Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.4
7.3.4 Art. 40 Herschikkingsrichtlijn telecommunicatie
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660950:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Art. 40 Herschikkingsrichtlijn telecommunicatie.
Art. 1 lid 1 Herschikkingsrichtlijn telecommunicatie. De Herschikkingsrichtlijn telecommunicatie vervangt de Kaderrichtlijn, die tot de inwerkingtreding van de eerstgenoemde richtlijn het wettelijk kader voor elektronische communicatienetwerken en -diensten regelde.
Preambule Richtlijn Betere Regelgeving, o. 44. Deze richtlijn heeft geresulteerd in de voorganger van art. 40 Herschikkingsrichtlijn telecommunicatie: art. 13 bis Kaderrichtlijn Telecommunicatie.
Art. 13bis lid 1 Kaderrichtlijn, zoals gewijzigd door de Richtlijn Betere Regelgeving.
Preambule Herschikkingsrichtlijn telecommunicatie, o. 94.
Preambule Herschikkingsrichtlijn telecommunicatie, o. 98. Vgl. preambule Richtlijn betere regelgeving, o. 44. Hieruit blijkt tevens dat zij moet zij bijdragen aan de harmonisatie van de binnen de EU getroffen passende technische en organisatorische maatregelen.
ENISA 2015, §4 en 5. Deze richtsnoeren betreffen art. 13b van de Kaderrichtlijn Telecommunicatie. Nu art. 40 Herschikkingsrichtlijn telecommunicatie deze bepaling vervangt maar niet wezenlijk anders is, is het aannemelijk dat deze richtsnoeren ook op deze bepaling van toepassing zijn.
ENISA 2015, §4.
ENISA 2015, §3.
Voorstel van wet - Wijziging van de Telecommunicatiewet in verband met de implementatie van de onderdelen van richtlijn (EU) 2018/1972 die betrekking hebben op toegangsregulering in geval van replicatiebelemmeringen, het overstappen van telecomaanbieder en het vorderen van inlichtingen ten behoeve van een geografisch onderzoek naar het bereik van elektronische communicatienetwerken, Kamerstukken II 2019-20, 35368.
Wet van 10 mei 2012 tot wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen (Stb. 2012, 235).
Zie §1.2.
Zo blijkt immers ook uit het informatiebeveiligingsdomein, zie i.h.b. §3.2.1.
Zie ook CBb 16 november 2016, ECLI:NL:CBB:2016:346 (Hack netwerk KPN), waarin wordt overwogen dat mede gezien de verschillende oogmerken van art. 11a.1 Tw en (onder meer) art. 13 Wbp, hetgeen geldt voor de ene bepaling niet onverkort van toepassing is op de uitleg van de andere (zie i.h.b. r.o. 4.2 en 6.2).
Een andere relevante beveiligingsnorm ziet op de beveiliging van elektronische communicatienetwerken en elektronische communicatiediensten.1 Lidstaten dienen beveiligingsvoorschriften hieromtrent vorm te geven op grond van het Europees wetboek voor elektronische communicatie, een richtlijn die betrekking heeft op elektronische communicatienetwerken, elektronische communicatiediensten, bijbehorende faciliteiten en bijbehorende diensten, en bepaalde aspecten van eindapparatuur.2
De ‘Herschikkingsrichtlijn telecommunicatie’ dient ertoe de interne markt voor elektronische-communicatienetwerken en -diensten tot stand te brengen en de werking daarvan te waarborgen. In dit kader ziet de EU-wetgever een economische en maatschappelijke rol weggelegd voor betrouwbare en veilige communicatie van informatie.3 De richtlijn moet dan ook bewerkstellingen dat onder meer de toegankelijkheid en veiligheid van dergelijke netwerken en diensten wordt gerealiseerd, en dus dat de beveiliging ervan wordt gewaarborgd.4
De beveiligingsverplichtingen die lidstaten op grond van de Herschikkingsrichtlijn telecommunicatie dienen te formuleren, staan in art. 40 van deze richtlijn. Hieruit volgt dat ze aanbieders van openbare communicatienetwerken of voor het publiek beschikbare elektronische communicatiediensten moeten verplichten tot het treffen van passende technische en organisatorische maatregelen om de risico’s voor de veiligheid van hun netwerken of diensten goed te beheersen. Deze maatregelen moeten, gelet op de stand van de techniek, zorgen voor een veiligheidsniveau dat is afgestemd op de risico’s die zich kunnen voordoen. Ze dienen met name te zijn gericht op het zo beperkt mogelijk houden van de gevolgen van veiligheidsincidenten op gebruikers en andere netwerken en diensten.5
De preambule van de Herschikkingsrichtlijn telecommunicatie verduidelijkt dat bij het treffen van beveiligingsmaatregelen rekening moeten houden met de volgende factoren:
“met betrekking tot de beveiliging van netwerken en voorzieningen: fysieke en omgevingsbeveiliging, bevoorradingszekerheid, controle op de toegang tot netwerken en integriteit van netwerken”;
“met betrekking tot de behandeling van beveiligingsincidenten: behandelingsprocedures, capaciteit voor beveiligingsincidentdetectie, beveiligingsincidentrapportage en -communicatie”;
“met betrekking tot het beheer van de bedrijfscontinuïteit: strategie inzake continuïteit van de dienstverlening en rampenplannen, herstelcapaciteiten”;
“op het gebied van toezicht, controle en testen: toezicht- en registratiebeleid, oefenen van rampenplannen, testen van de netwerken en diensten, beoordelingen van de beveiliging en toezicht op de conformiteit; en naleving van internationale normen”.6
Ten aanzien van de voorganger van art. 40 Herschikkingsrichtlijn telecommunicatie, art. 13bis lid 1 Kaderrichtlijn, is verder nog verduidelijkt dat de beveiliging van elektronische-communicatiediensten en elektronische-communicatienetwerken een voortdurend proces van toepassing, herziening en aanpassing vereist.7
Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) heeft verduidelijkt dat de beveiliging van elektronische communicatiediensten en -netwerken moet zien op de software, op de hardware en op de verdere benodigdheden voor de dienst, zoals de stroomvoorziening van het net of brandstofvoorziening door energiebedrijven.8 Daarbij moeten de aanbieders van deze netwerken en diensten verschillende soorten dreigingen ondervangen: menselijke fouten, systeemfouten, natuurlijke gebeurtenissen, kwaadaardige acties en problemen die voor rekening komen van derde partijen.9 Het gaat bijvoorbeeld om heftige sneeuw en wind, aardbevingen, brandstichting, Denial of Service-attacks, diefstal van hardware, malware, het wegvallen van stroom, diefstal van kabels, beveiligingsinbreuken en tekortkomingen in procedures. In welke mate deze risico’s moeten worden beheerst, moet per geval worden beoordeeld.10
Er is op dit moment een wetsvoorstel aanhangig om de Telecommunicatiewet te wijzigen in verband met de implementatie van de Herschikkingsrichtlijn telecommunicatie.11 Tot op heden is art. 13bis Kaderrichtlijn omgezet in art. 11a.1 Tw, dat met het voorstel niet wordt gewijzigd.12 Deze bepaling maakt het voor de regering mogelijk bij of krachtens algemene maatregel van bestuur technische en organisatorische eisen te stellen met betrekking tot de veiligheid en integriteit van openbare elektronische communicatienetwerken of -diensten. Zij heeft dit gedaan in het Besluit continuïteit openbare elektronische communicatienetwerken- en diensten. Omdat het nationale regels betreft, ga ik hierop niet verder in.13
Van het bovenstaande zijn voor het houvast bij de invulling van art. 5 lid 1 onder f en 32 AVG in het bijzonder de richtsnoeren van ENISA relevant. Zo zal ook in het kader van de AVG-beveiligingsbepalingen rekening moeten worden gehouden met software, hardware en andere relevante elementen.14 Verder bieden de genoemde dreigingen inzicht in de verschillende type dreigingen die de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten kunnen aantasten.15
Voor het overige zal de term ‘passend’ onder de AVG waarschijnlijk niet hetzelfde worden ingevuld als onder de Herschikkingsrichtlijn telecommunicatie. Deze richtlijn gaat immers voornamelijk over de beveiliging van de integriteit en continuïteit van netwerken en diensten, terwijl art. 5 lid 1 onder f en 32 AVG hoofdzakelijk betrekking hebben op de beveiliging van de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens. De grondrechtelijke achtergrond van het laatste komt in de context van de herschikkingsrichtlijn niet terug. 16 Dit brengt ook mee dat er in de context van persoonsgegevensbeveiliging nog andere – niet in de door ENISA opgestelde richtsnoeren genoemde – dreigingen en beveiligingsobjecten van belang zullen zijn.