Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.5
5.5 Conclusie
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660953:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie §5.2.1 en §5.2.2.2.
Zie §5.2.2.2.
Zie §5.2.1.
Zie §5.2.2.2.
Zie §5.3.2.
Zie §5.1 en §5.4.4.
Zie §5.3.4.
Zie §5.2.3.1. In de literatuur wordt wel bepleit dat niet iedere persoonsgegevensverwerking een inbreuk op art. 8 Hv op zou moeten leveren en oplevert. Uit de rechtspraak van het HvJ EU volgt echter wel dat dit het geval is.
Zie §5.3.4.
Zie §5.2.3.1.
Los van art. 8 lid 2 Hv (zie ook §5.2.3).
Zie §5.3.4.
Zie §5.2.3.3.
Zie §5.2.3.3.
Zie §5.2.4.2.
Zie §5.4.2.
Zie §5.2.3.3.
Zie §5.2.3.3.
Zie §5.3 en §5.4.2.
Zie §3.3.1, §3.3.2, §3.3.3 en §3.3.4.
Zie §5.2.3.2, §5.2.3.3 en §5.2.4.2.
Zie §5.2.3.3.
Zie §5.2.3.3.
Zie §5.2.5.1.
Zie §5.2.5.2.
Zie §5.2.5.3.
Zie §5.2.3.2.
Zie §5.2.5.3.
Zie voornamelijk §5.3.2, waaruit ook blijkt dat het praktische verband daarbij gerelateerd is aan het vertrouwen dat de grondrechtenbescherming burgers moet geven in de interne markt. Het juridische aspect bespreek ik in §5.4.2 en heeft te maken met de eisen die uit het Handvest volgen.
Zie §5.3.2.
Zie §5.3.3, en hieraan gerelateerd §2.2.1 en §6.2.6.
In dit hoofdstuk heb ik art. 5 lid 1 onder f en 32 AVG bekeken in het licht van de doelstelling van de AVG. Deze doelstelling blijkt uit art. 1 AVG en bestaat uit twee doelen; lid 2 van dit artikel bepaalt dat de AVG de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens beschermt, uit lid 3 volgt dat het vrije verkeer van persoonsgegevens in de EU niet beperkt of verboden wordt om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens. Gezien de formulering van art. 32 lid 3 AVG is het van belang hoe beide doelen zich afzonderlijk tot de AVG-beveiligingsbepalingen verhouden en wat in deze context hun onderlinge verhouding is. Uit mijn onderzoek blijken de volgende aanknopingspunten voor de invulling van art. 5 lid 1 onder f en 32 AVG:
Alle grondrechten en vrijheden die in de EU worden erkend, kunnen relevant zijn bij de uitleg van de AVG-beveiligingsbepalingen.
De AVG heeft het doel om alle grondrechten en fundamentele vrijheden van de EU te eerbiedigen. Zij kunnen dan ook allemaal van belang zijn bij de invulling van de bepalingen uit de AVG.
De grondrechten en fundamentele vrijheden van de EU zijn beschreven in het Handvest. De instellingen van de EU, waaronder het HvJ EU, zijn verplicht om al deze grondrechten en fundamentele vrijheden te eerbiedigen. Wanneer nationale rechters het recht van de EU ten uitvoer brengen, rust deze plicht ook op hen. Alle grondrechten en fundamentele vrijheden uit het Handvest kunnen dan ook van belang zijn bij de invulling van art. 5 lid 1 onder f en 32 AVG.1
Bij de invulling van art. 5 lid 1 onder f en 32 AVG moet een ‘juist evenwicht’ worden gewaarborgd tussen alle met de AVG beperkte grondrechten en fundamentele vrijheden, zodat deze beperkingen gerechtvaardigd zijn.
Met de AVG worden verschillende grondrechten en fundamentele vrijheden uit het Handvest ten gunste van elkaar beperkt.2 Vooral het recht op de bescherming van persoonsgegevens, het recht op de eerbiediging van het privéleven en het vrije verkeer zijn in dit kader relevant.3 Deze grondrechten en fundamentele vrijheden zijn relatief en kunnen worden beperkt mits is voldaan aan art. 52 Hv. Dit betekent onder meer dat beperkingen niet verder mogen gaan dan noodzakelijk en dat het met de beperking bereikte voordeel in verhouding moet staan tot het ermee teweeggebrachte nadeel.4 Wanneer grondrechten (zoals het recht op de bescherming van persoonsgegevens) en fundamentele vrijheden (zoals het vrije verkeer van diensten, waaraan het vrije verkeer van persoonsgegevens een belangrijke bijdrage levert)5 ten gunste van elkaar worden beperkt, moeten zij daarom tegen elkaar worden afgewogen. In de rechtspraak van het HvJ EU wordt daarom wel gesproken over het vinden van een ‘juist evenwicht’.6
Bij het vinden van een juist evenwicht bij de invulling van de AVG is het van belang dat de realisatie van het ene AVG-doel, de beperking meebrengt van rechten of vrijheden die juist moeten worden geëerbiedigd in het kader van het andere AVG-doel.7 Dit werkt twee kanten op. Enerzijds legt de bescherming van grondrechten het vrije verkeer van persoonsgegevens aan banden: persoonsgegevens moeten immers aan regels voldoen voordat zij mogen worden verwerkt. Anderzijds vereist de realisatie van het vrije verkeer van persoonsgegevens het plaatsvinden van persoonsgegevensverwerkingen en dus grondrechteninmengingen.8 Met de AVG heeft de EU-wetgever de belangen die aan deze doelen zijn gerelateerd met elkaar in evenwicht willen brengen. Waar hij heeft gekozen voor open normen, zoals bij de AVG-beveiligingsbepalingen, is het echter niet meteen duidelijk wat de beoogde verhouding is. Bij de toepassing van art. 5 lid 1 onder f en 32 AVG in een concreet geval is het vinden van een juist evenwicht daardoor essentieel.9 Het is daarbij de vraag hoe de twee AVG-doelen zich in het kader van deze bepalingen tot elkaar verhouden.
Overigens is het ook mogelijk dat belangen waarvan de waarborging binnen hetzelfde doel (of zelfs hetzelfde grondrecht) vallen, tegen elkaar moeten worden afgewogen, zoals bijvoorbeeld het belang bij goede beveiligingssystemen en het belang bij het niet-verwerken van biometrische persoonsgegevens ten behoeve van deze beveiliging. Ook dan moet een juist evenwicht worden gevonden.
De grondrechtelijke eisen aan persoonsgegevensbeveiliging vormen (in ieder geval) minimumeisen bij de invulling van art. 5 lid 1 onder f en 32 AVG en moeten worden gewaarborgd om de AVG aan het Handvest te laten voldoen. Het vrije verkeer van persoonsgegevens zal nooit een hoger beveiligingsniveau vereisen dan om grondrechtelijke redenen moet worden gewaarborgd.
Het HvJ EU heeft meermaals overwogen dat persoonsgegevensverwerkingen (te rechtvaardigen) inmengingen vormen in het recht op de bescherming van persoonsgegevens.10 Hoewel de precieze dynamiek van dit grondrecht nog ter discussie staat, betekent dit waarschijnlijk dat de AVG beperkingen meebrengt op het recht op de bescherming van persoonsgegevens door dergelijke verwerkingen juridisch mogelijk te maken.11 Deze beperkingen moeten aan art. 52 Hv voldoen.12 Uit rechtspraak aangaande het recht op de bescherming van persoonsgegevens blijkt dat het zowel voor de waarborging van de wezenlijke inhoud van dit recht als voor de naleving van het noodzakelijkheidsvereiste, essentieel is dat persoonsgegevens zijn beveiligd.13 Dit betekent dat art. 5 lid 1 onder f en 32 AVG een belangrijke rol vervullen bij de rechtvaardiging van beperkingen van het recht op de bescherming van persoonsgegevens – en dus bij de legalisatie van persoonsgegevensverwerkingen. Ze zwakken beperkingen op het recht op de bescherming van persoonsgegevens af door beheersing van verwerkingsrisico’s voor te schrijven en zo bijvoorbeeld te voorkomen dat een verwerking dusdanig wordt gecompromitteerd dat er onrechtmatige verwerkingen kunnen plaatsvinden. Hoe groter het risico is dat deze gegevens op onrechtmatige wijze zullen worden geraadpleegd, hoe meer beveiliging de noodzakelijkheidstoets vereist.14
Ook voor de waarborging van de wezenlijke inhoud van het recht op de eerbiediging van het privéleven zijn beveiligingsverplichtingen van groot belang. Dit is wel indirecter, namelijk via het belang van de vertrouwelijkheid van bepaalde typen informatie. Deze vertrouwelijkheid moet vanwege art. 52 Hv in ieder geval worden gegarandeerd ten aanzien van inhoudelijke communicatiegegevens en andere typen gegevens die informatie kunnen onthullen over meerdere aspecten van iemands privéleven.15
Het bovenstaande brengt mee dat ‘passend’ zo moet worden uitgelegd dat zij in ieder geval voldoet aan de eisen die het Handvest stelt aan de beveiliging van persoonsgegevens. Nu het ook in het kader van de interne markt van belang is dat er een hoog beschermingsniveau wordt gewaarborgd, is het de vraag of ter verwezenlijking hiervan onder omstandigheden een hoger beschermingsniveau moet worden gewaarborgd dan de grondrechtenwaarborging vereist. De rechtspraak van het HvJ EU duidt er op dit moment op dat dit niet het geval is.16 Nu de preambule van de AVG de hoogte van het te waarborgen beschermingsniveau lijkt op te hangen aan de doelstelling van de AVG,17 en artikel 1 lid 3 AVG bepaalt dat het vrije verkeer van persoonsgegevens niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen, lijkt de conclusie gerechtvaardigd dat het passende beveiligingsniveau afhankelijk is van de grondrechtelijke beperkingseisen. Dit kan, op basis van dit hoofdstuk, echter niet met zekerheid worden gezegd. De eisen die vanuit grondrechtelijk perspectief aan de hoogte van het te waarborgen beschermingsniveau – en in het verlengde daarvan aan de hoogte van het te waarborgen beveiligingsniveau – worden gesteld, zullen echter in ieder geval minimumeisen vormen.
Het Handvest vereist dat er passende beveiligingsmaatregelen worden getroffen om persoonsgegevens doeltreffend te beschermen tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens.
Het HvJ EU heeft verduidelijkt dat art. 8 Hv meebrengt dat een regeling die het verwerken van persoonsgegevens mogelijk maakt moet garanderen dat de te verwerken persoonsgegevens (door middel van passende beveiligingsmaatregelen) doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens.18
Het bovenstaande is geformuleerd als een eis waaraan een regeling in de zin van art. 52 Hv moet voldoen. Het kan zodoende niet zonder meer een op een worden vertaald naar een eis voor een verwerkingsverantwoordelijke of verwerker. Desondanks zal het wel meegenomen moeten worden bij de uitleg van deze bepaling. Of de AVG voldoet aan de eisen die het Handvest stelt, zal immers onder meer afhangen van de uitleg die aan haar bepalingen wordt gegeven. Dat de bescherming ‘doeltreffend’ moet zijn, impliceert dat het beveiligingsniveau daadwerkelijk moet worden gewaarborgd. Het leveren van een redelijke inspanning is in dit kader dus niet voldoende.
Art. 5 lid 1 onder f en 32 AVG bevatten minimumeisen. Verwerkingsverantwoordelijken en verwerkers mogen een hogere mate van beveiliging waarborgen.
Het HvJ EU heeft verduidelijkt dat de wettelijke verplichting tot het treffen van passende technische en organisatorische beveiligingsmaatregelen om het passende beveiligingsniveau te waarborgen, een minimumeis is.19 Verwerkingsverantwoordelijken en verwerkers mogen geen lager beveiligingsniveau waarborgen. Wel mag het gewaarborgde beveiligingsniveau hoger zijn. Dit mag hen echter niet worden opgelegd: het harmoniserende karakter van de AVG (waarover hierna meer) brengt mee dat lidstaten geen hoger beveiligingsniveau mogen voorschrijven dan de AVG.20
Voor de waarborging van grondrechten is vooral de waarborging van de vertrouwelijkheid en integriteit van persoonsgegevens van belang.
Bij persoonsgegevensbeveiliging worden verschillende inbreuken onderscheiden, waarvan vertrouwelijkheids-, integriteits- en beschikbaarheidsinbreuken de belangrijkste zijn.21 Voor de rechtvaardiging van de inmengingen die de AVG meebrengt in de rechten op de bescherming van persoonsgegevens en de eerbiediging van het privéleven is het vooral van belang dat persoonsgegevens zijn beveiligd tegen vertrouwelijkheids- en integriteitsinbreuken, in het bijzonder voor zover zij het mogelijk maken om misbruik van gegevens te maken.22 In dit kader moeten de gegevens worden beveiligd tegen onrechtmatige, ongeautoriseerde en onopzettelijke verwerkingen, waarbij het waarschijnlijk in het bijzonder gaat om vernietigingen, wijzigingen en toegang.23
Het vanuit grondrechtelijk perspectief minimaal te waarborgen beveiligingsniveau hangt voornamelijk af van het risico op misbruik, de hoeveelheid verwerkte gegevens, het eventueel gevoelige karakter van deze gegevens en de duur van de verwerking. De term ‘verwerkingsrisico’s’ uit art. 32 lid 2 AVG verwijst daarom naar de risico’s voor de grondrechten en fundamentele vrijheden.
In welke mate beveiligingsinbreuken moeten worden tegengegaan om een inmenging in het recht op de bescherming van persoonsgegevens te rechtvaardigen, hangt af van de specifieke omstandigheden van het geval. Van belang daarbij is in het bijzonder het risico dat de gegevens op onrechtmatige wijze zullen worden geraadpleegd. Andere relevante factoren zijn, zo blijkt uit de rechtspraak van het HvJ EU, de hoeveelheid verwerkte gegevens, het eventuele gevoelige karakter van deze gegevens en de duur van de verwerking. Deze factoren tezamen kunnen er bijvoorbeeld voor zorgen dat er een ‘bijzonder hoog’ beveiligingsniveau moet worden gegarandeerd, en dat ‘de volle’ integriteit en vertrouwelijkheid van gegevens moeten worden verzekerd.24 De beveiliging die in een concreet geval wordt gewaarborgd, zal minimaal hieraan moeten voldoen. Dit kan, zo zal hierna blijken, echter nooit betekenen dat alle risico’s volledig moeten worden afgedekt.
Uit art. 32 lid 2 AVG blijkt dat het beveiligingsniveau dat op grond van de AVG moet worden gewaarborgd afhankelijk is van verwerkingsrisico’s, waarbij meerdere van de hierboven genoemde risico’s worden genoemd. Deze term verwijst dan ook in ieder geval naar de risico’s voor de rechten en vrijheden van natuurlijke personen, hoewel het hier – anders dan bijvoorbeeld art. 32 lid 2 AVG – niet nadrukkelijk naar verwijst.
Louter economische belangen kunnen het vanwege grondrechtenwaarborging minimaal te waarborgen beveiligingsniveau niet verlagen.
De belangen die zijn gerelateerd aan de bescherming van het recht op de bescherming van persoonsgegevens en het recht op de eerbiediging van het privéleven, leggen bij de uitleg van het persoonsgegevensbeschermingsrecht veel gewicht in de schaal. Zo krijgen zij voorrang boven economische belangen van een bij de verwerking betrokken verwerkingsverantwoordelijke of verwerker, vooral wanneer de potentiële ernst van een inbreuk groot is.25 Het recht op de vrijheid van ondernemerschap biedt geen houvast voor een andere conclusie. Hoewel dit recht de ontwikkeling van initiatieven en economische activiteit beschermt en in dit kader meebrengt dat verwerkingsverantwoordelijken en verwerkers vrij moeten kunnen beschikken over hun economische, technische en financiële middelen, beschermt het geen winsten en moet het bovendien tegen de andere rechten worden afgewogen. Economische argumenten kunnen het vanwege grondrechtelijke redenen te waarborgen beveiligingsniveau dus niet verlagen.26
Art. 5 lid 1 onder f en 32 AVG kunnen vanwege de rechten van verwerkingsverantwoordelijken en verwerkers niet meebrengen dat beveiliging absoluut moet zijn.
Waar art. 5 lid 1 onder f en 32 AVG een belangrijke waarborg bieden voor de eerbiediging van de rechten op de bescherming van persoonsgegevens en de eerbiediging van het privéleven, zullen ze het recht op de vrijheid van ondernemerschap beperken. Verwerkingsverantwoordelijken en verwerkers kunnen dankzij deze regels immers niet meer geheel vrij over hun middelen beschikken: zij dienen te voldoen aan bepaalde wettelijke regels. Deze beperkingen moeten voldoen aan art. 52 Hv. Dit brengt in de eerste plaats mee dat de AVG-beveiligingsbepalingen niet kunnen verplichten tot het volledig uitsluiten van beveiligingsrisico’s – aangezien dit, vanwege de praktische onmogelijkheid hiervan, het verrichten van handelsactiviteiten waarmee persoonsgegevens zijn gemoeid zou verbieden of praktisch onmogelijk zou maken.27 Dat het te waarborgen beveiligingsniveau blijkens art. 32 AVG wordt beïnvloed door ‘de stand van de techniek’ en ‘uitvoeringskosten’ geeft hieraan mijns inziens uiting. Hierdoor is de beveiliging die verwerkingsverantwoordelijken en verwerkers moeten realiseren niet onbegrensd.
De rechten van verwerkingsverantwoordelijken en verwerkers brengen mee dat art. 5 lid 1 onder f en 32 AVG niet kunnen verplichten tot het treffen van een specifieke maatregel als andere maatregelen een vergelijkbaar resultaat bieden.
Vanwege het recht op vrijheid van ondernemerschap mogen verwerkingsverantwoordelijken en verwerkers niet worden verplicht tot het treffen van een specifieke, kostbare (en zelf te bekostigen) beveiligingsmaatregel, wanneer zij ook andere maatregelen die een vergelijkbaar resultaat bieden, kunnen treffen.28 Bij de afweging van het belang van de vrijheid op ondernemerschap aan de ene kant en het recht op de bescherming van persoonsgegevens aan de andere kant, kan dit eerste recht echter nooit meebrengen dat er geen noodzakelijke beveiligingsmaatregelen moeten worden getroffen.29 Het financiële belang van een verwerkingsverantwoordelijke of verwerker kan niet om grondrechtelijke redenen verhinderen dat de AVG-beveiligingsbepalingen aanzienlijke negatieve financiële gevolgen hebben voor deze partijen.30
Vanwege de werking van de interne markt mogen er binnen de EU geen extra, nationale persoonsgegevensbeveiligingsverplichtingen worden opgelegd.
De AVG-doelstelling bestaat uit twee afzonderlijke doelen, die in de visie van de EU-wetgever in elkaars verlengde liggen. In zijn visie is de bescherming van grondrechten en fundamentele vrijheden niet alleen een doel op zichzelf, maar ook een middel waarmee de realisatie van het vrije verkeer van persoonsgegevens zowel juridisch als praktisch gezien mogelijk wordt gemaakt.31 Ook het tegengaan van nationale verschillen moet het vrije verkeer verzekeren. Art. 1 lid 3 AVG – waarin is bepaald dat het recht op de bescherming van persoonsgegevens niet wordt beperkt om grondrechtelijke redenen – brengt daarom niet mee dat er een ‘lagere’ mate van bescherming moet worden gewaarborgd, maar wel dat lidstaten geen strengere regels mogen stellen dan uit de AVG volgen, en dat de bepalingen uit het EU-recht niet mogen worden uitgelegd, toegepast of uitgewerkt op een manier die tot gevolg kan hebben dat er geen gelijk beschermingsniveau meer bestaat.32
Vanwege de aanvullende harmoniserende werking die uitgaat van EU-breed geldende goedgekeurde gedragscodes en goedgekeurde certificeringsmechanismen, dragen zij bij aan de werking van de interne markt en moet er waarde aan worden gehecht bij de invulling van de AVG-beveiligingsbepalingen.
Het belang van de werking van de interne markt brengt, voor de invulling van art. 5 lid 1 onder f en 32 AVG, mee dat alle binnen de EU verwerkte gegevens zodanig moeten zijn beveiligd dat er geen beveiligingsgerelateerde bezwaren kunnen bestaan tegen de verzending van die gegevens naar andere lidstaten. Voor het ten volle benutten van deze potentie is art. 32 lid 3 AVG essentieel. Dit artikel bepaalt dat verwerkingsverantwoordelijken en verwerkers het aansluiten bij een goedgekeurde gedragscode (in de zin van art. 40 AVG) of een goedgekeurd certificeringsmechanisme (in de zin van art. 42 AVG) kunnen gebruiken als element om aan te tonen dat zij aan art. 32 AVG voldoen. Art. 40 en 42 AVG stimuleren de opstelling van EU-brede gedragscodes en certificeringsmechanismen.33 Wanneer verwerkingsverantwoordelijken en verwerkers zich bij dergelijke instrumenten aansluiten, worden de AVG-beveiligingsbepalingen binnen de gehele EU op gelijke wijze toegepast. De AVG-beveiligingsbepalingen zorgen er zo voor dat niet alleen de juridische persoonsgegevensbeveiligingseisen in alle lidstaten gelijkluidend zijn, maar ook dat de beveiligingspraktijk binnen deze lidstaten naar elkaar zal toegroeien. Wanneer een verwerkingsverantwoordelijke of een verwerker zich heeft aangesloten bij een EU-breed erkende gedragscode of certificeringsmechanisme, is dit daarom een sterke aanwijzing voor dat zijn beveiliging voldoet aan art. 5 lid 1 onder f en 32 AVG. Niet iedere goedgekeurde gedragscode en ieder goedgekeurd certificeringsmechanisme is echter EU-breed erkend. Zie ook §6.5.