De beveiliging van persoonsgegevens
Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.1:7.1 Inleiding
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.1
7.1 Inleiding
Documentgegevens:
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660954:1
- Vakgebied(en)
Privacy (V)
Toon alle voetnoten
Voetnoten
Voetnoten
HvJ EU 1 oktober 2019, ECLI:EU:C:2019:801, pt. 48 (Planet49).
Zie t.a.v. de mogelijkheid om op deze manier inzicht te krijgen in de rol van een bepaling bijv. Concl. A-G V. Trstenjak 17 februari 2011, ECLI:EU:C:2011:90, pt. 46-51 (Deutsche Telekom).
Deze functie is alleen te gebruiken als je bent ingelogd.
Uit de rechtspraak van het HvJ EU blijkt dat ook ander EU-recht dan de AVG de invulling van art. 5 lid 1 onder f en 32AVG kan beïnvloeden.1 Op welke manier en in welke mate het EU-recht dergelijke invloed heeft, is niet geheel duidelijk. Voor deze studie is het interessant dat verschillende EU-rechtelijke regelingen bepalingen bevatten die in de kern sterk op art. 5 lid 1 onder f en 32 AVG lijken. Ook zij betreffen de beveiliging van bepaalde (ICT-)infrastructuur of gegevens en bepalen dat er passende technische en organisatorische maatregelen moeten worden getroffen en het passende beveiligingsniveau moet worden gewaarborgd. Deze bepalingen zijn door verschillende spelers, waaronder de EU-wetgever, verder uitgewerkt dan art. 5 lid 1 onder f en 32 AVG. Zo benoemen de bepalingen bijvoorbeeld welke waarborgen moeten worden getroffen. Mogelijk kunnen deze aanwijzingen ook houvast bieden bij de invulling van de AVG-beveiligingsbepalingen.
Nu het EU-recht vanzelfsprekend te veelomvattend is om hier in zijn geheel te bespreken, heb ik ervoor gekozen de focus in dit hoofdstuk te leggen op de bepalingen die qua formulering en context het dichtst bij art. 5 lid 1 onder f en 32 AVG liggen. Voor een goed begrip van deze normen, is het nodig om ook het cyberbeveiligingsbeleid van de EU te bespreken, omdat dit de context is waarbinnen zij hun functie vervullen. Daarom ga ik hierna eerst in op dit beleid (§7.2), dat overigens ook inzicht biedt in de rol van art. 5 lid 1 onder f en 32 AVG.2 Daarbij besteed ik aandacht aan de uitgangspunten die in het Europese cyberbeveiligingsbeleid doorklinken, aan de manier waarop de EU-wetgever dit beleid uitwerkt en aan de EU-cyberbeveiligingsverordening. Vervolgens ga ik in op enkele met de AVG-beveiligingsbepalingen vergelijkbare bepalingen (§7.3). Ik analyseer daarbij achtereenvolgens art. 4, 33 en 91 Verordening 2018/1725, art. 4 lid 1 onder f en 29 Richtlijn 2016/680, art. 4 E-privacyrichtlijn, art. 40 Herschikkingsrichtlijn telecommunicatie en art. 14 en 16 Netwerk- en Informatieveiligheid richtlijn (NIB-richtlijn).