Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.1
3.1 Inleiding
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660939:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Om deze reden spreek ik in dit hoofdstuk over het informatiebeveiligingsdomein en niet over de informatiebeveiligingspraktijk.
Zie §2.3.3 t.a.v. de contextuele benadering van de AVG-beveiligingsbepalingen en §3.2 over de relatie tussen informatiebeveiliging en de AVG-beveiligingsbepalingen.
Enkele van de beginselen die in dit hoofdstuk centraal staan, komen vanaf in ieder geval 1970 in hun huidige vorm in het informatiebeveiligingsdomein voor (maar zijn hierin waarschijnlijk al eeuwenlang van belang, zie bijv. De Leeuw 2007). In het Europese intergouvernementele recht komen zij pas voor het eerst voor in het Explanatory Report bij het Verdrag van Straatsburg (1981, nr. 49), en pas later nog uitdrukkelijker, in de Dataprotectierichtlijn (1995) en de AVG (2018) (zie resp. §4.4.1, §4.5.1 en §4.7.2, of schematisch §4.8). Deze verdiscontering in de wet is waarschijnlijk o.a. als gevolg van lobbyisme. Hieraan wordt bijv. de grote rol van risico in de AVG toegeschreven. Zie Schildberger 2016, p. 124, en Arnbak 2016, i.h.b. p. 76-80, en over lobbyisme en de invloed daarvan in het algemeen Coen & Richardson (red.) 2009.
CBP 2013, bijv. p. 1. Hierin beschrijft de AP haar ‘richtsnoeren beveiliging van persoonsgegevens’ als “de verbindende schakel tussen enerzijds het juridisch domein, met daarbinnen de eisen uit de Wbp, en anderzijds het domein van de informatiebeveiliging, waarin de noodzakelijke kennis en kunde aanwezig is om daadwerkelijk aan die eisen te voldoen”. De Wbp is de Nederlandse voorganger van de AVG, zie §4.5.
CBP 2013. Ik verwijs in dit hoofdstuk ook geregeld naar deze richtsnoeren.
Hierbij kunnen ze ook een deskundige oproepen. Rechters kunnen dit bijvoorbeeld doen omdat ze willen weten wat de stand van de techniek is of specialistische kennis benodigd is voor het beoordelen van (de passendheid van) de beveiliging (art. 194 Wetboek van Rechsvordering en 8:60 Algemene wet bestuursrecht).
Zie hierover ook §8.4.4.
Bij de beveiliging van persoonsgegevens zijn de ‘beste praktijken’ van het informatiebeveiligingsdomein van groot belang. Deze beste praktijken gaan over de technische én de organisatorische vormgeving van informatiebeveiligingssystemen. Ze gaan uit van principes aangaande informatiebeveiliging die in de wetenschap worden omarmd.1
De beste praktijken van informatiebeveiliging sluiten op veel punten goed aan op art. 5 lid 1 onder f en 32 AVG. Zo hanteren ze hetzelfde begrippenkader en hebben ze dezelfde contextuele benadering.2 Uit de historische context van de AVG-beveiligingsbepalingen en het informatiebeveiligingsdomein blijkt dat art. 5 lid 1 onder f en 32 AVG op de beste praktijken moeten zijn gebaseerd en niet andersom.3 Een verkenning van het informatiebeveiligingsdomein kan de praktische betekenis en rol van sommige juridische begrippen hierdoor verduidelijken en inzicht bieden in de afwegingen die verwerkingsverantwoordelijken en verwerkers moeten maken bij de vormgeving van persoonsgegevensbeveiliging. Binnen dit domein is, in de woorden van de AP, de noodzakelijke kennis en kunde aanwezig om daadwerkelijk aan de wettelijke eisen te voldoen.4 In de richtsnoeren beveiliging van persoonsgegevens van de AP klinken de uitgangspunten van het informatiebeveiligingsdomein daarom sterk door.5 Dit brengt mee dat ook verwerkingsverantwoordelijken, verwerkers en rechters zich bij hun beoordelingen waarschijnlijk (mede) op deze uitgangspunten zullen baseren.6
Al met al kan een analyse van art. 5 lid 1 onder f en 32 AVG in het licht van de uitgangspunten van het informatiebeveiligingsdomein niet ontbreken in deze studie. In dit hoofdstuk verricht ik deze analyse. Voordat ik hiertoe overga, wil ik benadrukken dat het enkele feit dat de uitgangspunten van informatiebeveiliging in de AVG-beveiligingsbepalingen zijn verdisconteerd, niet betekent dat er in de praktijk juridisch gezien ook altijd de juiste afwegingen worden gemaakt. De AVG is voorschrijvend, niet beschrijvend. Een beveiligingssysteem dat is vormgegeven conform de beste praktijken van het informatiebeveiligingsdomein, voldoet dan ook niet per se aan de AVG-beveiligingseisen. Mogelijk is dat deze beste praktijken enigszins moeten worden gewijzigd om tot beveiligingssystemen te leiden die in lijn zijn met de AVG.7
In dit hoofdstuk beschrijf ik de uitgangspunten van het informatiebeveiligingsdomein en analyseer ik of, en zo ja, welke aanknopingspunten zij bieden bij de invulling van art. 5 lid 1 onder f en 32 AVG. Ik begin met een korte beschrijving van het informatiebeveiligingsdomein en de relatie daarvan tot de beveiliging van persoonsgegevens en persoonsgegevensverwerkingen (§3.2). Daarbij ga ik ook in op de juridische functie en praktische relevantie van de binnen de informatiebeveiligingsdomein meest gebruikte normen: de ISO 27000-reeks. In de daaropvolgende paragrafen beschrijf ik steeds enkele aspecten van de art. 5 lid 1 onder f en 32 AVG in het licht van de daarin verdisconteerde uitgangspunten van het informatiebeveiligingsdomein. De tekst van deze bepalingen is daarbij leidend. Ik zal eerst ingaan op de termen ‘vertrouwelijkheid’, ‘integriteit’, ‘beschikbaarheid’, ‘veerkracht’ en ‘authenticiteit’, die binnen het informatiebeveiligingsdomein worden gebruikt om ‘beveiligingsdoelen’ mee aan te duiden (§3.3). Vervolgens beschrijf ik de manier waarop informatiebeveiligingsspecialisten de vormgeving van beveiligingssystemen benaderen en de wijze waarop zij vaststellen welke beveiligingsmaatregelen in een specifieke situatie moeten worden getroffen. Hierbij komt onder meer het concept ‘risico’ aan bod (§3.4). Daarna ga ik in op de zinsnede ‘technische en organisatorische beveiligingsmaatregelen’, op de verschillende functies die beveiligingsmaatregelen kunnen hebben en op de maatregelen die blijkens art. 32 lid 1 AVG waar passend moeten worden getroffen (§3.5). Ik eindig dit hoofdstuk met een synthese, waarin ik kort beschrijf welke aanknopingspunten uit de uitgangspunten van het informatiebeveiligingsdomein zijn af te leiden voor de invulling en naleving van de AVG-beveiligingsbepalingen (§3.6).