De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.4.3:8.4.3 De beoordeling: de waarde van de omstandigheden

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.4.3

8.4.3 De beoordeling: de waarde van de omstandigheden

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS661008:1
Vakgebied(en): Privacy (V)

Uit verschillende van de door mij besproken contexten blijkt dat passende beveiligingsmaatregelen moeten zijn toegespitst op de omstandigheden van een specifiek geval.1

Uit art. 32 lid 1 AVG volgt dat de passendheid van beveiligingsmaatregelen wordt beïnvloed door de aard, context, omvang en verwerkingsdoelen van de verwerking, de uitvoeringskosten, de stand van de techniek en de qua ernst en waarschijnlijkheid uiteenlopende risico’s voor personen. Deze begrippen, in het bijzonder ‘context’, zijn zo breed, dat de passendheid van beveiligingsmaatregelen afhankelijk kan zijn van alle omstandigheden van het geval.2 Anders dan de omstandigheden die relevant zijn bij de beoordeling van het passende beveiligingsniveau, gaat het hierbij ook om subjectievere omstandigheden omtrent de beheersing van beveiligingsrisico’s.

Met de bovenstaande open en technologieneutrale opsomming geven de AVG-beveiligingsbepalingen wel enig houvast bij de invulling van de verplichting tot het treffen van beveiligingsmaatregelen, maar schrijven zij geen specifieke maatregelen voor en bieden zij weinig duidelijkheid.3 Dit past bij hun brede en open karakter (zie de vorige paragraaf en §8.2).

De omstandighedenopsomming uit art. 32 AVG impliceert dat de genoemde omstandigheden rechtstreeks tegen elkaar moeten worden afgewogen. Uit meerdere van de door mij beschreven contexten blijkt echter dat dit niet het geval is.4 Een groot deel ervan is onderdeel van de vaststelling van de passendheid van het beveiligingsniveau (zie §8.3.3).5 Het gaat daarbij onder meer om de aard van de te verwerken gegevens, de verwerkingscontext, de technische onmogelijkheid tot het beheersen van bepaalde risico’s en het verwerkingsdoel. Deze omstandigheden beïnvloeden, met andere woorden, het met de beveiligingsmaatregelen te waarborgen doel.6

De belangrijkste ‘omstandigheid’ bij het treffen van beveiligingsmaatregelen, is het passende beveiligingsdoel. Op basis van dit doel moeten verwerkingsverantwoordelijken en verwerkers de maatregelen treffen. Passende beveiligingsmaatregelen zijn immers effectieve maatregelen.7 Dat het passende beveiligingsdoel en de waarborging daarvan bij de passendheid van beveiligingsmaatregelen voorop staat, blijkt uit de tekst en systematiek van de AVG-beveiligingsbepalingen,8 het doel van de AVG en het systeem van de AVG.9

Uit mijn onderzoek blijkt dat bij het treffen van beveiligingsmaatregelen verder relevantie toekomt aan de stand van de techniek. 10 Of een maatregel het vereiste beveiligingsniveau waarborgt (en dus passend is), hangt immers af van de technische effectiviteit. In zowel het informatiebeveiligingsdomein, als in andere EU-cyberbeveiligingsbepalingen en de voorgangers van de AVG-beveiligingsbepalingen klinkt daarom door dat dit een relevant element is bij het treffen van beveiligingsmaatregelen.11 Het element geeft ook uiting aan een andere eis waaraan beveiligingsmaatregelen blijkens zowel het informatiebeveiligingsdomein als het systeem van de AVG moeten voldoen: zij moeten worden geactualiseerd.12 Nieuwe risico’s en beveiligingsmogelijkheden kunnen meebrengen dat de eisen die worden gesteld aan beveiliging veranderen.

Tot slot beïnvloeden ook de uitvoeringskosten de te treffen beveiligingsmaatregelen. 13 Omdat de waarborging van het passende beveiligingsniveau voorop staat, brengt dit element gezien het doel van de AVG slechts mee dat verwerkingsverantwoordelijken en verwerkers voor een (combinatie van) goedkope maatregel(en) mogen kiezen als het resultaat daarvan vergelijkbaar is met het resultaat van duurdere maatregelen.14 De financiële mogelijkheden van een specifieke verwerkingsverantwoordelijke of verwerker kunnen immers niet meebrengen, dat verwerkingsverantwoordelijken en verwerkers een lager beveiligingsniveau moeten waarborgen dan het niveau dat op basis van in het bijzonder de verwerkingsrisico’s ‘het passende’ is.15 Wanneer zij zich niet kunnen veroorloven om het passende beveiligingsniveau te waarborgen, zullen zij het uitvoeren van de verwerking moeten staken.16

Toon alle voetnoten

Voetnoten

Voetnoten

Zie §3.4 en uit §3.6 het aanknopingspunt ‘Beveiliging vereist dat eerst het beveiligingsdoel wordt vastgesteld, zodat de beveiligingsmaatregelen hierop kunnen worden afgestemd.’ en uit §7.4 het aanknopingspunt ‘Een mogelijke toets voor de ‘passendheid’ van beveiligingsmaatregelen is: zijn de maatregelen effectief, op maat gemaakt, compatibel, evenredig, concreet en inclusief (en eventueel verifieerbaar)?’

Zie §6.3.3 en uit §6.7 het aanknopingspunt ‘Bij de invulling van de AVG-bepalingen, inclusief art. 5 lid 1 onder f en 32 AVG, zijn alle omstandigheden van het geval van belang.’ Zie verder ook §6.6, waaruit blijkt dat toezichthouders ook alle omstandigheden van een geval kunnen meewegen bij hun handhavingsbeslissingen.

Zie §2.2.1 en uit §2.4 de aanknopingspunten ‘De in de AVG genoemde handvatten voor de invulling van de AVG-beveiligingsbepalingen geven richting, maar geen duidelijkheid.’ en ‘De precieze rol van de andere factoren dan de verwerkingsrisico’s bij de invulling van de AVG-beveiligingsbepalingen is onduidelijk.’

Zie bijv. §3.4 en uit §3.6 het aanknopingspunt ‘De factoren die de passendheid van beveiliging blijkens art. 32 lid 1 AVG beïnvloeden, zijn in verschillende fases van beveiliging relevant en moeten dus niet allemaal rechtstreeks tegen elkaar worden afgewogen.’ en uit §4.8 het aanknopingspunt ‘De passendheid van beveiligingsmaatregelen is in belangrijke mate afhankelijk van de stand van de techniek en de uitvoeringskosten.’

Zie §8.4.1 en §8.4.2.

Zie over het doel-middelverband tussen de beveiligingsmaatregelen en het beveiligingsniveau §8.2.2.

Zie §6.2.3.

Zie hierover §8.2.3.

Zie hierover §8.3.2 en §8.3.4.

10.

Zie uit §4.8 het aanknopingspunt ‘De passendheid van beveiligingsmaatregelen is in belangrijke mate afhankelijk van de stand van de techniek en de uitvoeringskosten.’ en uit §7.4 het aanknopingspunt ‘Het te waarborgen beveiligingsniveau komt neer op de beheersing van risico’s. De maatregelen moeten zorgen voor een beveiligingsniveau dat gezien de stand van de techniek het te waarborgen beveiligingsniveau waarborgt.’

11.

Zie de aanknopingspunten in de voetnoot hierboven en hieronder.

12.

Zie §3.5.4 en uit §3.6 het aanknopingspunt ‘Vanwege snelle technologische ontwikkelingen vereist de waarborging van passende beveiliging actualisatie van beveiligingsmaatregelen.’ en uit §6.7 het aanknopingspunt ‘Om ‘passend’ te zijn in de zin van de AVG, moeten (beveiligings)maatregelen geactualiseerd (en effectief) zijn.’

13.

Zie uit §4.8 het aanknopingspunt ‘De passendheid van beveiligingsmaatregelen is in belangrijke mate afhankelijk van de stand van de techniek en de uitvoeringskosten.’

14.

Zie §5.2.5 en uit §5.5 het aanknopingspunt ‘De rechten van verwerkingsverantwoordelijken en verwerkers brengen mee dat art. 5 lid 1 onder f en 32 AVG niet kunnen verplichten tot het treffen van een specifieke maatregel als andere maatregelen een vergelijkbaar resultaat bieden.’

15.

Zie §6.3.3. Zie hierover ook §8.3.2 en §8.3.3.

16.

Zie ook §6.3.3 en uit §6.7 het aanknopingspunt ‘Redenen aangaande geld, tijd en menskracht mogen er niet toe leiden dat er beveiligingsmaatregelen worden getroffen die geen op het risico-afgestemd beveiligingsniveau waarborgen. Zij kunnen wel tot extra maatregelen verplichten.’