverantwoordelijken als verwerkers.5 Zij zijn beide ‘beveiligings­verantwoordelijk’, en kunnen zich bij de beveiliging van persoonsgegevens dan ook niet achter elkaar verschuilen.6 Dit is van belang, omdat deze gelijkwaardigheid afwijkt van het uitgangspunt van veel andere AVG-verplichtingen - die verwerkings­verant­woordelijken meer verplichtingen toekennen dan verwerkers - en van de beveiligingsbepaling die gold onder de Dataprotectierichtlijn (die alleen zag op verwerkingsverant­woordelijken).7 Overigens beoogt de AVG zelfs te bewerkstelligen dat ontwikkelaars en producenten van verwerkings- en ICT-producten zich al bij de ontwikkeling van hun producten met (onder meer) beveiliging bezighouden. Dit valt echter buiten het toepassingsbereik van deze verordening, waardoor in dit kader enkel indirecte verplichtingen worden opgelegd.8

Anders dan art. 32 AVG heeft art. 5 lid 1 onder f AVG wel alleen betrekking op verwerkingsverantwoordelijken.9 Doordat de maximale boete voor een schending van art. 5 lid 1 onder f AVG het dubbele is van de maximale boete voor een schending van art. 32 AVG,10 kan de toezichthouder de verwerkingsverantwoordelijke hierdoor een hogere boete opleggen wegens onvoldoende beveiliging dan een verwerker.11 Het algemene onderscheid tussen de rollen van een verwerker en een verwerkingsverantwoordelijke klinkt zo toch door in (de sanctionering van) de beveiligingsverplichtingen.12 Ook door andere verplichtingen is het beveiligingsproces voor verwerkingsverantwoordelijken anders dan voor verwerkers. Zo hoeven alleen verwerkingsverantwoordelijken al vanaf het ontwerp van een verwerking met beveiliging bezig te zijn (verwerkers zijn in deze fase ook veelal nog niet betrokken) en moeten verwerkers de maatregelen die zij willen treffen, voorleggen aan verwerkingsverantwoordelijken.13

Deze functie is alleen te gebruiken als je bent ingelogd.