De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.3.2:2.3.2 Vorm: open en technologieneutraal

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.3.2

2.3.2 Vorm: open en technologieneutraal

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660889:1
Vakgebied(en): Privacy (V)

Art. 5 lid 1 onder f AVG en art. 32 AVG zijn beide open geformuleerd.1 Ze verplichten niet tot het treffen van specifieke beveiligingsmaatregelen of het waarborgen van een vastgesteld beveiligingsniveau, maar laten het aan normadressaten, rechters en toezichthouders om over te beoordelen en/of te bepalen wat in het concrete geval ‘passend’ is. Net als vele andere artikelen uit de AVG zijn de AVG-beveiligingsbepalingen daardoor ‘vrij algemeen’ en worden zij ‘door soepelheid gekenmerkt’.2

Waarom de EU-wetgever de AVG-beveiligingsbepalingen open heeft geformuleerd, is niet zonder meer te zeggen.3 Mogelijk heeft dit te maken met zijn wens het gegevensbeschermingsrecht technologieneutraal vorm te geven.4 Het is echter goed denkbaar dat ook andere redenen hebben meegespeeld. Enkele daarvan zijn terug te voeren op de voordelen die in het algemeen aan open normen worden toegekend. Zo wordt vaak bepleit dat zij, ten opzichte van gesloten normen, minder snel verouderen en flexibeler zijn en zorgen voor een wettelijk systeem dat overzichtelijker en tegelijkertijd vollediger is. Bovendien zouden ze, doordat ze maatwerk mogelijk maken, beter aansluiten op de praktijk en betere resultaten boeken.5 Ook andersoortige motieven kunnen ten grondslag hebben gelegen aan de open formulering van de beveiligingsbepalingen. Zo is het goed denkbaar dat de lidstaten geen consensus wisten te bereiken over een gedetailleerdere tekst, waardoor de huidige tekst de weerslag van compromisvorming kan zijn.6 Verder kan meespelen dat de EU-wetgever bij het vormgeven van de beveiligingsbepalingen oorspronkelijk aansluiting heeft gezocht bij het Verdrag van Straatsburg, dat een vergelijkbare bepaling kent.7 Ten slotte is het interessant dat cybersecuritynormen van oudsher open worden geformuleerd. Hier wordt vaak voor gekozen omdat een open norm het mogelijk maakt concrete verplichtingen af te stemmen op de relevante omstandigheden van een geval, hetgeen tot een hoger beveiligingsniveau zou leiden.8

Omdat er al met al niet een specifieke reden voor de open formulering van de AVG-beveiligingsbepalingen is aan te wijzen, zal ik niet verder ingaan op de reden voor deze keuze. Wel bespreek ik hieronder (en in de paragraaf hierna) enkele met deze open formulering samenhangende kenmerken van de AVG-beveiligingsverplichtingen.

De open formulering van art. 5 lid 1 onder f en 32 AVG brengt mee dat deze bepalingen technologieneutraal zijn. In theorie kunnen ze het treffen van iedere denkbare beveiligingsmaatregel voorschrijven.9 Bovendien zijn ze in staat gerichte eisen te stellen aan alle verwerkingen, ongeacht of deze geautomatiseerd of handmatig en online of offline worden verricht.10 De voor een situatie geschikte beveiligingsmaatregelen staan de toepassing en mogelijke effectiviteit van art. 5 lid 1 onder f en 32 AVG, met andere woorden, niet in de weg. De EU-wetgever heeft met de open norm dan ook weten te bewerkstelligen dat verwerkingsverantwoordelijken en verwerkers de AVG-beveiligingsbepalingen niet kunnen omzeilen (bijv. door gebruik te maken van niet-gereguleerde maatregelen).11 Technologische ontwikkelingen veranderen de werkzaamheid van art. 5 lid 1 onder f en 32 AVG evenmin. Deze bepalingen behouden hun regelend vermogen, ook indien mettertijd nieuwe risico’s of juist nieuwe beveiligingsmogelijkheden ontstaan.12 Mocht de opvatting ten aanzien van wat ‘passend’ is veranderen, dan kunnen de AVG-beveiligingsbepalingen dat opvangen.13

Sommige auteurs trekken in twijfel of technologieneutrale wetgeving echt tijdbestendig en/of effectief is. De toekomst waarop een wetgever met zulke bepalingen beoogt in te inspelen is volgens hen dusdanig onvoorspelbaar dat alleen regels die zo abstract zijn dat zij vrijwel geen regulerend vermogen hebben daadwerkelijk technologieneutraal en tijdbestendig zijn.14

Toon alle voetnoten

Voetnoten

Voetnoten

Zie over de open formulering van AVG-bepalingen ook Blume 2012, p. 133 (die dit bekritiseert); Maxwell 2015, p. 212 en Bygrave 2017, §3.2.

Zie over AVG-normen in het algemeen: HvJ EG 6 november 2003, ECLI:EU:C:2003:596, pt. 83 (Lindqvist); HvJ EU 7 november 2013, pt. 31, ECLI:EU:C:2013:715 (IPI).

De preambule biedt geen verklaring. Het totstandkomingsproces van de AVG is bovendien niet geheel openbaar en inzichtelijk (ondanks art. 15 VWEU en art. 298 VWEU). Overigens wordt er veel kritiek geuit op de transparantie van de EU-wetgever, die vaak als gebrekkig wordt gezien. Zie bijv. Report on public access to documents (Rule 104(7)) for the years 2011-2013, 26 februari 2014, A7-0148/2014.

Preambule AVG, o. 15.

Wanneer beveiliging door middel van gesloten, op specifieke technologieën gerichte, normen zou worden gereguleerd, zouden er meer bepalingen nodig zijn. Dit zorgt voor minder overzichtelijke regelgeving, maar brengt ook het risico mee dat bepaalde technologieën niet zijn geregeld en er aldus lacunes in de wet bestaan. Vgl. Kamerstukken II 1997/98, 25892, 3, p. 98-99 (MvT). Zie voor een overzicht van voor- en nadelen van open normen o.a. Rapport Doelgericht wetgeven 2009, p. 44. Zie over het gebruik van open normen in het algemeen Barendrecht 1992; Berkhout 2002; Reed 2007, §3; Westerman 2008, p. 57 en Drion 2017. In Nederland is bovendien veel literatuur verschenen over open normen in het fiscale recht, zie bijv. Meussen 2002 en Stevens 2007.

Dit zien we bijv. ook in het Europees consumentenrecht (Pavillon 2011, pt. 3 en 16).

Preambule Dataprotectierichtlijn, o. 11. Zie §4.5.1.

Zie bijv. Reed 20212, i.h.b. hfdst. 8-11, die stelt dat cyberregulering open geformuleerd moet zijn om meaningful te zijn. Dit heeft vooral te maken met het grote belang van omstandigheden voor de effectiviteit van beveiliging. Zie ook Albers 2014. Ook wetgevers gaan ervan uit dat open normen in betere beveiliging resulteren dan specifieke beveiligingsvoorschriften (bijv. Kamerstukken II 1997/98, 25892, 3, p. 98-99 (MvT)). Open cybernormen worden veelal verder ingevuld door middel van zelfregulering, zoals standaarden en certificeringsmethoden (zie §3.2.2 en §6.5). Zie daarnaast met name Stuurman 1995; Falk & Hafkamp 1994, i.h.b. hfdst. 5; Evers 2002; Rapport Doelgericht wetgeven 2009, p. 44. Er bestaat hierdoor een systeem van ‘gelaagde regulering’ (Adams e.a. 2015, §6.3 en 6.4). In het beveiligingsdomein wordt dit bekritiseerd. Zo zou het een race-to-the-bottom in de hand kunnen werken en eerder kunnen leiden tot het opnemen van gebruiken in standaarden dan tot het aanpassen van de gebruiken zodat zij in lijn met de wet komen (Thaw 2014, i.h.b. p. 270; Van Lochem 2018, §. 4).

Er wordt ook wel gezegd dat ze niet tussen technologieën discrimineren. Zie Reed 2007, §2; Hildebrandt & Tielemans 2013, p. 510 en Kamara 2017, §5.1.2. Vgl. Gijrath & Knol 2014, p. 29 en Knol in: T&C Privacy- en telecommunicatierecht 2018, aant. 1.e.

10.

Koops 2006, §4.2 en 4.3.5; Reed 2007, §2; Hildebrandt & Tielemans 2013, p. 510; Kamara 2017, §5.1.2. Zie ook preambule AVG, o. 15.

11.

Vgl. preambule AVG, o. 15.

12.

Zie over het belang van tijdsbestendigheid voor cybernormen Reed 2012, p. 134 e.v. Zie verder Koops 2006, p. 10 e.v.; Moses 2007, p. 62 en Hildebrandt & Tielemans 2013, p. 511.

13.

Gezien de voortdurende technologische ontwikkelingen is dit een belangrijk aspect van ICT-regulering (Koops 2006, §4.3.5). Zie ook Kamerstukken II 1997/98, 25892, 3, p. 98-99 (MvT)). Vgl. CBb 16 november 2016, ECLI:NL:CBB:2016:346, r.o. 14.2 (Hack netwerk KPN).

14.

Zie bijv. Moses 2007, p. 57 e.v. Zij laat zien dat normen, zelfs al worden ze aangeduid als ‘technologieneutraal’, hierdoor vrijwel nooit ook alle toekomstige ontwikkelingen zullen beslaan. Zie ook Reed 2012, p. 201, die dit illustreert aan de hand van voorbeelden. Zie ook Barendrecht 1992, p. 66 over de nadelen van vage normen.