7.3.5.5 Beveiliging onder AVG en onder de NIB-richtlijn

De NIB-richtlijn bepaalt nadrukkelijk dat digitaledienstverleners en aanbieders van essentiële diensten zich moeten gedragen met inachtneming van de AVG voor zover zij persoonsgegevens verwerken.1 De beveiligings­verplichtingen uit de AVG en de omzettings­wetgeving van de NIB-richtlijn bestaan dus naast elkaar. Zij kennen verschillende, maar overlappende, beveiligingsobjecten: waar de AVG de beveiliging van persoonsgegevens(verwerkingen) voorschrijft en in dit kader ook kan vereisen dat netwerken worden beveiligd, ziet de NIB-richtlijn specifiek op de bescherming van systemen en netwerken, waaronder ook de daarbij betrokken gegevens worden verstaan.

Zowel de AVG-beveiligingsnormen als de beveiligingsnormen die volgen uit de omzettingswetgeving van de NIB-richtlijn kunnen verplichten tot het treffen van maatregelen die de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de betrokken gegevens, netwerken en diensten realiseren. Zij leggen daarbij echter een andere nadruk. De AVG hecht voornamelijk belang aan de vertrouwelijkheid en integriteit van deze gegevens;2 de NIB-richtlijn aan de continuïteit – dat wil zeggen veerkracht en beschikbaarheid – van bepaalde diensten. Deze normen vertonen tekstueel gezien weliswaar dan ook sterke gelijkenissen, maar spelen een rol in verschillende contexten en dienen een verschillend doel. Hierdoor kan niet zomaar worden gezegd dat de maatregelen die passend zijn in de zin van de NIB-richtlijn, ook passend zijn in de zin van de AVG.3 Dit betekent ook dat niet is gezegd dat een onderneming die aan een van beide verplichtingen voldoet, daarmee ook de andere correct naleeft. Hoewel beide regelingen kunnen verplichten tot het waarborgen van bijvoorbeeld de integriteit van systemen, kunnen de risico’s die ten aanzien daarvan aanvaardbaar zijn verschillen.4

Ondanks de belangrijke verschillen tussen beveiligingsbepalingen uit de AVG enerzijds en de NIB-richtlijn anderzijds, bieden de aanwijzingen van de NIB-groep voor de invulling van de beveiligingsverplichtingen van essentiële dienstverleners ook houvast voor de invulling van de art. 5 lid 1 onder f en 32 AVG. Dit komt doordat zij het begrip ‘passende beveiligingsmaatregelen’ verder invullen op een manier die niet zodanig onderdeel is dat zij slechts relateert aan de doelstelling van de NIB-richtlijn.5 Zij bepalen immers dat ‘passend’ betekent dat de maatregelen effectief, op maat gemaakt, compatibel, evenredig, concreet, inclusief en verifieerbaar moeten zijn. Bovendien relateren deze begrippen sterk aan elementen die meespelen bij de invulling van art. 5 lid 1 onder f en 32 AVG.

Wat betreft de eis van effectiviteit is in dit kader interessant dat zij ook terugkomt in een overweging van de EU-wetgever in de preambule van de AVG over de passende maatregelen die verwerkingsverantwoordelijken moeten treffen op grond van art. 24 AVG.6 De rest van de door de NIB-samenwerkingsgroep geformuleerde criteria komen niet terug in de AVG. Toch kunnen ook zij richting geven aan de invulling van de verplichting tot het treffen van passende beveiligingsmaatregelen. Daarbij geeft de eis dat de maatregelen op maat gemaakt moeten zijn uiting aan de relevantie van de omstandigheden van het geval bij de vormgeving van beveiliging.7 De compatibiliteitseis sluit aan op de toets voor de passendheid van het beveiligingsniveau, waarbij immers en de beveiligingsrisico’s van de specifieke verwerking en de algemene persoonsgegevensbeveiligingsrisico’s moeten worden meegenomen.8 De evenredigheidseis zorgt ervoor dat er bij de passendheid van beveiligingsmaatregelen ook ruimte is voor de belangen van verwerkingsverantwoordelijken en verwerkers, en sluit zo aan bij zowel hun grondrechtelijke belang als de invloed van uitvoeringskosten op de passendheid van beveiligingsmaatregelen.9 Dat de maatregelen concreet moeten zijn, en dus zo begrijpelijk dat ze ook daadwerkelijk worden geïmplementeerd, is waarschijnlijk vooral van belang voor zover verwerkingsverantwoordelijken verwerkers verplichten tot het treffen van maatregelen en voor beleidsdocumenten die moeten worden nageleefd door werknemers.10 De eis van inclusiviteit verwijst naar de grote relevante van de beveiliging van de bij een persoonsgegevensverwerking betrokken hardware en software, naast de beveiliging van de persoonsgegevens zelf.11 De enige eis uit de richtsnoeren waarvan het naar mijn mening in de context van art. 5 lid 1 onder f en 32 AVG twijfelachtig is of zij de term ‘passend’ verder invult, is die van de verifieerbaarheid. De verifieerbaarheid is waarschijnlijk in de eerste plaats van belang voor de naleving van de verantwoordings­plicht, en vermoedelijk niet voor de naleving van de verplichting tot het treffen van passende beveiligingsmaatregelen.12 Voor de naleving van de AVG als geheel dient zij dus wel te worden meegenomen.

Een handig aspect van bovengenoemde criteria is dat zij niets zeggen over de hoogte van het te waarborgen beveiligingsniveau. Hierdoor kunnen zij de passendheid van de maatregelen te allen tijde inkleden, ook als het niveau dat een verwerkingsverantwoordelijke of verwerker moet waarborgen laag is (denk aan de bakker op de hoek). Vanwege de onofficiële staat van de richtsnoeren gaat het te ver om te concluderen dat deze elementen het begrip ‘passende beveiligingsmaatregelen’ zonder meer verder inkleden. Niettemin kunnen ze naar mijn mening wel houvast bieden bij de beoordeling van deze passendheid. Zie hierover verder §8.4.4.

De richtsnoeren van de NIB-richtlijn en de Uitvoeringsverordening Digitaledienstverleners bieden essentiële dienstverleners en digitaledienstverleners ook houvast bij de keuze voor specifieke maatregelen. De manier waarop zij beveiliging hierbij benaderen, sluit aan op de manier waarop de beveiliging van persoonsgegevens moet worden benaderd. Zo wordt het belang van risicomanagement duidelijk, net als dat van de constante herbeoordeling van de beveiligingssystemen, toegangsregulering, een plan om met beveiligingsincidenten om te gaan, de fysieke beveiliging van IT-infrastructuur en maatregelen die meer zijn gericht op de screening van personeelsleden.

Het voorstel voor de nieuwe NIB-richtlijn is nog duidelijker.13 Hierin worden enkele specifieke te treffen maatregelen genoemd. Daarbij is van belang dat het uitgangspunt van de NIB-richtlijn een hoog risico is. Het gaat immers (onder meer) om de beveiliging van essentiële diensten, die een kritieke maatschappelijke rol vervullen en waarvan verstoringen ernstige effecten kunnen hebben.14 De maatregelen die in het voorstel worden genoemd, zijn met andere woorden maatregelen die (in ieder geval) moeten worden getroffen bij een hoog risiconiveau. De meeste van de genoemde maatregelen sluiten aan op de AVG-beveiligingsbepalingen: ook daaruit blijkt dat er een risicoanalyse moet worden verricht en dat er cryptografie en versleuteling moet worden toegepast. Andere maatregelen zijn vrij voor de hand liggend: bijvoorbeeld dat er protocollen moeten worden opgesteld voor de beveiliging van informatie, dat er een plan moet liggen over de omgang met beveiligingsincidenten en dat er beleid moet zijn ten aanzien van risicobeoordeling. Een maatregel lijkt het op het eerste oog niet uit art. 5 lid 1 onder f en 32 AVG te volgen: de beveiliging van de toeleveringsketen (o.a. met dienstverleners en leveranciers). Zie hierover ook §6.3.

Voor de toepassing van de beveiligingsaanwijzingen ten aanzien van de NIB-richtlijn op de AVG-beveiligingsbepalingen is wel van belang dat de NIB-richtlijn een andere achtergrond en doelstelling heeft dan de AVG. De aanwijzingen kunnen hierdoor wel inzicht bieden in de passendheid van (persoonsgegevens)beveiligingsmaatregelen, maar zijn niet één-op-één toepasbaar. AVG-beveiligingsmaatregelen hoeven niet altijd aan al deze eisen te voldoen om als passend te kunnen worden gekwalificeerd. Tegelijkertijd zal de toepassing ervan niet altijd tot voldoende beveiliging leiden.