8.1 Inleiding

Art. 5 lid 1 onder f en 32 AVG verplichten verwerkingsverantwoordelijken en verwerkers – kort gezegd – tot het treffen van passende beveiligingsmaatregelen en de waarborging van het passende beveiligingsniveau.1 Wat ‘passend’ in deze context precies betekent, volgt niet uit de AVG. Hierdoor kan het zowel in het algemeen als in een concrete situatie onduidelijk zijn welke verplichtingen uit de AVG-beveiligingsbepalingen voortvloeien.2 Om houvast te bieden bij de vaststelling van deze verplichtingen beoog ik met deze studie meer inzicht in de AVG-beveiligings­bepalingen te bieden. Ik beantwoord de volgende vraag: Welke aanknopingspunten en inzichten bieden de tekst en systematiek van art. 5 lid 1 onder f en 32 AVG, de informatie­beveiligingspraktijknormen en -gebruiken, de geschiedenis van het persoonsgegevens­beschermings­recht, de doelstelling van de AVG, het systeem van de AVG en gerelateerd EU-beleid en -recht voor de invulling van art. 5 lid 1 onder f en 32 AVG, in het bijzonder voor de termen ‘het passende beveiligingsniveau’ en ‘passende beveiligingsmaatregelen’?3

Om de bovenstaande vraag te kunnen beantwoorden, heb ik art. 5 lid 1 onder f en 32 AVG beschreven in het licht van de genoemde contexten: de informatie­beveiligingsnormen en -gebruiken (hoofdstuk 3), de geschiedenis van het persoonsgegevensbeschermingsrecht (hoofdstuk 4), de doelstelling van de AVG (hoofdstuk 5), het systeem van de AVG (hoofdstuk 6) en het gerelateerde EU-recht en -beleid (hoofdstuk 7). Hiermee heb ik een veelzijdig en veelomvattend beeld willen schetsen van het praktische en het juridische domein waarbinnen de AVG-beveiligings­bepalingen een rol spelen. Omdat termen uit het EU-recht (zoals ‘passend’) in beginsel autonoom moeten worden uitgelegd, heb ik slechts af en toe en zijdelings gekeken naar nationaalrechtelijke aspecten.4

Uit mijn onderzoek blijkt dat art. 5 lid 1 onder f en 32 AVG allesbehalve op zichzelf staan. De bepalingen relateren op veel manieren aan de contexten die ik heb besproken. Zo maken persoonsbeveiligingsverplichtingen al decennialang in vergelijkbare bewoordingen deel uit van de EU-persoonsgegevens­beschermings­regels,5 bevatten andere aan cyberbeveiliging gerelateerde EU-regelingen vergelijkbaar opgestelde verplichtingen en volgen er ook persoonsgegevensbeveiligingsverplichtingen uit de rechtspraak over het (grond)recht op de bescherming van persoonsgegevens.6 Verder komen verscheidende elementen uit de AVG-beveiligingsbepalingen tevens voor in andere bepalingen uit de AVG en in kernbegrippen en -mechanismen uit het informatiebeveiligingsdomein.7 Hierdoor is het mogelijk om op basis van al deze contexten tezamen de AVG-beveiligingsbepalingen verder te duiden en in te vullen.8

In de syntheses van de voorgaande hoofdstukken heb ik steeds aanknopingspunten geformuleerd die houvast bieden bij de invulling van de AVG-beveiligingsvoorschriften en volgen uit de in dat hoofdstuk behandelde context. In dit hoofdstuk analyseer ik de inzichten die al deze aanknopingspunten tezamen, bekeken in hun onderlinge verband, in de AVG-beveiligingsbepalingen bieden.9 Ik verwijs hierbij naar de afzonderlijke aanknopingspunten en de bijbehorende analyses.

Ik verdeel de inzichten in drie categorieën. Ik begin algemeen, met het brede karakter van de AVG-beveiligingsbepalingen (§8.2). Vervolgens ga ik achtereenvolgens in op (de strenge eis van) de waarborging van het passende beveiligingsniveau (§8.3) en op (de openheid van de verplichting tot) het treffen van passende beveiligingsmaatregelen (§8.4). Ik rond af met een verkorte weergave van de beantwoording van de onderzoeksvraag, waarbij ik de belangrijkste rode draden uit dit onderzoek kort weergeef (§8.5).