De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.4:2.4 Conclusie

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.4

2.4 Conclusie

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

De AVG-beveiligingsverplichtingen volgen uit art. 5 lid 1 onder f AVG en 32 AVG.1 Deze eerste bepaling bevat ‘het beginsel van integriteit en verantwoordelijkheid’, de tweede regelt persoonsgegevensbeveiliging in meer detail. Tezamen brengen ze mee dat verwerkings­verant­woordelijken en verwerkers passende beveiligings­maatregelen moeten treffen om het passende beveiligingsniveau te waarborgen.2 De tekst en systematiek van art. 5 lid 1 onder f en 32 AVG bieden verschillende aanknopingspunten voor de invulling van deze open geformuleerde verplichtingen.3 Ik behandel ze hieronder een voor een.

Art. 5 lid 1 onder f en 32 AVG hebben dezelfde kern.

Art. 5 lid 1 onder f bevat een beginsel inzake persoonsgegevens, art. 32 AVG een verplichting voor verwerkingsverantwoordelijken en verwerkers. De bepalingen zijn niet identiek geformuleerd, maar hebben wel dezelfde kern: in de basis verplichten beide tot het treffen van passende technische en organisatorische beveiligingsmaatregelen en het waarborgen van het passende beveiligingsniveau.4 De elementen die de passendheid hiervan beïnvloeden, lijken bovendien op hetzelfde neer te komen.5 Hoewel hiermee niet is gezegd dat ‘passend’ in de zin van beide bepalingen hetzelfde moet worden uitgelegd, blijkt hieruit wel dat het systeem van de bepalingen hetzelfde is. De elementen die de invulling van art. 32 AVG medebepalen, zijn zodoende ook van belang bij de invulling van art. 5 lid 1 onder f AVG en andersom.

Persoonsgegevens moeten altijd worden beveiligd, ook als er geen activiteiten mee worden verricht en zij dus ‘in rust’ zijn.

De AVG beslaat de verwerkingen van persoonsgegevens. Verwerkingen zijn in principe handelingen, zo lijkt te volgen uit de definitie van dit begrip. Het moet echter zo breed worden uitgelegd dat ook persoonsgegevens ‘in rust’, op grond van art. 5 lid 1 onder f en 32 AVG, worden beveiligd. Deze uitleg past het best bij de bescherming die de AVG beoogt te bieden en de wijze waarop het HvJ EU het toepassingsgebied van deze verordening uitlegt.6

De beveiligingsbepalingen zijn door hun formulering van toepassing op vrijwel alle handelingen aangaande persoonsgegevens. De invulling van deze bepalingen kan hierdoor van geval tot geval sterk verschillen.

Door hun ruime toepassingsgebied en de open opzet beslaan art. 5 lid 1 onder f en 32 AVG vele situaties, waarin sterk van elkaar verschillende behoeften en omstandig­heden spelen.7 Een bakker die namen en adressen opslaat om bestellingen af te leveren, een huisarts die medische gegevens van patiënten deelt met ziekenhuizen, een onderzoeksgroep die geanonimiseerde of gepseudonimiseerde (maar met aanvullende gegevens desondanks naar een individu herleidbare) gegevens analyseert; allemaal dienen ze te voldoen aan de AVG-beveiligingsbepalingen. Door haar technologieneutrale opzet kunnen zij deze situaties ook allemaal regelen.8 De eisen die uit art. 5 lid 1 onder f en 32 AVG voortvloeien, zullen per situatie verschillen en onder meer afhankelijk zijn van de relevante risico’s en de gevoeligheid van de betrokken gegevens.9 Zie ook de volgende aanwijzing.

Alle omstandigheden van het geval lijken de beveiligingsverplichtingen in het concrete geval te kunnen beïnvloeden.

Art. 32 AVG benoemt vele, en zeer uiteenlopende, omstandigheden die de passendheid van beveiliging beïnvloeden. Het gaat daarbij om zowel omstandigheden die betrokkenen aangaan (zoals de risico’s voor hun rechten en vrijheden) als om omstandigheden die verwerkingsverantwoordelijken en verwerkers aangaan (zoals de uitvoeringskosten). Ook gaat het om zowel juridische omstandigheden (wederom de rechten voor de risico’s en vrijheden van natuurlijke personen) als om meer praktische elementen (zoals de stand van de techniek). De formulering van in het bijzonder art. 5 lid 1 onder f en 32 lid 2 AVG impliceert bovendien dat er naast de elementen die in art. 5 lid 1 onder f en 32 AVG zijn genoemd ook nog andere elementen van belang kunnen zijn voor de beoordeling van de passendheid van beveiliging. Dit lijkt mee te brengen dat de passendheid van beveiliging van vrijwel alle omstandigheden van een verwerking afhankelijk kunnen zijn.10

De in de AVG genoemde handvatten voor de invulling van de AVG-beveiligingsbepalingen geven richting, maar geen duidelijkheid.

De AVG-beveiligingsbepalingen, in het bijzonder art. 32 AVG, verduidelijken welke elementen van belang zijn voor het te waarborgen beveiligingsniveau en de passendheid van beveiligingsmaatregelen. Hoewel betrokken partijen aan de hand hiervan tot op zekere hoogte kunnen beoordelen wat de passendheid van hun beveiliging zal beïnvloeden, bieden de elementen niet daadwerkelijk houvast. Zij maken niet duidelijk wanneer een beveiligings­maatregel of een beveiligings­niveau passend is en verklaren bovendien niet wanneer er sprake is van de ‘waarborging’ van een dergelijk beveiligingsniveau.11

Passende beveiligingsmaatregelen zijn maatregelen die het passende beveiligingsniveau waarborgen.

Er bestaat een nauw middel-doelverband tussen het treffen van passende beveiligingsmaatregelen en het waarborgen van het passende beveiligingsniveau. Zonder passende maatregelen kan het passende beveiligingsniveau niet worden gewaarborgd en de passende maatregelen moeten zijn gericht op de waarborging van het passende beveiligingsniveau. Het gevolg van dit middel-doelverband is dat de AVG-beveiligingsbepalingen in ieder geval zijn geschonden wanneer de getroffen maatregelen geen passend beveiligingsniveau waarborgen. Daarnaast zal voor de passendheid van beveiligingsmaatregelen de voornaamste vraag zijn of zij het passende beveiligingsniveau waarborgen.12

Bij de invulling van de AVG-beveiligingsbepalingen zijn verwerkingsrisico’s het centrale element, maar ook algemene beveiligingsrisico’s zijn van belang.

Het vorige aanknopingspunt brengt mee dat verwerkings­verantwoordelijken en verwerkers bij de vormgeving van beveiliging eerst het doel moeten vaststellen, zodat het middel daarop kan worden afgestemd. Bij deze vaststelling zijn ‘met name’ verwerkingsrisico’s van belang: het te waarborgen beveiligingsniveau wordt ook wel het op het risico afgestemde beveiligingsniveau genoemd.13 Ook algemene beveiligingsrisico’s, die dus niet per se aan de te verrichten verwerking zijn gerelateerd, beïnvloeden het te waarborgen beveiligingsniveau.

De precieze rol van de andere factoren dan de verwerkingsrisico’s bij de invulling van de AVG-beveiligingsbepalingen is onduidelijk.

Het bovenstaande brengt mee dat de elementen die wel van invloed zijn op de passendheid van de beveiligingsmaatregelen, maar niet op die van het beveiligingsniveau, van minder groot belang zijn bij de vormgeving van beveiliging dan de elementen die wel van invloed zijn op de passendheid van het beveiligingsniveau. Zij lijken het te waarborgen doel immers niet te beïnvloeden, maar slechts als handvat te dienen voor verwerkings­verantwoordelijken en verwerkers bij de keuze voor het middel. De elementen waar het daarbij om gaat, zijn de stand van de techniek, de uitvoeringskosten, alsook de aard, de omvang, de context, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.14 Uit andere delen van deze studie zal echter blijken dat de conclusie dat geen van deze factoren het te waarborgen beveiligingsniveau beïnvloeden, nuancering verdient. Zie hierover §8.3.3.

Deze functie is alleen te gebruiken als je bent ingelogd.