De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.4.4:8.4.4 De te treffen maatregelen: concretiseringen

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.4.4

8.4.4 De te treffen maatregelen: concretiseringen

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660847:1
Vakgebied(en): Privacy (V)

Verduidelijking door breedheid

Doordat art. 5 lid 1 onder f en 32 AVG van toepassing zijn op zeer uiteenlopende situaties (zie §8.2), is het niet mogelijk om in het algemeen te bepalen welke beveiligingsmaatregelen verwerkingsverantwoordelijken en verwerkers op grond van deze bepalingen moeten treffen. Tegelijkertijd zorgt het brede karakter van de AVG-beveiligingsbepalingen ook voor verduidelijking. Zo blijkt hieruit dat bij de beveiliging van persoonsgegevens rekening moet worden gehouden met grote variatie aan relevante beveiligingsrisico’s en de verschillende betrokken onderdelen van de (ICT-)infrastructuur.1 Verder zullen er doorgaans in ieder geval preventieve maatregelen moeten worden getroffen, maar zijn ook reagerende of corrigerende, en herstellende maatregelen van belang bij het waarborgen van beveiliging,2 en vullen technische en organisatorische maatregelen elkaar dusdanig aan dat zij doorgaans beide moeten worden getroffen.3 Toch bevat de tekst van de beveiligingsbepalingen slechts beperkte concretiseringen. De maatregelen die in art. 32 AVG zijn genoemd, hoeven dan ook alleen te worden getroffen ‘indien passend’.

Mogelijkheid tot verdere concretiseringen

Uit mijn onderzoek naar EU-cyberbeveiligingsbepalingen uit andere regelingen concludeer ik dat de AVG-beveiligingsbepalingen verder kunnen worden geconcretiseerd zonder dat zij hun open en technologieneutrale karakter verliezen. Dit kan bijvoorbeeld voor een bepaald type verwerking of een bepaalde verwerkingscontext. Zo kan duidelijker worden bepaald welke maatregelen verwerkingsverantwoordelijken en verwerkers in welke omstandigheden moeten treffen, terwijl hun keuzevrijheid kan blijven bestaan. Vele andere EU-rechtelijke regelingen geven in dit kader aan wat voor categorieën maatregelen moeten worden getroffen.4

Bij het verder concretiseren van art. 5 lid 1 onder f en 32 AVG kunnen gedragscodes en certificeringsmechanismen een rol vervullen. Zij kunnen verduidelijken wat verwerkingsverantwoordelijken en verwerkers onder bepaalde omstandigheden moeten doen om aan de AVG-beveiligingsbepalingen te voldoen en kunnen EU-breed worden erkend.5 Wanneer een verwerkingsverantwoordelijke of verwerker zich met zijn beveiligingssysteem aansluit bij een goedgekeurde gedragscode of goedgekeurd certificeringsmechanisme, levert dit blijkens art. 32 lid 2 AVG slechts een aanwijzing op dat er passende beveiligingsmaatregelen zijn genomen.6 Zij brengen de naleving van de AVG-beveiligingsbepalingen dus niet automatisch mee.

Goedgekeurde gedragscodes en goedgekeurde certificeringsmechanismen kunnen EU-breed worden erkend.7 EU-breed erkende gedragscodes en certificeringsmechanismen helpen verder te voorkomen dat AVG-bepalingen in verschillende lidstaten op verschillende manieren worden uitgelegd.8 Zij dragen dus ook bij aan het (in het kader van de doelstelling van de AVG belangrijke) verder harmoniseren van beveiligingseisen. Hoewel de aansluiting hierbij dus slechts een aanwijzing voor naleving is, dient naar mijn mening veel waarde te worden gehecht aan de toepassing van EU-breed erkende goedgekeurde gedragscodes en certificeringsmechanismen.9 Waarschijnlijk komt dit doordat zij doorgaans vooral procesbegeleiding beschrijven (zie hierna) en dus wel op een juiste manier moeten worden toegepast.10

Overigens bepalen de AVG-beveiligingsbepalingen in het geheel niet wat de waarde is van de toepassing van een niet-goedgekeurde standaard of certificeringsmechanisme, zoals de veelgebruikte ISO 27000-reeks.11 Uit mijn onderzoek blijkt dat deze normen in dit kader ook geen zekerheid bieden of duidelijke aanwijzing zijn. Dit komt vooral doordat zij niet zijn opgesteld met het oog op grondrechtenbescherming, terwijl dat bij de AVG-beveiligingsbepalingen juist het essentiële is voor het passende beveiligingsniveau. Bovendien bieden ze relatief veel ruimte voor eigen invulling door de verwerker en verwerkingsverantwoordelijke. De reeks kan mijns inziens beter worden gezien als een vorm van procesbegeleiding bij de vormgeving van beveiligingssystemen. In zoverre dragen zij, als belangrijke organisatorische beveiligingsmaatregel, wel bij aan de naleving van de AVG-beveiligingsbepalingen.12

Concretiseringen op basis van mijn onderzoek

Uit mijn onderzoek blijkt dat sommige (categorieën) maatregelen altijd moeten worden getroffen,13 of in ieder geval wanneer het passende beveiligingsniveau hoog is. Dit wordt vooral duidelijk uit het informatiebeveiligingsdomein en uit andere EU-persoonsgegevensbeveiligingsbepalingen.14

De verplichting tot het treffen van specifieke maatregelen zal vooral bestaan als er geen alternatieve maatregelen zijn waarmee een vergelijkbaar resultaat kan worden bereikt (zo bleek al uit het begin van deze paragraaf). Op basis van mijn onderzoek kan ik niet zelf beoordelen welke maatregelen aan dit criterium voldoen. De AP heeft het belang benadrukt van een beveiligingsmanagementsysteem aan de hand van een zogenoemde plan-do-check-act-cyclus,15 net als dat van meerfactor-authenticatie.16 Wanneer de beveiliging van bepaalde gegevens (ook) afhankelijk is van menselijk handelen (wat doorgaans het geval is), is het verder bijvoorbeeld goed denkbaar dat een bedrijf zijn werknemers moet instrueren over de omgang met deze gegevens.17

Wanneer verwerkingsverantwoordelijken en verwerkers hun beveiliging vormgeven, kunnen zij houvast ontlenen aan de categorieën maatregelen die de EU-wetgever heeft geformuleerd in het kader van andere EU-cyberbeveiligingsregelingen. Zie in dit kader vooral de categorieën die ik in de conclusie van hoofdstuk 7 heb aangehaald.18 Zij relateren vooral aan het voorkomen van integriteits- en vertrouwelijkheidsschendingen. Samengevat gaat het hierbij om maatregelen die relateren aan controle op de toegang tot de apparatuur, controle op de gegevensdragers, opslagcontrole, gebruikscontrole, controle op de toegang tot de gegevens, transmissiecontrole, invoercontrole, transportcontrole, herstel en het functioneren van verwerkingssystemen. Verwerkingsverantwoordelijken en verwerkers doen er goed aan om te beoordelen of hun voorgenomen verwerkingen vereisen dat zij maatregelen in deze categorieën treffen. Voor verwerkingen met een hoog risico kunnen zij als uitgangspunt nemen dat dit het geval is.19 De beveiligingsmaatregelen uit de bij de ISO 27000 opgenomen Annex A-lijst geven verder een goed inzicht in de maatregelen die volgens de beste praktijken van de informatiebeveiligingspraktijk kunnen bijdragen aan de verwezenlijking van goede beveiliging.20

Toon alle voetnoten

Voetnoten

Voetnoten

Zie t.a.v de beveiligingsricio’s §8.2.4 en §3.3. Zie verder uit §5.5 het aanknopingspunt ‘Het Handvest vereist dat er passende beveiligingsmaatregelen worden getroffen om persoonsgegevens doeltreffend te beschermen tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens.’ Zie t.a.v. de onderdelen van de (ICT-)infrastructuur §8.2.4 en §3.2.1.

Zie §8.2.4 en §3.5.3.

Zie §8.2.4.3, §3.5.2 en uit §3.6 het aanknopingspunt ‘De zinsnede ‘technische en organisatorische maatregelen’ omvat alle denkbare type maatregelen. Doorgaans moeten beide type maatregelen worden getroffen.’

Zie uit §7.4 het aanknopingspunt ‘Het is mogelijk de verplichting tot het treffen van ‘passende technische en organisatorische beveiligingsmaatregelen’ op een open wijze te concretiseren.’

Zie §6.5.

Zie §5.3.3 en uit §5.5 het aanknopingspunt ‘Vanwege de aanvullende harmoniserende werking die uitgaat van EU-breed geldende goedgekeurde gedragscodes en goedgekeurde certificeringsmechanismen, dragen zij bij aan de werking van de interne markt en moet er waarde aan worden gehecht bij de invulling van de AVG-beveiligingsbepalingen.’

10.

Zie §6.5 en uit §6.7 het aanknopingspunt ‘De toepassing van goedgekeurde certificeringsmechanismen en gedragscodes kan bijdragen aan, maar is niet beslissend voor de vervulling van de AVG-beveiligingsverplichting. De meeste voor beveiliging relevante mechanismen zijn echter geen goedgekeurde certificaten of gedragscodes.’ en in dit kader ook uit §3.6 het aanknopingspunt ‘De toepassing van normen en de implementatie van een informatiebeveiligingsmanagementsysteem zijn belangrijke organisatorische maatregelen. Zij dragen alleen bij aan de beveiliging van persoonsgegevens als ze juist worden toegepast.’

11.

12.

Zie §3.4.4.

13.

Zie §3.5 en uit §3.6 het aanknopingspunt ‘Van sommige (soorten) maatregelen kan worden aangenomen dat zij bij bijna alle verwerkingen moeten worden getroffen.’

14.

15.

Zie over deze cyclus §3.4.1.

16.

Zie resp. CBP 2013, inleiding en AP Jaarrapportage meldplicht datalekken 2020, p. 7 e.v.

17.

Dit laatste is ook van groot belang i.v.m. insider threats (zie §3.5.2).

18.

Zie uit §7.4 het aanknopingspunt ‘Bij de beveiliging van persoonsgegevens staat het tegengaan van integriteits- en vertrouwelijkheidsschendingen voorop.’

19.

Zie uit §7.4 het aanknopingspunt ‘De concretiseringen t.a.v. andere beveiligingsbepalingen bieden inzicht bij de invulling van art. 5 lid 1 onder f en 32 AVG, vooral wanneer deze laatste bepalingen situaties met een vergelijkbare context regelen.’ en ‘Beveiliging vereist doorgaans beveiliging van alle betrokken (ICT-)infrastructuur en het gehele verwerkingsproces, in het bijzonder als er een hoog risiconiveau is.’

20.

Zie §3.4.4.