De beveiliging van persoonsgegevens
Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.5.1:7.3.5.1 Algemeen
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.5.1
7.3.5.1 Algemeen
Documentgegevens:
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660877:1
- Vakgebied(en)
Privacy (V)
Toon alle voetnoten
Voetnoten
Voetnoten
Preambule NIB-richtlijn, o. 3.
Preambule NIB-richtlijn, o. 6.
Lidstaten moeten er verder onder meer voor zorgen dat de bevoegde autoriteiten maatregelen kunnen treffen als de aanbieders van essentiële diensten en digitaledienstverleners niet aan hun beveiligingsverplichtingen voldoen (art. 15 en 17 NIB-richtlijn). Deze autoriteiten dienen onder andere de beveiliging van de systemen te beoordelen (art. 15 lid 2 sub a en 17 lid 2 sub a NIB-richtlijn).
Deze functie is alleen te gebruiken als je bent ingelogd.
De NIB-richtlijn is de eerste regeling die specifiek in het kader van de EU-cyberbeveiligingsstrategie is ontworpen. Zij is in 2016 in werking getreden. Het uitgangspunt van de richtlijn is dat netwerk- en informatiesystemen van essentiële dienstverleners en digitale dienstverleners (zie voor een uitleg van deze begrippen de volgende paragrafen) een dusdanig cruciale rol spelen bij het faciliteren van het grensoverschrijdend verkeer van goederen, diensten en personen, dat een verstoring ervan de interne markt raakt.1 De richtlijn dient ertoe de werking van deze markt te verbeteren door een hoog gemeenschappelijk niveau van de bescherming van deze systemen te verwezenlijken en de kans op een ernstige verstoring van deze systemen te verkleinen.2 Zij moet daarnaast de samenwerking tussen verschillende lidstaten faciliteren, zodat lidstaten doeltreffender kunnen reageren op beveiligingsuitdagingen.3
In de context van de NIB-richtlijn is een netwerk- en informatiesysteem (i) een apparaat of groep apparaten waarmee – kort gezegd – automatisch digitale gegevens worden verwerkt; (ii) een elektronisch communicatienetwerk en (iii) digitale gegevens die via deze netwerken en apparaten worden verwerkt met het oog op de werking, het gebruik, de beveiliging en het onderhoud van deze netwerken en apparaten.4 Dit kunnen ook persoonsgegevens zijn (zie ook de laatste alinea’s van deze paragraaf).
Ten einde een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen te realiseren moeten lidstaten beveiligingseisen stellen aan aanbieders van essentiële diensten en digitaledienstverleners.5 Het gaat daarbij om “het vermogen van netwerk- en informatiesystemen om met een bepaalde mate van betrouwbaarheid bestand te zijn tegen acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die netwerk- en informatiesystemen worden aangeboden of toegankelijk zijn, in gevaar brengen”.6 Aanbieders van essentiële diensten en digitale diensten moeten dit vermogen van de systemen die zij gebruiken bij het aanbieden van hun diensten waarborgen met ‘passende technische en organisatorische maatregelen’.7 De richtlijn zorgt (in beginsel, zie hierna) zo voor minimumharmonisatie van de beveiligingseisen.8 De Nederlandse wetgever heeft de NIB-richtlijn omgezet in de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Omdat de twee type dienstverleners die onder de NIB-richlijn vallen verschillende beveiligingsverplichtingen hebben, behandel ik ze hierna afzonderlijk.9 Gezien de invalshoek van dit hoofdstuk ligt de nadruk daarbij op de verplichtingen die op grond van de richtlijn moeten worden opgelegd. Ook ga ik kort in op een in december 2020 door de Europese Commissie ingediend voorstel voor een nieuwe NIB-richtlijn en de beveiligingsnorm die daarin is opgenomen. Ik sluit af met een analyse van de relevantie van deze bepalingen voor de invulling van de AVG-beveiligingsbepalingen.