De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.3.1:6.3.1 Algemeen: art. 25 lid 1 AVG

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.3.1

6.3.1 Algemeen: art. 25 lid 1 AVG

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS661006:1
Vakgebied(en): Privacy (V)

Verwerkingsverantwoordelijken moeten zich bezighouden met gegevensbescherming vanaf het moment dat zij hun verwerkingsmiddelen vaststellen, zo blijkt uit art. 25 lid 1 AVG. Zij moeten hier dus al in een vroeg stadium aandacht voor hebben en er vervolgens gedurende de verwerking bij stil blijven staan. Dit concept wordt doorgaans aangeduid als data protection by design.1 In dit kader dienen verwerkingsverantwoordelijken passende technische en organisatorische maatregelen te treffen, die erop zijn gericht gegevensbeschermingsbeginselen doeltreffend uit te voeren, de naleving van de AVG te garanderen en de bescherming van de rechten van betrokkenen te waarborgen.

Het concept data protection by design vindt zijn oorsprong in het informatiebeveiligingsdomein en wordt daar breed omarmd. Het kent als uitgangspunt dat gegevensbescherming, om daadwerkelijk effectief te zijn,2 tijdens de gehele levenscyclus van een technologische toepassing in deze toepassing moet zijn ingebed: vanaf het moment van ontwikkeling tot het moment van vernietiging.3 Het brengt daarom mee dat ontwikkelaars en producenten van persoonsgegevensverwerkings- en beveiligingssystemen en maatregelen al bij de ontwikkeling van hun producten en toepassingen rekening moeten houden met gegevensbescherming. Het bovenstaande wil de EU-wetgever met art. 25 lid 1 AVG stimuleren.4 Hij beoogt dat ontwikkelaars en producenten erop toe gaan zien dat verwerkingsverantwoordelijken en verwerkers in staat zijn te voldoen aan hun gegevensbeschermingsverplichtingen.5 Omdat de AVG alleen verwerkingsverantwoordelijken en verwerkers betreft, kunnen er echter geen op deze wens aansluitende juridische verplichtingen uit de AVG voortvloeien.6 De precieze implicaties van art. 25 lid 1 AVG zijn daarom nog onduidelijk.7 In het algemeen wordt aangenomen dat deze bepaling meebrengt dat verwerkingsverantwoordelijken de waarborging van persoonsgegevensbescherming zelf in acht moeten nemen vanaf het moment dat zij de middelen van een nieuwe verwerking vaststellen.8 Zij moeten hiertoe onder meer maatregelen treffen ten aanzien van de minimalisering van de hoeveelheid te verwerken gegevens, de pseudonimisering van deze gegevens en het creëren en verbeteren van beveiligingskenmerken.9

In de literatuur is veel kritiek geuit op art. 25 AVG. Zo zou deze bepaling vaag en ingewikkeld zijn geformuleerd en weinig effectief zijn doordat zij geen verplichting kan meebrengen voor de ontwikkelaars van software en hardware.10 De meerwaarde van art. 25 AVG wordt met name gezien in de bijdrage die het kan leveren aan de bewustwording van het constante belang van gegevensbescherming.11

Toon alle voetnoten

Voetnoten

Voetnoten

Art. 25 lid 2 AVG betreft data protection by default (gegevensbescherming door standaardinstellingen). Deze bepaling is voornamelijk gericht op dataminimalisatie, al bepaalt zij ook dat de verwerkingsverantwoordelijke maatregelen moet treffen die bewerkstelligen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal personen toegankelijk wordt gemaakt (wat ziet op de vertrouwelijkheid van gegevens). Omdat gegevensbescherming door standaardinstellingen niet in het bijzonder aan de beveiliging van persoonsgegevens is gerelateerd, ga ik in deze paragraaf slechts in op art. 25 lid 1 AVG.

De bepaling is gericht op het bewerkstelligen van effectiviteit (Europees Comité voor gegevensbescherming 2020, richtsnoeren 4/2019, pt. 14-16; Jasmontaite e.a. 2018, §III.3).

De Commissie 2010, §2.2.4 (voetnoot 30). Zie voor meer over dit beginsel en over het ontstaan daarvan i.h.b. Jasmontaite e.a. 2018, §II, en verder Borking 2013, §2; Van Schendel & Cuijpers 2016; Bygrave 2017, §1; Bolte 2020, §3 en §8.

Preambule AVG, o. 78.

Zie over de normadressaten van de AVG §2.2.3.

Koops & Leenes 2014; Bygrave 2017. Zie in dit kader ook bijv. Jansen 2017, §4, die tot de conclusie komt dat de bepalingen inhoudelijk niet veel toevoegen aan de rest van de AVG.

Europees Comité voor gegevensbescherming 2020, richtsnoeren 4/2019, pt. 32-36. Zie ook Jasmontaite e.a. 2018, §III.1.

Preambule AVG, o. 78. Zie ook Bygrave 2017, p. 115.

10.

Bygrave 2017, p. 117-120.

11.

Bygrave 2017, p. 120, zie ook Koops & Leenes 2014, p. 168 en Bolte 2020, §11. Zie anders Jasmontaite e.a. 2018, §V. Zij stellen dat de abstracte bewoording van art. 25 AVG geen probleem op hoeft te leveren doordat de bepaling voortborduurt op andere bepalingen uit de AVG, die art. 25AVG versterkt en nader uitbouwt. Ook zij benoemen echter dat de daadwerkelijke implementatie van deze beginselen ingewikkeld zal zijn.