De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.2:7.3.2 Art. 4 lid 1 onder f en 29 Richtlijn 2016/680

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.2

7.3.2 Art. 4 lid 1 onder f en 29 Richtlijn 2016/680

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Ook Richtlijn 2016/680 bevat equivalenten van art. 5 lid 1 onder f en 32 AVG. De richtlijn ziet op de verwerking van persoonsgegevens door bevoegde autoriteiten, met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.1 Ook waarborgt de richtlijn de werking van de interne markt.2

Art. 4 lid 1 onder f van Richtlijn 2016/680 bevat een beginsel dat vrijwel identiek is geformuleerd aan art. 5 lid 1 onder f AVG.3 Art. 29 van de richtlijn werkt deze verplichting verder uit. Het eerste lid van deze bepaling is vrijwel identiek aan het eerste lid van art. 32 AVG, maar voegt daaraan toe dat de gewaarborgde beveiliging met name betrekking moet hebben op de verwerking van bijzondere categorieën van persoonsgegevens.

De beveiligingsverplichting van art. 29 Richtlijn 2016/680 wordt verder uitgewerkt in het tweede lid van deze bepaling. Met betrekking tot de geautomatiseerde verwerking van gegevens moeten lidstaten volgens deze bepaling garanderen dat verwerkingsverantwoordelijken en verwerkers, na de beoordeling van het risico, maatregelen treffen om:

a.

“te verhinderen dat onbevoegden toegang krijgen tot verwerkings­apparatuur („controle op de toegang tot de apparatuur”);

b.

te verhinderen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen („controle op de gegevensdragers”);

c.

te verhinderen dat onbevoegden persoonsgegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen („opslagcontrole”);

d.

te verhinderen dat onbevoegden geautomatiseerde verwerkings­systemen gebruiken met behulp van datatransmissieapparatuur („gebruikerscontrole”);

e.

ervoor te zorgen dat personen die bevoegd zijn om een geauto­matiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de persoonsgegevens waarop hun toegangs­bevoegd­heid betrekking heeft („controle op de toegang tot de gegevens”);

f.

ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden door­gezonden of beschikbaar gesteld met behulp van datatrans­missieapparatuur („transmissiecontrole”);

g.

ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in geautomatiseerde verwerkingssystemen zijn ingevoerd („invoercontrole”);

h.

te verhinderen dat onbevoegden persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van persoons­gegevens of het vervoer van gegevensdragers („transport­controle”);

i.

ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet („herstel”);

j.

ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd („betrouw­baarheid”) en dat opgeslagen persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem („integriteit”).”

De richtlijn bepaalt niet dat de getroffen maatregelen enkel te hoeven worden getroffen ‘waar passend’.

Verder vereist de richtlijn dat lidstaten ervoor zorgen dat logbestanden worden bijgehouden van verschillende verwerkingen. Deze moeten het mogelijk maken de redenen, de datum en het tijdstip van deze verwerkingen te achterhalen en indien nodig de identiteit van degene die de verwerking had verricht.4

Richtlijn 2016/680 ziet op een specifieke context, en art. 29 lid 2 AVG beperkt deze context verder. De genoemde maatregelen betreffen alleen geautomatiseerde verwerkingen die plaatsvinden in het kader van de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. De beveiliging moet verder ‘met name’ zien op gevoelige persoonsgegevens.

De genoemde maatregelen zijn identiek aan de maatregelen die moeten worden getroffen in het kader van art. 91 Verordening 2018/1725. De herhaling van deze maatregelen, die bovendien (zoals beschreven in §7.3.1.2 ) relateren aan de beveiligingsdoelen die centraal staan in de AVG, bevestigt het vermoeden dat zij van belang zullen zijn voor de invulling van art. 5 lid 1 onder f en 32 AVG – zeker wanneer het gaat om de beveiliging van bijzondere categorieën van persoonsgegevens.

Deze functie is alleen te gebruiken als je bent ingelogd.