8.3.3 De beoordeling van het niveau: risico’s als kernelement

Mijn onderzoek toont aan dat risico’s vanuit iedere context bezien een kernrol vervullen bij de beoordeling van het passende beveiligings­niveau. Dit blijkt allereerst uit zowel lid 1 van art. 32 AVG, waarin wordt gesproken over het “op het risico afgestemde beveiligingsniveau”, als uit lid 2, waarin staat dat het te waarborgen beveiligingsniveau vooral afhankelijk is van verwerkingsrisico’s.1 Het past bovendien bij de algehele ‘risicogebaseerde’2 benaderingswijze van de AVG, bij de informatiebeveiligingspraktijk,3 en bij de historische context van de AVG-beveiligingsbepalingen.4 Zowel in het juridische als in het praktische domein verwijst de term ‘risico’ naar de ernst (ook wel impact) en waarschijnlijkheid (ook wel kans) van een bepaald scenario.5 De risico’s die de hoogte van het passende beveiligingsniveau beïnvloeden, zijn die voor de grondrechten en fundamentele vrijheden van natuurlijke personen (zie §8.3.4).6 Van de risicogebaseerde benadering wordt in de praktijk aangenomen dat het (bij een juiste toepassing) de beste manier is om een efficiënte beveiliging te bewerkstelligen.7 De benadering past dan ook bij de strenge verplichting tot de waarborging van een passend resultaat.

Art. 32 lid 2 AVG bepaalt dat het te waarborgen beveiligingsniveau ‘met name’ afhangt van de verwerkingsrisico’s. Dit zijn de risico’s die verbonden zijn aan een (voorgenomen) verwerking. Uit mijn onderzoek volgt dat er naast deze verwerkingsrisico’s geen andere risico’s zijn met veel invloed op het te waarborgen beveiligingsniveau.

In dit kader wil ik nog wel benoemen dat uit de preambule van de AVG lijkt te kunnen worden opgemaakt dat voor het passende beveiligingsniveau, naast verwerkingsrisico’s, ook gegevens­beveiligings­­­risico’s in het algemeen relevant zijn.8 Dit zou kunnen betekenen dat verwerkings­verantwoordelijken en verwerkers bij de beveiliging van een verwerking verder moeten kijken dan de risico’s van de verwerking die ze gaan verrichten. Ze moeten mogelijk ook aandacht besteden aan risico’s die niet zozeer inherent zijn aan deze verwerking, maar wel in het algemeen horen bij persoonsgegevensverwerkingen. Deze benadering past bij de wijze waarop beveiliging in de praktijk wordt vormgegeven: daarbij spelen in de fase van de risico-identificatie ook de algemene risico’s van een verwerking een rol.9 Voor de uiteindelijke beveiliging zal het doorgaans echter niet of weinig uitmaken of deze risico’s wel of niet worden meegenomen. Als algemene risico’s niet spelen bij een specifieke verwerking (wat niet vaak het geval zal zijn), hoeven ze ook niet beheerst te worden. Het meenemen van deze risico’s lijkt daarom vooral van belang te zijn bij de risico-identificatie en lijkt ten doel te hebben dat er geen belangrijke risico’s worden vergeten.

Blijkens art. 32 lid 2 AVG zijn bij de beoordeling van het passende beveiligingsniveau vooral de verwerkingsrisico’s van belang die het gevolg zijn van “de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig”. Art. 5 lid 1 onder f AVG benoemt gedeeltelijk dezelfde verwerkingen, maar bepaalt ook in het algemeen dat het gaat om de bescherming tegen “ongeoorloofde of onrechtmatige verwerking”.10 Hieruit blijkt dat ook de risico’s van andere dan de in art. 32 AVG uitdrukkelijk genoemde verwerkingen het te waarborgen beveiligingsniveau kunnen beïnvloeden.11 Denk bijvoorbeeld aan de risico’s van een koppeling van gegevens of de opname daarvan in een big-dataset.12 Dit weerspiegelt het eerdergenoemde brede karakter van de AVG-beveiligingsbepalingen (zie §8.2).

Risico’s staan niet op zichzelf. Hoe hoog de risico’s van een gegevensverwerking zijn, is afhankelijk van de context van de verwerking, iets dat duidelijk blijkt uit het informatiebeveiligings­domein.13 Op basis van mijn onderzoek ben ik daarom tot de conclusie gekomen dat veel van de omstandigheden die op basis van art. 32 AVG de passendheid van beveiligingsmaatregelen lijken aan te gaan, (ook) van belang zijn bij de beoordeling van het passende beveiligingsniveau.14 Het gaat dan om de omstandigheden die van invloed zijn op de risico’s voor de rechten en vrijheden van natuurlijke personen en om de objectieve omstandigheden ten aanzien van de beheersbaarheid van deze risico’s. Dit betekent voornamelijk dat de (financiële) middelen van de betrokken verwerkings­verantwoordelijken en verwerkers het te waarborgen beveiligingsniveau niet beïnvloeden.15 Hierin klinkt het strenge karakter van deze verplichting door.16

De risico’s die een verwerking meebrengt, zijn voor een belangrijk deel afhankelijk van de aard van de te verwerken gegevens. Dit blijkt uit de manier waarop voorgangers van de AVG-beveiligingsnormen waren geformuleerd,17 uit het grondrechtelijk perspectief,18 en uit de wijze waarop persoonsgegevens­beveiligings­normen uit andere EU-regelingen zijn vormgegeven.19 In het algemeen geldt dat hoe gevoeliger de aard van de gegevens is, hoe groter de risico’s van hun verwerking zijn, en hoe hoger het te waarborgen beveiligingsniveau moet zijn.20 De aard van de gegevens is hiervoor van dusdanig belang, dat de AP op basis van de aard van de gegevens het minimaal te waarborgen beveiligingsniveau vaststelt. Andere elementen kunnen vervolgens meebrengen dat het te waarborgen beveiligings­niveau hoger uitvalt.21 Voor de toekomst is mogelijk interessant dat steeds duidelijker wordt dat ook beveiligingsincidenten met andersoortige data, zoals metadata of data die gekoppeld is of kan worden gekoppeld aan andere gegevens (big data), gepaard gaan met grote risico’s voor betrokkenen.22

De omvang van de relevante risico’s hangt ook af van andere verwerkingsomstandigheden.23 Zo heeft het HvJ EU verduidelijkt dat een verwerking met een grote omvang of lange duur, grotere risico’s meebrengt voor het beveiligingsniveau dan een vergelijkbare verwerking van kortere duur en minder gegevens.24 Grof gezegd zal het passende beveiligingsniveau daarom hoger worden naarmate verwerkingen groter of langduriger worden. Ook in het informatiebeveiligingsdomein gaat men daarvan uit: de omvang en de duur van de (voorgenomen) verwerking worden al bij de contextbepaling meegenomen.25

Onderdeel van het passende beveiligingsniveau is verder de objectieve beheersbaarheid van de risico’s. Daarbij is vooral van belang dat het recht op de vrijheid van ondernemerschap ertoe leidt dat de AVG geen beveiligingsniveau mag vereisen dat technisch gezien niet kan worden bewerkstelligd.26 Verder kunnen toegankelijke beveiligingsmethoden (die weinig kosten qua geld, tijd en menskracht) meebrengen dat het te waarborgen beveiligingsniveau hoger wordt.27

Zoals gezegd gaan risico’s over de kans dat een bepaalde situatie zich voordoet en de impact die de betreffende situatie zou hebben. Het is niet zo dat beide factoren hoog moeten zijn voordat zij een risico vormen dat op grond van de AVG-beveiligingsbepalingen moet worden beheerst. In het informatiebeveiligingsdomein wordt aangenomen dat er soms ook maatregelen moeten worden getroffen tegen risico’s met een hoge impact en een lage kans of juist tegen risico’s met een lage impact en een hoge kans.28 Uit EU-cyberbeveiligingsregelingen volgt dat waarschijnlijk ook in het juridische domein de potentiële impact van een beveiligingsincident kan meebrengen dat er beveiligingsmaatregelen moeten worden getroffen, ook als de kans dat het incident zich voordoet klein is. 29 Nu deze uitleg zou passen bij de strikte grondrechten-gerichte benadering van de AVG, doen verwerkingsverantwoordelijken en verwerkers er goed aan om bij de vormgeving van hun beveiliging ook rekening te houden met risico’s op beveiligingsincidenten die veel impact hebben op de waarborging van de grondrechten en fundamentele vrijheden van natuurlijke personen, maar waarvan de kans dat dergelijk incident zich voordoet klein is.