Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.3.3
5.3.3 De vrijheid en de beveiliging van persoonsgegevens
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660852:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie over deze verordening §6.5.1.
Preambule Cyberbeveiligingsverordening, i.h.b. o. 7.
Preambule Cyberbeveiligingsverordening, pt. 48.
Preambule Cyberbeveiligingsverordening, pt. 15. Dit doet zij door het vertrouwen in de digitale technologie te vergroten.
Zie in dit kader ook de Verordening niet-persoonsgebonden gegevens. In deze verordening, die moet bijdragen aan de instelling en werking van de interne markt, wordt het vrije verkeer van niet-persoonsgegevens geregeld. In de preambule wordt onder meer vastgesteld dat een groot obstakel voor gegevensmobiliteit (oftewel het vrije verkeer van gegevens) en de interne markt bestaat uit door lidstaten ingevoerde gegevenslokalisatievereisten (o. 2). Vervolgens wordt benadrukt dat dergelijke vereisten vaak het gevolg zijn van een gebrek aan vertrouwen in grensoverschrijdende gegevensverwerking en dat de verordening regels bevat die dit vertrouwen moeten terugwinnen (o. 24). Hieruit blijkt eveneens dat er een verband bestaat tussen het vrije verkeer van (persoons)gegevens en het vertrouwen van burgers. Daarbij legt de EU-wetgever overigens ook de link met de beveiliging van persoonsgegevens. In dit kader benoemt hij dat het vergroten van het vertrouwen in de beveiliging van grensoverschrijdende gegevensverwerking de neiging van marktdeelnemers en overheden moet verminderen om gegevenslokalisatie als substituut voor gegevensbeveiliging te gebruiken.
Zie over het systeem van goedkeuring §6.5. Het uitgangspunt is dat toezichthouders een gedragscode goedkeuren wanneer zij van mening zijn dat de betreffende code voldoende waarborgen biedt, en dat er sprake is van een goedgekeurd certificaat indien het betreffende certificaat is verleend op grond van de criteria die zijn goedgekeurd door de toezichthouder, door een certificeringsorgaan dat hiertoe is geaccrediteerd. Doordat de toezichthouder zo bepaalde inhoudelijke eisen kan stellen, kan het hoge beveiligingsniveau worden gewaarborgd.
Het vrije verkeer van persoonsgegevens en de werking van de interne markt worden in de AVG en de Dataprotectierichtlijn niet direct aan art. 5 lid 1 onder f en 32 AVG gekoppeld. Desondanks bestaat hier, zo blijkt uit de Cyberbeveiligingsverordening (2019), wel een verband tussen.1
De Cyberbeveiligingsverordening regelt twee dingen: een kader voor de vaststelling van Europese cyberbeveiligingscertificeringsregelingen en de doelstellingen, taken en organisatorische aangelegenheden van ENISA (het Agentschap van de EU voor cyberbeveiliging).2 Deze twee type regels moeten tezamen de cyberbeveiligingsrisico’s van de toenemende digitalisering en connectiviteit beperken en zo (1) de werking van de interne markt te waarborgen en (2) een hoog niveau van cyberbeveiliging, cyberweerbaarheid en -vertrouwen binnen de EU bewerkstellingen.3
Van de regels uit de Cyberbeveiligingsverordening zijn in het bijzonder de regels over het kader voor cyberbeveiligingscertificeringsregelingen aan beveiliging gerelateerd. Dit kader kan effect hebben op de inhoudelijke vormgeving van beveiliging (zie inhoudelijk §7.2.2.2). Het dient ter realisatie van beide oogmerken van de Cyberbeveiligingsverordening: het moet bewerkstelligen dat er in de gehele EU een toereikend cyberbeveiligingsniveau wordt gegarandeerd en voorkomen dat er op het gebied van cyberbeveiligingscertificeringsregelingen versnippering van de interne markt ontstaat.4 De EU-wetgever neemt hiermee een directe relatie aan tussen de totstandkoming en werking van de interne markt en de realisatie van een gelijk cyberbeveiligingsniveau.5 Verder draagt het kader voor certificeringsregelingen bij aan de interne markt doordat de verhoging van het beveiligingsniveau dat deze regelingen bewerkstelligt, zorgt voor een groter vertrouwen van betrokkenen. Het kader draagt hier verder aan bij doordat het de transparantie van de cyberbeveiligingszekerheid van ICT-producten, diensten en -processen vergroot.6
De Cyberbeveiligingsverordening heeft betrekking op cyberbeveiliging in het algemeen, en niet specifiek op de beveiliging van persoonsgegevens. Toch kunnen uit haar preambule en systematiek enkele conclusies worden getrokken over de rol van art. 5 lid 1 onder f en 32 AVG bij de totstandkoming van de interne markt. Zo benoemt haar preambule dat de AVG een hoog cyberbeveiligings- en vertrouwensniveau in de digitale eengemaakte markt bewerkstelligt.7 Gezien het sterke verband tussen de verwezenlijking van de interne markt en het vrije verkeer van persoonsgegevens, zal dit vertrouwen tevens bijdragen aan het vrije verkeer van persoonsgegevens.8
Al met al zullen art. 5 lid 1 onder f en 32 AVG bijdragen aan de interne markt doordat zij een harmoniserend effect hebben en het vertrouwen in de interne markt vergroten. Verder is relevant dat art. 32 lid 3 AVG, net als de cyberbeveiligingsverordening betrekking heeft op certificeringsmechanismen. Deze bepaling stimuleert verwerkingsverantwoordelijken en verwerkers om zich aan te sluiten bij goedgekeurde gedragscodes en goedgekeurde certificeringsmechanismen (zie hierover §6.5). Deze codes en mechanismen kunnen, net als het kader voor cyberbeveiligingscertificeringsregelingen uit de Cyberbeveiligingsverordening, resulteren in een hoog beveiligingsniveau en zo het vertrouwen in de interne markt vergroten.9 Nu hun totstandkoming bovendien op EU-niveau moet worden gestimuleerd, hebben ze bovendien een (aanvullende) harmoniserende functie. Ze kunnen er immers voor zorgen dat de bepalingen binnen de EU hetzelfde worden uitgelegd.10 De waarde van de beveiligingsbepalingen voor de totstandkoming van de interne markt, lijkt met andere woorden vooral te zitten in hun effect op harmonisatie en vertrouwen. Zie in dit kader wel nog §5.4.2.