3.5.1 Inleiding

De beveiliging van persoonsgegevens(verwerkingen) krijgt vorm door middel van het treffen van beveiligings­maatregelen.1 Zowel de passendheid van deze maatregelen als die van het daarmee gewaarborgde beveiligingsniveau zal afhangen van de gekozen maatregelen. Binnen het informatiebeveiligingsdomein zijn vele verschillende maatregelen ontwikkeld. De ISO-normen alleen al benoemen er meer dan honderd, die allemaal worden gerekend tot de beste praktijken van de informatiebeveiligingspraktijk.2 Bij de invulling van de AVG-beveiligingsbepalingen gaat het om het effect van de maatregelen, niet om de technische of organisatorische werking. Het gaat er immers om of zij het te waarborgen doel realiseren.3 Een diepgaande bespreking van al deze maatregelen en hun werking gaat het bestek van dit hoofdstuk daarom te buiten.4

In de komende paragraaf richt ik mij allereerst op het onderscheid dat kan worden gemaakt tussen verschillende type maatregelen. Ik begin met het in de wet gemaakte onderscheid tussen technische beveiligingsmaatregelen en organisatorische beveiligings­maatregelen (§3.5.2). Vervolgens ga ik in op de verschillende typen maatregelen die verwerkingsverantwoordelijken en verwerkers ter beveiliging van informatie kunnen treffen: preventieve maatregelen, opsporende maatregelen, reagerende maatregelen en herstellende maatregelen (§3.5.3). Daarna verleg ik de focus naar de ‘concrete’ maatregelen uit art. 32 lid 1 AVG, die ik kort toelicht (§3.5.4).

Hoewel belangrijk binnen het beveiligingsdomein, ga ik hierna niet in op het principe van security by design. Het belang dat dit principe voor de beveiliging van persoonsgegevens heeft, volgt namelijk niet direct uit art. 5 lid 1 onder f en/of 32 AVG, maar hangt nauw samen met de bepalingen aangaande gegevensbescherming bij ontwerp. Hierop ga ik in §6.3 in.