De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.8:4.8 Conclusie

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.8

4.8 Conclusie

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Dit hoofdstuk geeft inzicht in de juridische ontwikkelingen die hebben geleid tot de beveiligingsbepalingen zoals wij die onder de AVG kennen. Hieronder bespreek ik de aanknopingspunten die het rechtshistorische kader biedt voor de invulling van art. 5 lid 1 onder f en 32 AVG. Ik sluit de paragraaf af met een schematisch overzicht van de behandelde internationale ­normen en hun belangrijkste kenmerken.1 Voordat ik inga op de aanknopingspunten die het historische kader biedt, wil ik echter eerst opmerken dat dit rechtshistorische kader niet veel houvast biedt op dit punt. Dit heeft twee belangrijke redenen.

Ten eerste is de kern van de beveiligingsbepalingen door de jaren heen altijd ongeveer hetzelfde geformuleerd, maar is er weinig extra houvast gegeven voor de invulling van deze verplichtingen. Hoewel er niet steeds werd verplicht tot het treffen van passende beveiligings­maatregelen (zo gaat het in de OESO om ‘redelijke’ beveiligings­maatregelen en in de WPR om de ‘nodige’ beveiligings­maatregelen), zijn de bepalingen van persoons­gegevensbeveiliging dan ook zonder uitzondering open. Het uitgangspunt is daarbij altijd geweest dat er van geval tot geval moet worden bekeken welke beveiliging in het concrete geval vereist en geschikt is, hetgeen in de Dataprotectierichtlijn en de AVG tot uitdrukking komt in de term ‘passend’. Om enig houvast bij deze afweging te geven, hebben wetgevers in toenemende mate elementen in de wet opgenomen die de passendheid van maatregelen beïnvloeden. Het ging daarbij altijd om extra elementen, nooit om andere. De beveiligingsbepalingen zijn hierdoor steeds verder uitgewerkt. De AVG biedt hierdoor meer houvast dan haar voorgangers.

Ten tweede is de juridische context van de beveiligings­bepalingen door de jaren heen wel gewijzigd. De Raad van Europa beoogde met zijn richtlijnen de grondrechten van natuurlijke personen te waarborgen; de OESO had meer economische motieven. In het Verdrag van Straatsburg zijn deze twee doelstellingen op elkaar afgestemd. Sindsdien kent het persoons­gegevens­beschermings­recht een zogenoemde dubbele doelstelling. Het beoogt zowel de bij persoons­gegevensverwerkingen betrokken rechten van individuen te waarborgen als het vrije verkeer van persoons­gegevens te realiseren. Dit is de kern van de doelstellingen van het Verdrag van Straatsburg, de Dataprotectierichtlijn en de AVG. Zij beogen allen een balans tussen deze doelen te bewerkstelligen. De AVG legt daarbij een andere nadruk dan het Verdrag van Straatsburg en de Dataprotectierichtlijn. Waar de Dataprotectie­richtlijn natuurlijke personen ‘met name’ in het kader van de eerbiediging van hun privéleven beoogt te beschermen, ziet de AVG in het bijzonder op de waarborging van de bescherming van persoonsgegevens. Deze wijziging is terug te voeren op de gevolgen van het Handvest en het Verdrag van Lissabon voor het recht op de bescherming van persoons­gegevens. Met deze regelingen is de bescherming van persoons­gegevens, dat tot dan toe slechts een onderdeel van het recht op de eerbiediging van het privéleven was, als een autonoom fundamenteel recht erkend en moet het als zodanig door de Europese instellingen en lidstaten worden geëerbiedigd.2 Dit heeft een verschuiving van de focus van de door het persoons­­­gegevens­beschermingsrecht geboden grondrechten­bescherming mee­gebracht. Ook is de EU-wetgever in het Verdrag van Lissabon een mandaat verleend om regels betreffende de bescherming van de persoons­gegevens van natuurlijke personen te treffen (art. 16 VWEU). Anders dan de Dataprotectie­richtlijn, die haar grondslag vindt in de bevoegdheid van de Europese wetgever om de interne markt te regelen, is de AVG terug te voeren op deze specifieke grondslag. Reeds in hoofdstuk 1 is gebleken dat een cruciaal element bij de uitleg van EU-rechtelijke bepalingen de doelstelling is van de regeling waarvan de bepaling deel uitmaakt. De grondslag van de regeling hangt daar sterk mee samen. Het is dan ook de vraag in hoeverre deze ontwikkelingen in de doelstelling en grondslag van het persoonsgegevensbeschermingsrecht invloed zullen hebben op de invulling van de beveiligingsbepalingen. Hierop zal ik nader ingaan in hoofdstuk 5.

Het tegengaan van de risico’s op misbruik en openbaarmaking is van oudsher een van de kernpunten van het persoonsgegevensbeschermingsrecht.

Met de door mij behandelde persoonsgegevensbeschermingsregelingen hebben de opstellers van de verschillende regelingen willen inspelen op bepaalde ontwikkelingen en de risico’s die daarmee gepaard gingen. Vooral van belang was de opkomst van grootschalige, digitale gegevensverwerkingen. Belangrijke risico’s daarvan die de regelingen van het begin van af aan moesten beheersen, zijn onder meer die op misbruik en openbaarmaking.3 Beveiligingsverplichtingen maken hierdoor al sinds de privacyresoluties van de Raad van Europa een belangrijk onderdeel uit van het gegevensbeveiligingsrecht.4 Door de jaren heen is het belang van gegevensbescherming en gegevensbeveiliging, door de toename van digitale gegevensverwerkingen en de risico’s die daaraan verbonden zijn, steeds groter geworden. Onder invloed hiervan zijn de persoonsgegevensbeveiligingsverplichtingen steeds verder uitgewerkt en versterkt (zie ook het schema aan het eind van deze conclusie). Hoewel de verplichtingen in de kern nooit zijn gewijzigd, is zo meer inzicht gegeven in de verschillende elementen die van belang zijn bij de vormgeving van beveiliging. Ook is de verplichting inhoudelijk versterkt. Dit laatste is vooral gebeurd onder de AVG. Zij heeft ertoe geleid dat persoonsgegevensbeveiligingsverplichtingen (weer) gelden voor verwerkers (en niet meer alleen voor verwerkings­verantwoordelijken) en dat de beveiliging van persoonsgegevens weer als beginsel wordt benaderd.5 Nu de toename in digitale persoonsgegevensverwerkingen in de toekomst waarschijnlijk zal doorzetten, is het dan ook aannemelijk dat de beveiliging van persoonsgegevens steeds belangrijker zal worden. Mogelijk zal dit leiden tot een verdere uitbreiding van het persoonsgegevensbeschermingsrecht in het algemeen en de persoonsgegevensbeveiligingsregels in het bijzonder. Mogelijk gaan de verplichtingen in de toekomst bijvoorbeeld weer, net als de bedoeling was onder de resoluties van de Raad van Europa, gelden voor ontwikkelaars van hardware en software – een benadering die EU-wetgever op dit moment nog bewust niet gekozen heeft.

De historische achtergrond van art. 5 lid 1 onder f en 32 AVG duidt erop dat deze normen geen verschillende verplichtingen opleggen.

Het beginsel van art. 5 lid 1 onder f AVG is nieuw in vergelijking met de persoonsgegevensbeginselen uit de Dataprotectierichtlijn, maar heeft toch een historische achtergrond.

Rond 1970 hebben de Raad van Europa en de OESO los van elkaar richtsnoeren gepubliceerd die tot harmonisatie van het gegevensbeschermingsrecht moesten leiden. Hiertoe bevatten zij beginselen die nationale wetgevers in hun recht dienen te garanderen. Beide regelingen kennen een beginsel betreffende de beveiliging van persoons­­gegevens.6 In de loop der jaren is het Europese persoonsgegevens­beschermings­­­­­recht stapsgewijs geëvolueerd naar een rechtstreeks werkende verordening. Daarbij is steeds inspiratie ontleend aan de eerdere regelingen. Beginselen zijn altijd onderdeel van het recht gebleven. Het bestaan van persoonsgegevens­beveiligings­beginselen (naast de later geformuleerde concretere beveiligingsverplichtingen)7 heeft dan ook een historische achtergrond. In de context van de Dataprotectierichtlijn heeft de EU-wetgever ook nadrukkelijk benoemd dat de beginselen op deze oudere regelingen zijn gebaseerd.8

Het voorgaande lijkt mee te brengen dat art. 5 lid 1 onder f AVG inhoudelijk geen andere eisen oplegt dan art. 32 AVG. Onder de Dataprotectierichtlijn waren de verplichtingen aangaande persoonsgegevensbeveiliging gebaseerd op het Verdrag van Straatsburg en onder de AVG is dit wederom het geval. Art. 5 lid 1 onder f AVG is rechtstreeks gebaseerd op het Verdrag van Straatsburg en art. 32 AVG is gebaseerd op art. 13 Dataprotectierichtlijn, dat eveneens op het Verdrag van Straatsburg is gebaseerd.

Niettemin moet de functie van de persoons­gegevens­beschermings­­­beginselen door de jaren heen zijn gewijzigd. Nu lidstaten niet langer zelf regels kunnen stellen, kunnen beginselen hen hierbij immers ook geen richting geven. De huidige functie lijkt vooral te liggen in de mogelijkheden die art. 5 lid 1 onder f biedt op het gebied van sanctionering. Hierop ga ik verder in §6.6.

Naast de beveiligingsrisico’s speelt ook de aard van de gegevens een rol bij het te waarborgen beveiligingsniveau.

De beveiligingsbepalingen onder de Wbp en de Dataprotectierichtlijn waren anders gestructureerd dan art. 5 lid 1 onder f en 32 AVG. In deze voorgangers werden de omstandigheden waarmee rekening moest worden gehouden bij de beveiliging van persoonsgegevens iets meer opgedeeld. Hieruit wordt duidelijk dat het te waarborgen beveiligingsniveau ook afhankelijk is van de risico’s die de verwerking en de aard van de te beschermen gegevens met zich brengen.9 Dit sluit, in ieder geval wat betreft de relevantie van de aard van de gegevens voor het te waarborgen beveiligingsniveau, aan bij de manier waarop beveiliging in de praktijk wordt benaderd.10

De passendheid van beveiligingsmaatregelen is in belangrijke mate afhankelijk van de stand van de techniek en de uitvoeringskosten.

Zoals bleek uit het vorige aanknopingspunt, zijn de elementen die de passendheid van het te waarborgen beveiligingsniveau en de te waarborgen beveiligingsmaatregelen beïnvloeden in de Dataprotectierichtlijn meer van elkaar gescheiden. Daarbij valt op dat bij de passendheid van beveiligingsmaatregelen vooral de stand van de techniek en de kosten van de tenuitvoerlegging van belang zijn.11

Doel regeling

Norm (mee te nemen elementen)

Maatregelen gericht op tegengaan van

Vorm

Resoluties RvE

Grondrechtelijk

Treffen maatregelen

Verkeerd gebruik en misbruik

Beginsel

OESO-richtlijnen

Vooral economisch (balans met grondrechten)

Beschermen gegevens d.m.v. redelijke maatregelen

Risico’s als verlies, vernietiging, ongeautoriseerde toegang, gebruik, aanpassing en openbaarmaking.

Beginsel

Verdrag van Straatsburg

Grondrechtelijk en economisch (afstemming)

Passende maatregelen (soort gegevens, functie gegevens, betrokken risico’s, stand v/d techniek)

Onopzettelijke/ongeautoriseerde vernie­ti­ging, onopzettelijk verlies, ongeau­to­ri­seerde toegang, aanpassing en verspreiding.

Beginsel

Dataprotectierichtlijn

Grondrechtelijk (i.h.b. privacy) en economisch

Passende techn.& organ. maatregelen om te bev­eil­ig­en tegen (zie hiernaast), die het passende beveiligingsniveau garanderen (risico’s vwerw., aard gegevens, stand v/d techniek, kosten)

Vernietiging, verlies, vervalsing, niet-toegelaten verspreiding of toegang en andere vormen van onwettige verwerkingen.

Verplichting

AVG

Grondrechtelijk (i.h.b. bescherming persoonsgegevens) en economisch

Passende techn.& organ. maatregelen om het passende beveiligingsniveau te waarborgen (stand v/d techniek, kosten, aard, omgang, context, verwerkings­doel­en en risico’s voor de rechten)

Verwerkingsrisico’s, vooral als gevolg van vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens

Beginsel en verplichting

Deze functie is alleen te gebruiken als je bent ingelogd.