De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.4.2:8.4.2 Het treffen van maatregelen: vrije keuze

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.4.2

8.4.2 Het treffen van maatregelen: vrije keuze

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660868:1
Vakgebied(en): Privacy (V)

Het uitgangspunt: vrije keuze

De AVG-beveiligingsbepalingen schrijven niet voor welke beveiligingsmaatregelen verwerkingsverantwoordelijken en verwerkers moeten treffen. In art. 32 lid 1 AVG zijn weliswaar enkele maatregelen genoemd, maar die hoeven alleen te worden getroffen indien ‘passend’. Uit mijn onderzoek is gebleken dat verwerkingsverantwoordelijken en verwerkers door de open en technologieneutrale formulering van art. 5 lid 1 onder f en 32 AVG veel keuzevrijheid hebben bij het treffen van beveiligingsmaatregelen. Deze hoeven ‘slechts’ passend te zijn gezien enkele omstandigheden (zie §8.4.3). Deze systematiek past bij het informatiebeveiligingsdomein, waarbij de procesbegeleiding veel ruimte laat voor eigen invulling aan de hand van de omstandigheden van het geval.1

Een min of meer open en technologieneutrale formulering, waarbij de te treffen maatregelen afhankelijk zijn van verschillende elementen maar vrij mogen worden gekozen door degene die ze moeten treffen, is gangbaar bij EU-cyberbeveiligingsvoorschriften. De meeste andere bepalingen die ik heb besproken, laten echter minder ruimte dan art. 5 lid 1 onder f en 32 AVG.2 Uit mijn onderzoek blijkt dat de openheid van deze AVG-beveiligingsbepalingen samenhangt met hun brede karakter (zie §8.2, i.h.b. §8.2.2).3 Andere EU-cyberbeveiligingsbepalingen, bijvoorbeeld de regels die van toepassing zijn in een meer specifieke context of zien op meer specifieke gegevens, zijn verder geconcretiseerd, zij het op een open wijze.4 De open en technologieneutrale formulering van de AVG-beveiligingsbepalingen maken deze bepalingen flexibel genoeg om alle situaties te beslaan die onder de reikwijdte van de AVG vallen.5

Beperkingen op het uitgangspunt

Verwerkingsverantwoordelijken en verwerkers hebben niet de volledige vrijheid bij de keuze voor beveiligingsmaatregelen. Dit heeft voor beide normadressaten drie redenen.

Allereerst brengen de AVG-beveiligingsvoorschriften mee dat de te treffen beveiligingsmaatregelen het passende beveiligingsniveau moeten bewerkstelligen.6 Passende beveiligingsmaatregelen moeten, met andere woorden, effectieve maatregelen zijn.7 Wanneer de verwezenlijking van het passende beveiligingsniveau alleen met een of meer specifieke maatregel(en) kan worden bereikt, dan brengt dit feitelijk mee dat art. 5 lid 1 onder f en art. 32 lid 1 AVG het treffen van deze specifieke maatregel(en) voorschrijven. De EU-wetgever, AP of rechter kan verwerkingsverantwoordelijken en verwerkers echter niet verplichten tot het treffen van een kostbare beveiligingsmaatregel die zij zelf moeten betalen, wanneer het passende beveiligingsniveau ook op een andere manier kan worden gewaarborgd. Dit zou een ongerechtvaardigde inmenging zijn in het recht op de vrijheid van ondernemerschap.8 Zie voor enkele voorbeelden van maatregelen die vaak moeten worden getroffen §8.4.4.

Verder moeten verwerkingsverantwoordelijken bij de vormgeving van beveiliging rekening houden met alle beginselen inzake verwerking van persoonsgegevens.9 Dit betekent doorgaans dat zij bijvoorbeeld geen extra (gevoelige) gegevens mogen verwerken om andere gegevens te kunnen beveiligen, wat hun keuzevrijheid beperkt. Ook moeten verwerkingsverantwoordelijken de keuzevrijheid van verwerkers beperken. Verwerkingsverantwoordelijken dienen te regelen dat verwerkers de beveiligingsmaatregelen die zij beogen te treffen aan hen voorleggen.10 Overigens kunnen verwerkingsverantwoordelijken verwerkers ook volledig voorschrijven welke maatregelen zij moeten treffen.

Ten slotte is van belang dat de invulling van de AVG-beveiligingsnormen, gezien de doelstelling van de AVG, geharmoniseerd moet geschieden.11 EU-rechtelijke bepalingen mogen niet worden uitgelegd, ingevuld of toegepast op een manier die tot gevolg kan hebben dat er binnen de EU geen gelijk beschermingsniveau meer bestaat.12 De uitleg van de AVG-beveiligingsbepalingen zal in de gehele EU dan ook moeten plaatsvinden op vergelijkbare wijze. Dit volgt overigens ook uit de regels betreffende de eenvormige toepassing van de AVG.13 Wanneer art. 5 lid 1 onder f en art. 32 AVG verder worden ingevuld door maatregelen die harmonisatie beogen, bijvoorbeeld door EU-breed erkende gedragscodes en certificeringsmechanismen (zie hierna), zal dit de keuzevrijheid van verwerkingsverantwoordelijken en verwerkers dan ook beperken.14 Zij zullen hun beveiliging dan niet meer kunnen vormgeven op een manier die niet meer met deze codes en mechanismen te verenigen is. Tot op heden is dit echter nog niet gebeurd.

Toon alle voetnoten

Voetnoten

Voetnoten

Zie §3.4 en uit §3.6 het aanknopingspunt ‘De toepassing van normen en de implementatie van een informatiebeveiligingsmanagementsysteem zijn belangrijke organisatorische maatregelen. Zij dragen alleen bij aan de beveiliging van persoonsgegevens als ze juist worden toegepast.’

Zie §7.3.

Zie uit §7.4 het aanknopingspunt ‘De open formulering van art. 5 lid 1 onder f en 32 AVG hangt samen met het ruime toepassingsbereik van deze bepalingen.’

Zie uit §7.4 het aanknopingspunt ‘Het is mogelijk de verplichting tot het treffen van ‘passende technische en organisatorische beveiligingsmaatregelen’ op een open wijze te concretiseren.’

Zie §2.4, i.h.b. het aanknopingspunt ‘De beveiligingsbepalingen zijn door hun open en technologieneutrale formulering van toepassing op vrijwel alle handelingen aangaande persoonsgegevens. De invulling van deze bepalingen kan hierdoor van geval tot geval sterk verschillen.’

Zie §2.2.2 en uit §2.4 het aanknopingspunt ‘Passende beveiligingsmaatregelen zijn maatregelen die het passende beveiligingsniveau waarborgen.’ Zie ook §8.2.3.

Zie §6.2.3.

Zie §5.2.5.3 en uit §5.5 i.h.b. het aanknopingspunt ‘De rechten van verwerkingsverantwoordelijken en verwerkers brengen mee dat art. 5 lid 1 onder f en 32 AVG niet kunnen verplichten tot het treffen van een specifieke maatregel als andere maatregelen een vergelijkbaar resultaat bieden.’

Zie §6.2 en uit §6.7 het aanknopingspunt ‘Verwerkingsverantwoordelijken moeten bij de vormgeving van beveiliging rekening houden met alle beginselen inzake verwerking van persoonsgegevens.’

10.

Zie §6.2 en uit §6.7 het aanknopingspunt ‘Verwerkingsverantwoordelijken mogen verwerkers onder omstandigheden keuzevrijheid geven bij het treffen van maatregelen, maar moeten afspreken dat verwerkers hun keuze aan hen voorleggen.’

11.

Dit hangt samen met de doelstelling van de AVG. Zie §5.3.2, §5.4.2 en §5.5.

12.

Zie §5.3.2.

13.

Zie §6.6.1.

14.

Zie §5.5, i.h.b. het aanknopingspunt ‘Vanwege de aanvullende harmoniserende werking die uitgaat van EU-breed geldende goedgekeurde gedragscodes en goedgekeurde certificeringsmechanismen, dragen zij bij aan de werking van de interne markt en moet er waarde aan worden gehecht bij de invulling van de AVG-beveiligingsbepalingen.’