Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/1.1
1.1 Aanleiding, probleemstelling en relevantie
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660989:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie over de sanctionering van schendingen van art. 5 lid 1 onder f en 32 AVG §6.6.1 en §6.6.3, en over de schade die bij een schending van de AVG kan ontstaan de preambule van de AVG, i.h.b. o. 75. Hieruit blijkt dat deze schade lichamelijk, materieel of immaterieel kan zijn. Zie over schade in de context van de AVG ook Walree 2021. De termen ‘verwerkingsverantwoordelijke’ en ‘verwerker’ werk ik uit in §2.2.3.2 en §2.2.3.3. Het begrip ‘betrokkene’ komt aan bod in §2.2.2.2.
Zie de website van de AP onder ‘publicaties’ voor een overzicht van de gepubliceerde sanctiebesluiten uit de jaren 2018-2021. De AP is niet verplicht om al zijn sanctiebesluiten te openbaren (Beleidsregels openbaarmaking door de AP).
Resp. AP Jaarrapportage meldplicht datalekken 2018, AP Jaarrapportage meldplicht datalekken 2019 en AP Jaarrapportage meldplicht datalekken 2020. In 2020 is het aantal beveiligingsincidenten als gevolg van cybercriminaliteit met 30% gestegen. De daling in 2020 heeft volgens de AP te maken met een verandering in de werkwijze van incassobureaus. Zie verder Van der Voort & Warnaars 2020.
AP Jaarrapportage meldplicht datalekken 2018, p. 2; AP Jaarrapportage meldplicht datalekken 2019, p. 9; AP Jaarrapportage meldplicht datalekken 2020, p. 5.
AP Focus 2020-2023, §2.2.
AP Flitspeiling 2019. Zie p. 2, waaruit blijkt dat 94% van de Nederlanders zich zorgen maakt over de bescherming van zijn persoonsgegevens. Uit de tabel op p. 10 blijkt dat veel van deze zorgen zijn gerelateerd aan de beveiliging van deze gegevens. De drie meest geuite zorgen hangen bijv. nauw samen met de waarborging van de vertrouwelijkheid van persoonsgegevens: ‘bang voor misbruik’, ‘bang voor onbevoegden toegang’ en ‘bang gegevens in verkeerde handen’ (zie over vertrouwelijkheid §3.3.2).
Zie over mijn keuze voor deze duiding §2.2.1.
Zie meer in het algemeen preambule AVG, o. 9 en 11, waarin de EU-wetgever benoemt dat de Dataprotectierichtlijn niet heeft kunnen voorkomen dat er rechtsonzekerheid heerst (zie ook §4.7.1). Ook de vaagheid van AVG-bepalingen is in de literatuur bekritiseerd, mede omdat uit onderzoek naar de toepasbaarheid van het Europese gegevensbeschermingsrecht is gebleken dat de open formulering daarvan het voor normadressaten moeilijk maakt aan dit recht te voldoen (vgl. preambule AVG, o. 9, zie hierover bijv. Bergkamp 2002, p. 35; Koops 2014, p. 254 en Golla 2017, p. 74).
Zie de vorige alinea.
Zie over deze doelen hoofdstuk 5.
Preambule AVG, o. 10. Met de AVG beoogt de EU-wetgever deze bescherming van grondrechten en fundamentele vrijheden te bewerkstellingen (art. 1 AVG, zie §5.2). Vgl. (in het kader van netwerk- en informatiesystemen) preambule NIB-richtlijn, o. 66: “Met het oog op een eenvormige toepassing van de beveiligingsnormen moeten de lidstaten naleving van of afstemming op specifieke normen aanmoedigen om een hoog niveau van beveiliging van netwerk- en informatiesystemen op Unieniveau te waarborgen”. Zie over de bepalingen in de context waarvan de EU-wetgever dit heeft overwogen §7.4.4.
Het gaat hierbij niet om ‘contexten’ zoals Nissenbaum dit begrip gebruikt in ‘Privacy in context’. Zij beargumenteert dat privacy moet worden beschouwd ‘in context’. Daarbij gaat het om de verschillende sociale contexten waarin privacy van belang is, zoals op werk, in het publieke domein en bij vrienden en familie (Nissenbaum 2010).
We delen onze gegevens op bijna dagelijkse basis. Vaak gaat het om adres- en betalingsgevens, soms om gevoeligere gegevens zoals medische informatie of een burgerservicenummer. Meestal hebben we liever niet dat de gegevens die we delen verder bekend worden. De hoop, en vaak ook de veronderstelling, is daarom dat partijen die we onze informatie toevertrouwen daar zorgvuldig mee omgaan en zo onder andere tegengaan dat de gegevens bij anderen terecht komen. De Algemene Verordening Gegevensbescherming (AVG) vereist dat zij dit ook daadwerkelijk doen, in ieder geval tot op zekere hoogte. In dit kader bepalen de artikelen (art.) 5 lid 1 onder f en 32 AVG – kort gezegd – dat er bij persoonsgegevensverwerkingen passende technische en organisatorische beveiligingsmaatregelen moeten worden getroffen om het passende beveiligingsniveau te waarborgen (zie voor de precieze tekst van deze bepalingen en de uitleg van mijn keuze om ze op deze manier te duiden §2.2.1).
Beveiligingsgebreken hebben potentieel grote gevolgen. Zij kunnen voor verwerkingsverantwoordelijken en verwerkers leiden tot bestuursrechtelijke sancties, zoals boetes. Bij betrokken kunnen ze materiële en immateriële schade tot gevolg hebben.1 De beveiliging van persoonsgegevens is echter lang niet altijd op orde. Ongeveer veertig procent van de sanctiebesluiten die de Nederlandse toezichthouder op persoonsgegevensverwerkingen, de Autoriteit Persoonsgegevens (AP), sinds de van toepassing wording van de AVG heeft gepubliceerd, houdt op het moment van schrijven verband met een beveiligingsgebrek.2 Wetende dat de AVG meer dan vijftig bepalingen kent waarvan toezichthouders een schending kunnen sanctioneren, zijn dit er relatief veel.3 Het aantal voorgevallen beveiligingsinbreuken waarvan het niet onwaarschijnlijk is dat ze een risico meebrengen voor de rechten en vrijheden van natuurlijke personen ligt bovendien nog veel hoger.4 Alleen al in Nederland zijn in de jaren 2018, 2019 en 2020 respectievelijk 20.881, 26.956 en 23.976 van dit soort inbreuken gemeld.5 De AP gaat ervan uit dat er in werkelijkheid nog meer hebben plaatsgevonden.6 Bovendien is het haar verwachting dat het aantal beveiligingsgebreken toeneemt.7 Het lijkt dan ook terecht dat een groot deel van de Nederlandse bevolking zich zorgen maakt over haar persoonsgegevens en de beveiliging daarvan.8
Art. 5 lid 1 onder f en 32 AVG laten veel ruimte voor invulling en interpretatie. Zij schrijven niet voor welke beveiligingsmaatregelen verwerkingsverantwoordelijken en verwerkers moeten treffen of welk beveiligingsniveau zij moeten realiseren, maar slechts dat beide passend moeten zijn.9 De AVG benoemt enkele omstandigheden die van belang zijn bij de invulling van de norm, maar verduidelijkt niet wat de term ‘passend’ precies inhoudt en aan welke criteria de beveiliging van persoonsgegevens in dit kader moet voldoen.10 Over de verplichtingen uit de AVG-beveiligingsbepalingen is vooralsnog veel onzeker.11 Mogelijk verklaart dit (mede) het relatief hoge aantal handhavingsbesluiten dat vanwege de schending van deze artikelen is genomen en de vele inbreuken in verband met persoonsgegevens die de afgelopen jaren hebben plaatsgevonden.12 Het is immers goed denkbaar dat verwerkingsverantwoordelijken en verwerkers veelal niet weten wat zij moeten doen om aan de beveiligingsbepalingen te voldoen.
Meer duidelijkheid over de invulling van de AVG-beveiligingsbepalingen is vanuit verschillende perspectieven wenselijk. Allereerst kan inzicht in de wettelijke beveiligingseisen de op dit punt bestaande rechtsonzekerheid verminderen.13 Zowel verwerkingsverantwoordelijken en verwerkers die hun beveiligingssystemen vormgeven als rechters en toezichthouders die de naleving van de AVG-beveiligingsbepalingen in een concreet geval beoordelen, kunnen hier houvast aan ontlenen.Voor datasubjecten kan duidelijkheid over de norm bovendien meer inzicht bieden in hun eigen rechtspositie. Het stelt hen beter in staat in te schatten of ze een verwerkingsverantwoordelijke of verwerker succesvol aansprakelijk kunnen stellen voor de (im)materiële schade die zij hebben geleden door een beveiligingsgebrek.
Verder zal kennis over de inhoud van de AVG-beveiligingsbepalingen bijdragen aan het behalen van de doelen van de AVG.14 Als de eisen die de AVG aan de beveiliging van persoonsgegevens stelt duidelijker worden, verkleint immers de kans dat de lidstaten van de Europese Unie (EU) de term ‘passend’ verschillend interpreteren. Dit draagt bij aan de harmonisatie van het persoonsgegevensbeschermingsrecht en (zodoende) aan de waarborging van het vrije verkeer van persoonsgegevens. Met hoe minder verschil lidstaten de norm toepassen, hoe minder belemmeringen er per slot van rekening bestaan voor dit verkeer.15 Ook aan de realisatie van het andere AVG-doel, de bescherming van grondrechten en fundamentele vrijheden, komt een dergelijke coherente en uniforme bescherming volgens de EU-wetgever ten goede.16 Verder stimuleert kennis over de beveiligingseisen het debat over de inhoud van art. 5 lid 1 onder f en 32 AVG, wat eveneens tot verdere harmonisatie kan leiden.
Met deze studie beoog ik de kennis over de AVG-beveiligingsverplichtingen te vergroten en art. 5 lid 1 onder f en 32 AVG inzichtelijker te maken. Op dit moment zijn er geen bronnen voorhanden op basis waarvan veelomvattende conclusies kunnen worden getrokken over de invulling van de AVG-beveiligingsbepalingen in concrete situaties, zoals rechtspraak of aanwijzingen door de EU-wetgever. Zoals ik hierna in §1.2 en §1.3 uiteenzet, analyseer ik art. 5 lid 1 onder f en 32 AVG daarom vanuit verschillende contexten.17 Daarbij formuleer ik handvatten voor de toepassing en uitleg van het beginsel van integriteit en vertrouwelijkheid en art. 32 AVG (die ik aanknopingspunten noem). Aan de hand van alle geformuleerde aanknopingspunten beoordeel ik vervolgens welke inzichten de contexten tezamen bieden in de AVG-beveiligingsbepalingen. Mijn onderzoeksvraag luidt als volgt: Welke aanknopingspunten en inzichten bieden de tekst en systematiek van art. 5 lid 1 onder f en 32 AVG, de informatiebeveiligingspraktijknormen en -gebruiken, de geschiedenis van het persoonsgegevensbeschermingsrecht, de doelstelling van de AVG, het systeem van de AVG en gerelateerd EU-beleid en -recht voor de invulling van art. 5 lid 1 onder f en 32 AVG, in het bijzonder voor de termen ‘het passende beveiligingsniveau’ en ‘passende beveiligingsmaatregelen’?