De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.2.4:8.2.4 Inhoud: vrijwel geen beperkingen

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.2.4

8.2.4 Inhoud: vrijwel geen beperkingen

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660924:1
Vakgebied(en): Privacy (V)

Tot slot blijkt uit mijn onderzoek dat het toepassingsbereik van de AVG-beveiligingsbepalingen ook inhoudelijk vrijwel niet is beperkt. Dit betekent dat art. 5 lid 1 onder f en 32 AVG alles kunnen voorschrijven wat vanuit het oogpunt van beveiliging noodzakelijk is. Meestal blijkt dit ook expliciet uit de tekst van de AVG of is het af te leiden uit de context daarvan. Dat de AVG-beveiligingsbepalingen geen inhoudelijke beperkingen bevatten, hangt samen met hun open en technologieneutrale formulering (zie hierover verder §8.4.2).

Dat de beveiliging van persoonsgegevens veelomvattend is, heeft waarschijnlijk allereerst te maken met de variatie in beveiligingsrisico’s die, vanuit grondrechtelijk perspectief, relevant zijn voor het te waarborgen beveiligingsniveau.1 Het recht op de bescherming van persoonsgegevens en het recht op de eerbiediging van het privéleven vereisen de waarborging van de vertrouwelijkheid en integriteit van persoonsgegevens in brede zin en kunnen onder omstandigheden meebrengen dat ook de zuivere beschikbaarheid van gegevens moet worden gewaarborgd (zie hierover §8.3). Dit lijkt geïmplementeerd in art. 32 AVG. Nu uit mijn onderzoek is gebleken dat er geen reden is om aan te nemen dat art. 5 lid 1 onder f en 32 AVG verschillende eisen opleggen,2 is beschikbaarheid ook van belang in het kader van ‘het beginsel van integriteit en vertrouwelijkheid’. Het is voor de toezichthouder dan ook mogelijk een extra hoge boete op te leggen vanwege een zuivere beschikbaarheidsschending, maar dit zal waarschijnlijk zelden tot nooit gerechtvaardigd zijn (zie over de relevantie van beschikbaarheidswaarborgen in de context van de AVG (§8.3.3)).

Daarnaast zijn er bij verwerkingen vaak vele onderdelen van (ICT-)infrastructuur betrokken, waarop bovengenoemde risico’s betrekking kunnen hebben.3 Dat het van belang is dat al deze onderdelen met beveiligingsmaatregelen zijn omkleed, blijkt zowel uit het informatiebeveiligingsdomein als uit andere EU-cyberbeveiligingsbepalingen.4 Omdat zij vaak heel verschillend van aard zijn, vereist dit een combinatie van meerdere maatregelen. De AVG-beveiligingsbepalingen bieden hier de ruimte voor en benoemen de relevantie van de beveiliging van systemen en diensten ook expliciet.

Verder zullen verwerkingsverantwoordelijken en verwerkers ook per risico beveiligingsmaatregelen met uiteenlopende werking moeten treffen. In het informatiebeveiligingsdomein wordt er onderscheid gemaakt tussen preventieve, opsporende, reagerende of corrigerende, en herstellende maatregelen.5 Uit mijn onderzoek is gebleken dat het in de context van de AVG-beveiligingsbepalingen vooral belangrijk is dat beveiligingsinbreuken worden tegengegaan: dit blijkt uit de tekst van de AVG in het licht van het informatiebeveiligingsdomein, de historische en grondrechtelijke achtergrond van de AVG en andere EU-beveiligingsbepalingen.6 Omdat preventieve maatregelen beveiligingsincidenten echter nooit 100% kunnen voorkomen (zo is het algemene uitgangspunt binnen het informatiebeveiligingsdomein),7 moeten verwerkingsverantwoordelijken en verwerkers doorgaans ook andersoortige maatregelen treffen. Daarbij gaat het om maatregelen die aangeven dat er een incident heeft plaatsgevonden (opsporende) en die de schade daarvan zoveel mogelijk beperken en herstellen (repressieve resp. herstellende).

Ook vereist beveiliging doorgaans dat zowel technische als organisatorische maatregelen worden getroffen. Deze twee type maatregelen vullen elkaar aan. Zo waarborgt een autorisatiesysteem dat niet iedereen informatie kan raadplegen en kunnen organisatorische maatregelen de vertrouwelijkheid die daardoor wordt gecreëerd, verder waarborgen door aan de geautoriseerde personen voor te schrijven dat zij de informatie niet verder mogen verspreiden.8 Dat het in het kader van de AVG-beveiligingsbepalingen van belang is dat beide type maatregelen worden getroffen, blijkt expliciet uit zowel art. 5 lid 1 onder f als 32 AVG.

Ten slotte is het blijkens de normen en gebruiken uit het informatiebeveiligingsdomein van groot belang dat beveiliging al vanaf het ontwerp van een verwerking wordt meegenomen en vervolgens blijvend wordt geactualiseerd.9 Uit de voorbeeldmaatregelen die in art. 32 AVG zijn genoemd, blijkt dat art. 5 lid 1 onder f en 32 AVG kunnen verplichten tot het doorlopend actualiseren van beveiliging.10

Toon alle voetnoten

Voetnoten

Voetnoten

Zie §3.3. Zie verder uit §5.5 het aanknopingspunt ‘Het Handvest vereist dat er passende beveiligingsmaatregelen worden getroffen om persoonsgegevens doeltreffend te beschermen tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens.’

Zie §2.2.1 en uit §2.4 het aanknopingspunt ‘Art. 5 lid 1 onder f en 32 AVG hebben dezelfde kern.’ en uit §4.8 het aanknopingspunt ‘De historische achtergrond van art. 5 lid 1 onder f en 32 AVG duidt erop dat deze normen geen verschillende verplichtingen opleggen.’

Zie §3.2.1.

Zie §3.2 en uit §3.6 het aanknopingspunt: ‘De beveiliging van persoonsgegevensverwerkingen vereist de beveiliging van de gehele daarbij betrokken (ICT-)infrastructuur en dus vele verschillende maatregelen’ en verschillende bepalingen uit hfdst. 7 en uit §7.4 het aanknopingspunt ‘Beveiliging vereist doorgaans beveiliging van alle betrokken (ICT-)infrastructuur en het gehele verwerkingsproces, in het bijzonder als er een hoog risiconiveau is.’

Zie §3.5.3.

Zie uit §3.6 het aanknopingspunt ‘Bij passende beveiliging staat het tegengaan van beveiligingsincidenten voorop, maar zijn ook het opsporen van incidenten, het reageren op incidenten en het herstellen van incidenten van belang.’, uit §4.8 het aanknopingspunt ‘Het tegengaan van de risico’s op misbruik en openbaarmaking is van oudsher een van de kernpunten van het persoonsgegevensbeschermingsrecht.’, uit §5.5 het aanknopingspunt ‘Het Handvest vereist dat er passende beveiligingsmaatregelen worden getroffen om persoonsgegevens doeltreffend te beschermen tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens.’ en uit §7.4 het aanknopingspunt ‘Bij de beveiliging van persoonsgegevens staat het tegengaan van integriteits- en vertrouwelijkheidsschendingen voorop.’

Zie uit §3.6 het aanknopingspunt ‘Art. 5 lid 1 onder f en 32 AVG kunnen vanwege de rechten van verwerkingsverantwoordelijken en verwerkers niet meebrengen dat beveiliging absoluut moet zijn.’

Zie §3.5.2 en uit §3.6 het aanknopingspunt ‘De zinsnede ‘technische en organisatorische maatregelen’ omvat alle denkbare type maatregelen. Doorgaans moeten beide type maatregelen worden getroffen.’

Zie §3.4.5 en uit §3.6 het aanknopingspunt ‘Vanwege snelle technologische ontwikkelingen vereist de waarborging van passende beveiliging actualisatie van beveiligingsmaatregelen.’, §6.3.3 en uit §6.7 de aanknopingspunten ‘Verwerkingsverantwoordelijken moeten al bij het ontwerpen van een verwerking over beveiliging nadenken.’ en ‘Om ‘passend’ te zijn in de zin van de AVG, moeten (beveiligings)maatregelen geactualiseerd (en effectief) zijn’ en ten slotte §7.3.5 en uit §7.4, het aanknopingspunt ‘Een mogelijke toets voor de ‘passendheid’ van beveiligingsmaatregelen is: zijn de maatregelen effectief, op maat gemaakt, compatibel, evenredig, concreet en inclusief (en eventueel verifieerbaar)?’

10.

Art. 32 lid 1 onder d AVG.