De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.5.2:6.5.2 Relevantie voor de naleving van art. 32 AVG

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.5.2

6.5.2 Relevantie voor de naleving van art. 32 AVG

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

De tekst van de AVG verduidelijkt niet in hoeverre de aansluiting van een verwerkingsverantwoordelijke of verwerker bij een goedgekeurde gedragscode, of de afstemming van beveiliging op een AVG-certificeringsmechanisme een indicatie is voor de correcte naleving van de AVG-beveiligingsbepalingen. Zij bepalen op dit punt slechts dat dit hierbij ‘een element’ is. Wat dit precies betekent, blijft in het midden.

Een AVG-certificaat doet volgens de tekst van de AVG “niets af aan de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker om deze verordening na te leven”.1 Hieruit volgt dat het verkrijgen van zo’n certificaat niet per se betekent dat een verwerking aan de AVG-beveiligingsbepalingen voldoet. Hoewel de AVG niet iets vergelijkbaars bepaalt voor goedgekeurde gedragscodes, zal hierbij waarschijnlijk hetzelfde opgaan. Een andere uitleg lijkt niet verenigbaar met het contextafhankelijke karakter van de AVG-beveiligingsverplichtingen.2 Bovendien schrijft de enige op dit moment goedgekeurde gedragscode niet daadwerkelijk voor welke beveiligings­maatregelen verwerkers of verwerkingsverantwoordelijken moeten treffen of welk beveiligings­niveau zij moeten garanderen. Zij vullen de algemene beveiligings­verplichtingen in een concreet geval daarom niet in. Bij de toepassing van deze code zullen verwerkingsverantwoordelijken, verwerkers, rechters en de toezichthouder nog steeds moeten nagaan of dit daadwerkelijk heeft geleid tot passende beveiligingsmaatregelen en de waarborging van het passende beveiligingsniveau.

Deze functie is alleen te gebruiken als je bent ingelogd.