Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.7.3
4.7.3 Een aparte norm voor de telecommunicatiesector?
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660912:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Art. 4 lid 1 van de Bijzondere Privacyrichtlijn. De Bijzondere Privacyrichtlijn was een specificatie van en een aanvulling op de Dataprotectierichtlijn (Art. 1 lid 2 Bijzondere Privacyrichtlijn). De EU-wetgever achtte deze richtlijn essentieel wegens de ontwikkelingen in de informatiemaatschappij en de introductie van nieuwe telecommunicatiediensten (zoals het leveren van interactieve televisie). Hij overweegt dat het voor een grensoverschrijdende ontwikkeling van deze diensten van belang is dat gebruikers erop vertrouwen dat hun persoonlijke levenssfeer geen gevaar loopt wanneer zij gebruik maken van deze diensten (preambule Bijzondere Privacyrichtlijn, o. 3.).
Art. 19 E-privacyrichtlijn.
De Nederlandse wetgever heeft ervoor gekozen de netwerkbeheerder dezelfde plicht op te leggen als de dienstverlener, al was hij hier op basis van de richtlijn niet toe verplicht (art. 4 lid 1 van de Bijzondere Privacyrichtlijn zag slechts op de verstrekker van algemeen beschikbare telcommunicatiediensten). Hij heeft hiervoor gekozen wegens de fysieke en technische onderlinge verwevenheid van de diensten en netwerken (Kamerstukken II 1996/97, 25533, 3, p. 119 (MvT)). Zie t.a.v. het verschil tussen veiligheid en beveiliging §3.2.1.
Commissievoorstel E-privacyverordening. Zie over dit voorstel en de stappen die nog moeten worden gezet voordat zij eventueel in werking zou treden Roerdink 2021, §2.
Commissievoorstel E-privacyverordening, §1.2. Zie ook Lynskey 2015, §2.B.2.(a) en Wachter 2018, §1.
Commissievoorstel E-privacyverordening, §3.5.
Commissievoorstel E-privacyverordening, §1.2. Overigens kon deze ‘samenloop’ van voorschriften ook onder de Wbp en de Tw bestaan. Dat de EU-wetgever destijds wel een meerwaarde in het extra voorschrift zag, heeft er mogelijk mee te maken dat het voorschrift dat op grond van de Dataprotectierichtlijn bestond, enkel gold voor verwerkingsverantwoordelijken. Nu ook verwerkers onder de algemene beveiligingsplicht vallen, heeft een aparte bepaling in deze visie geen meerwaarde meer.
Art. 11.3 Telecommunicatiewet (Tw) bevat een aparte beveiligingsbepaling voor aanbieders van openbare elektronisch communicatienetwerken en openbare elektronische communicatiediensten. Deze bepaling strekt van oorsprong ter implementatie van art. 14 van de Bijzondere Privacyrichtlijn, waarmee lidstaten voor het eerst werden verplicht een specifieke beveiligingsvoorschrift voor de telecommunicatiesector in te voeren.1 In 2002 is de Bijzondere Privacyrichtlijn vervangen door de E-Privacyrichtlijn.2 Dit had geen gevolgen had voor de beveiligingsbepaling.3 De wijziging van de E-Privacyrichtlijn door de Richtlijn Burgerrechten in 2009 had dit wel. Het beveiligingsvoorschrift moest hierdoor worden uitgebreid.4
Art. 11.3 Tw bepaalt dat aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten “in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen” moeten treffen “ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten”.5 De maatregelen dienen het passende beveiligingsniveau te garanderen dat in verhouding staat tot het risico, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging. Door de invoering van de Richtlijn Burgerrechten is deze verplichting nog iets verder uitgewerkt, zie hierover §7.2.3.
In 2017 heeft de Commissie een voorstel voor de E-privacyverordening ingediend. In 2021 is er binnen de Raad overeenstemming bereikt over een tekstvoorstel.6 De verordening die wordt voorgesteld moet (onder andere) een speciale regeling worden, in aanvulling op en gedeeltelijk ter vervanging van de bepalingen van bij de AVG.7 Omdat men dubbele wetgeving wil voorkomen,8 bevat de E-privacyverordening geen specifieke persoonsgegevensbeveiligingsbepaling voor de telecommunicatiesector.9 Als de E-privacyverordening wordt aangenomen en op dit punt niet meer wordt gewijzigd, zal art. 11.3 Tw moeten worden ingetrokken. Ten aanzien van hun persoonsgegevensverwerkingen zullen aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten slechts zijn gebonden aan de AVG.10