6.3.3 Invulling ‘passend’

Art. 25 lid 1 AVG noemt verschillende elementen die de passendheid beïnvloeden van de vanwege deze bepaling te treffen maatregelen. Deze elementen zijn identiek aan die, die de passendheid van beveiligingsmaatregelen op grond van art. 32 AVG beïnvloeden. In de context van art. 25 lid 1 AVG zijn zij verder toegelicht door het Europees Comité voor gegevensbescherming en in de literatuur. Door de gelijkenissen tussen deze bepaling en art. 32 AVG bieden deze toelichtingen meer inzicht in de invulling van de AVG-beveiligingsbepalingen. Ik ga hierna op deze elementen in.

De stand van de techniek refereert aan technologische mogelijkheden. Verwerkingsverantwoordelijken en verwerkers moeten de stand van de techniek in acht nemen vanaf het moment dat zij een verwerking vormgeven. Ze dienen te onderzoeken welke technische mogelijkheden op dat moment bestaan. Het gaat daarbij zowel om de mogelijkheden op het gebied van de met de verwerking gepaard gaande risico’s, als om die op het gebied van de beschermings- en beveiligingsmogelijkheden. Passende maatregelen zijn maatregelen die op deze technische mogelijkheden zijn afgestemd.

De stand van de techniek is een dynamisch concept. Het brengt daardoor ook mee dat verwerkingsverantwoordelijken en verwerkers beveiligingsmaatregelen up to date moeten houden. Technologische ontwikkelingen kunnen ervoor zorgen dat verwerkings­verantwoordelijken en verwerkers de door hen getroffen technische en eventueel organisatorische maatregelen moeten bijwerken om aan de ‘passendheidseis’ te blijven voldoen. Praktisch betekent dit dat zij meldingen over beschermings- en beveiligingsupdates serieus moeten nemen en doorgaans zelfstandig zullen moeten blijven onderzoeken of er zich nog technologische veranderingen hebben voorgedaan.1

De passendheid van maatregelen is ook afhankelijk van hun uitvoerings­kosten. Het gaat hierbij om uitvoeringskosten in brede zin. Het betreft de financiële gevolgen van het treffen van de maatregelen, maar ook de tijdsinvestering die hiermee gepaard gaat en de daarbij vereiste menskracht. Dat de passendheid van beveiligingsmaatregelen wordt beïnvloed door hun uitvoeringskosten betekent volgens het Europees Comité voor gegevensbescherming allereerst dat verwerkings­verantwoordelijken en verwerkers kosten­overwegingen moeten meenemen bij hun keuzes voor maatregelen. Wanneer een bepaalde maatregel gegevens extra kan beveiligen tegen lage kosten, betekent dit doorgaans dat de betreffende maatregel moet worden getroffen.2

Tegelijkertijd leidt het belang van uitvoeringskosten bij de passendheid van maatregelen ertoe dat verwerkingsverantwoordelijken en verwerkers kostenoverwegingen mogen meenemen bij het treffen van maatregelen. Wanneer maatregelen uit verschillende prijscategorieën een onderling gelijkwaardig effect hebben, hoeven zij niet de dure maatregelen te kiezen.3 De passendheid van maatregelen wordt dus niet bepaald door de hoogte van de kosten van de investering, maar door het resultaat.4

Het bovenstaande leidt ertoe dat het onvermogen om de kosten voor het treffen van de vereiste maatregelen te dragen verwerkings­verantwoordelijken en verwerkers geen excuus biedt om een lager beveiligingsniveau te waarborgen.5 Uitvoeringskosten beïnvloeden dus niet de passendheid van het beveiligingsniveau, maar alleen die van de (beveiligings)maatregelen.6 Ze kunnen eerder meebrengen dat een bepaalde maatregel wel moet worden getroffen, dan dat het grondslag biedt voor het niet treffen van een maatregel.7

De passendheid van beschermingsmaatregelen (in het algemeen en beveiligingsmaatregelen in het bijzonder) die een verwerkings­verantwoordelijke of verwerker ten aanzien van een verwerking treft is ook afhankelijk van de aard, omvang, context en verwerkingsdoel van deze verwerking.

Een van de belangrijkste elementen voor de beoordeling van de passendheid van maatregelen is de aard van de verwerkte of te verwerken persoons­gegevens. In dit kader is allereerst relevant of dit gegevens zijn van een ‘bijzondere categorie’. Verwerkings­verantwoordelijken en verwerkers moeten dergelijke gegevens, die gevoeliger van aard zijn dan andere gegevens, extra beschermen omdat de verwerking ervan een hoger risico met zich brengt.8 Ook de aard van de bij de verwerking betrokken datasubjecten valt onder de aard van de verwerking. In dit kader speelt bijvoorbeeld de kwetsbaarheid van deze betrokkenen een rol.9 Verder zijn onder meer de gebruikte middelen, de eventuele betrokkenheid van derden, de mogelijk profilerende aard van de verwerking en de eventuele samenvoegingen van datasets van belang.10 De aard van de verwerking is volgens de AP van dusdanig belang bij de vormgeving van persoonsgegevensbescherming en -beveiliging, dat het bepaalt welk beschermingsniveau in een concreet geval minimaal moet worden gewaarborgd.11 Andere factoren kunnen dan nog meebrengen dat het te waarborgen beschermingsniveau hoger moet zijn dan het alleen op basis van de aard van de gegevens hoeft te zijn.

De omvang van een verwerking hangt af van de grootte en de reikwijdte ervan. Het gaat daarbij voornamelijk om het absolute of relatieve aantal betrokken datasubjecten, de hoeveelheid gegevens die van hen wordt verwerkt, de duur van deze verwerking en de geografische schaal van een verwerkingsactiviteit.12 Mogelijk is ook het aantal verwerkingsverantwoordelijken en verwerkers dat bij de verwerking is betrokken in dit kader van belang.13

Onder de context van een verwerking kunnen theoretisch gezien vrijwel alle omstandigheden van een verwerking vallen. Waarschijnlijk gaat het in ieder geval om de techniek die wordt ingezet voor de verwerking, de omstandigheden waaronder de verwerking plaatsvindt, de oorsprong van de te verwerken data en de relatie tussen het datasubject en de verwerkingsverantwoordelijke.14 Verder is het bijvoorbeeld relevant of het verrichten van verwerkingen de voornaamste activiteit van de betrokken verwerkingsverantwoordelijke of verwerker is.15

Het door de verwerkingsverantwoordelijke gedefinieerde verwerkingsdoel is de reden voor de verwerking en geeft weer waarvoor hij de persoonsgegevens zal gebruiken.16 Zo zou bijvoorbeeld een eventuele verplichting tot het afgeven van gegevens van belang kunnen zijn, iets dat ook blijkt uit één van de boetebesluiten van de AP.17 Het is verder nog onduidelijk hoe dit verder het te waarborgen beveiligingsniveau of de te treffen beveiligingsmaatregelen beïnvloedt.

Verwerkingsverantwoordelijken en verwerkers moeten hun beveiligingsmaatregelen afstemmen op de met de verwerking gepaard gaande risico’s. Het Europees Comité voor gegevensbescherming heeft toegelicht dat verwerkingsverantwoordelijken en verwerkers in dit kader de kans op een bepaald risico moeten vaststellen, evenals de impact van een realisatie van dit risico.18 Beste praktijken en standaarden kunnen hen hierbij ondersteunen, maar de toepassing ervan is niet voldoende om passende maatregelen in de zin van de AVG te treffen.19 Binnen deze kaders moeten ze steeds zelf een beoordeling maken van de risico’s die gepaard gaan met de door hen voorgenomen verwerking.

Risico’s zijn in de context van de AVG van groot belang. De verordening kent een zogenoemde risicogebaseerde benadering, die terugkomt in art. 32 AVG maar ook in art. 24, 25 en 35 AVG. Over dit passendheids-element is het meeste geschreven in de context van de gegevensbeschermingseffectbeoordeling, waarin risico’s het meest prominent terugkomen. In de volgende paragraaf ga ik hier verder op in.