De beveiliging van persoonsgegevens
Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.3.3:2.3.3 Invulling: situatieafhankelijke elementen
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.3.3
2.3.3 Invulling: situatieafhankelijke elementen
Documentgegevens:
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660849:1
- Vakgebied(en)
Privacy (V)
Toon alle voetnoten
Voetnoten
Voetnoten
Zie ook §2.2.1.
Het is opvallend dat lid 2 de omstandigheden benoemt die bepalend zijn het passende beveiligingsniveau, terwijl lid 1 bepaalt dat ‘een op het risico afgestemd beveiligingsniveau’ moet worden gewaarborgd. Naar mijn mening gebruikt de EU-wetgever deze twee termen als synoniemen van elkaar (zie §2.2.1).
Zie hierover §2.2.1, waar ik het begrip ‘passende beveiliging’ en ‘het passende beveiligingsniveau’ tegen elkaar afzet. Zie over de begrippen ‘onrechtmatig’, ‘ongeoorloofd’ en ‘onopzettelijk’ §1.4.3.
Preambule Verordening 2018/1725, o. 53.
Deze functie is alleen te gebruiken als je bent ingelogd.
De kern van art. 5 lid 1 onder f en 32 AVG wordt gevormd door twee open begrippen: ‘passende beveiligingsmaatregelen’ en ‘het passende beveiligingsniveau’ dan wel ‘passende beveiliging’. Wat in een concreet geval passend is, hangt voor zowel het beveiligingsniveau als de beveiligingsmaatregelen af van verschillende factoren. Art. 32 lid 1 en lid 2 AVG verduidelijken welke elementen hierbij in ieder geval van belang zijn. Lid 1 lijkt daarbij toegespitst op de passendheid van de beveiligingsmaatregelen, lid 2 op het vereiste beveiligingsniveau. Verder benoemt art. 5 lid 1 onder f AVG enkele activiteiten waartegen de te treffen beveiligingsmaatregelen moeten beveiligen.1
Welk beveiligingsniveau ten aanzien van een concrete verwerking passend is, hangt met name af van de betrokken verwerkingsrisico’s.2 ‘Vooral’ de risico’s die het gevolg zijn van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens beïnvloeden het passende beveiligingsniveau.3 Echter, de AVG kan meebrengen dat verwerkingsverantwoordelijken en verwerkers maatregelen moeten treffen tegen alle handelingen die met gegevens kunnen worden verricht. Het gaat dan om verwerkingen die ongeoorloofd, onrechtmatig of onopzettelijk zijn.4
Welk beveiligingsniveau ten aanzien van een concrete verwerking passend is, hangt blijkens art. 32 lid 2 AVG ‘met name’ af van de betrokken verwerkingsrisico’s. De preambule van de AVG verschaft enig inzicht in de betekenis van deze formulering en de factoren die in dit kader verder van belang zijn. Zij licht toe dat “bij de beoordeling van de gegevensbeveiligingsrisico’s aandacht moet worden besteed aan de risico’s die zich voordoen bij persoonsgegevensverwerking”.5 Met andere woorden, bij de vaststelling van het te waarborgen beveiligingsniveau spelen, naast verwerkingsrisico’s, gegevensbeveiligingsrisico’s in het algemeen een rol. Het beveiligingsniveau dat een verwerkingsverantwoordelijke of verwerker moet waarborgen, hangt dus af van meer dan alleen de risico’s van de betreffende verwerking.
De passendheid van beveiligingsmaatregelen wordt op grond van art. 32 lid 1 AVG beïnvloed door zeer uiteenlopende factoren, uiteenlopender dan die, die blijkens art. 32 lid 2 AVG het vereiste beveiligingsniveau bepalen. Uit deze bepaling volgt dat bij het beoordelen van de passendheid van deze maatregelen rekening moet worden houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen. Hoe deze factoren zich tot elkaar verhouden, licht de AVG niet toe.
Uit het systeem van art. 32 AVG lijkt te volgen dat er een onderscheid bestaat tussen de vaststelling van passendheid van beveiligingsmaatregelen, en de passendheid van een beveiligingsniveau. De tekst van deze bepaling biedt echter ook grond voor twijfel. Daarbij is vooral van belang dat de factor ‘risico’ in de context van beide onderdelen voorkomt. Uit de preambule lijkt bovendien te volgen dat de elementen uit art. 32 lid 1 AVG ook van belang zijn voor het te waarborgen beveiligingsniveau. Overweging 83 licht toe dat maatregelen een passend niveau van beveiliging moeten waarborgen, “rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens”. Daaruit lijkt te volgen dat in ieder geval de aard van de gegevens ook het te waarborgen beveiligingsniveau beïnvloedt.
De elementen uit art. 32 AVG zijn uiteenlopend van aard. Het gaat om factoren die de gegevens zelf aangaan (zoals de aard van de gegevens), om de belangen van de betrokkene (hun rechten en vrijheden), om de belangen van verwerkingsverantwoordelijken en verwerkers (uitvoeringskosten), en om de technologische werkelijkheid (de stand van de techniek). Dat art. 5 lid 1 onder f de term ‘passend’ volledig open laat, duidt er bovendien op dat de elementen uit art. 32 AVG niet limitatief zijn. Voor de invulling van de AVG-beveiligingsbepalingen lijkt dit mee te brengen dat vrijwel alle omstandigheden van belang kunnen zijn voor de invulling van beveiliging.