Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.3.4
2.3.4 Opzet: maatregelen-niveau, middel-doel
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660961:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie over de terminologiekeuze §1.4.2 en §2.2.1.
Overigens ook omdat het achterhalen van het passende beveiligingsniveau in de informatiebeveiligingspraktijk in een andere fase plaatsvindt dan het achterhalen van de passende beveiligingsmaatregelen. Zie hoofdstuk 3, i.h.b. §3.4.
Deze tekstuele uitleg sluit aan bij de bescherming van de fundamentele rechten, die sterk van invloed is op de waarborging van het beveiligingsniveau, en in veel mindere mate speelt bij de wijze waarop deze bescherming wordt bereikt – zie later hierover uitgebreid §5.2.5.
Zie de op-een-na-laatste alinea van §2.3.3.
Art. 5 lid 1 onder f en 32 AVG beschrijven twee dingen die verwerkingsverantwoordelijken en verwerkers moeten doen: het treffen van passende technische en organisatorische maatregelen, en het waarborgen van het passende beveiligingsniveau.1 Het is de vraag wat de verhouding hiertussen is. Dat de invulling ervan lijkt te worden geregeld op verschillende plekken (art. 32 lid 1 versus art. 32 lid 2 AVG),2 impliceert dat de ‘passendheid’ van deze twee elementen mogelijk niet altijd samenvalt. De AVG-beveiligingsbepalingen zouden dan twee van elkaar te onderscheiden verplichtingen opleggen. Uit de vormgeving van de art. 5 lid 1 onder f en 32 AVG leid ik echter af dat het ene onderdeel, de passende maatregelen, het middel is, en het andere onderdeel, het passende beveiligingsniveau, het doel. Deze middel-doelverhouding blijkt in art. 32 AVG uit het woord ‘om’. De maatregelen moeten worden getroffen om het niveau te waarborgen. In art. 5 lid 1 onder f AVG blijkt het uit het woord ‘door’. Door maatregelen moet de beveiliging worden gewaarborgd. De maatregelen hebben met andere woorden een instrumentele functie.
De Engelse en Franse tekstversie van de AVG ondersteunen deze lezing. In de Engelse versie blijkt het doel-middelverband in art. 5 lid 1 onder f AVG uit de frase “using appropriate technical and organisational measures”, en in art. 32 AVG uit de bewoording “appropriate technical and organisational measures to ensure a level of security”. De Franse versie van art. 5 lid 1 onder f luidt “à l’aide de mesures techniques ou organisationnelles appropriées”, en art. 32 heeft het over “les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité”. Uit beide taalversies van de AVG blijkt de instrumentele functie van de maatregelen ten opzichte van het niveau. Ook uit de preambule blijkt dat de maatregelen zijn gericht op de waarborging. Hierin staat dat persoonsgegevens moeten worden verwerkt ‘op een manier’ die een passende beveiliging waarborgt.3 Met deze manier wordt het treffen van beveiligingsmaatregelen bedoeld.4
De twee onderdelen van de AVG- beveiligingsbepalingen zijn nauw met elkaar verbonden. Dit volgt uit de zinsnede ‘passende maatregelen om’ en het woord ‘waarborgen’. Beveiligingsmaatregelen moeten immers worden getroffen en passend zijn om het beveiligingsniveau te waarborgen. Aan de ene kant brengt dit mee dat maatregelen die ontoereikend zijn voor het behalen van het doel hierdoor niet ‘passend’ kunnen zijn. Aan de andere kant betekent dit ook dat zonder passende beveiligingsmaatregelen geen sprake kan zijn van waarborging in de zin van art. 5 lid 1 onder f en 32 AVG. Oftewel: bij de beoordeling van de passendheid van beveiligingsmaatregelen is het te waarborgen beveiligingsniveau essentieel, en voor het waarborgen van dit niveau is het treffen van passende maatregelen essentieel. De twee onderdelen van de AVG-beveiligingsmaatregelen zijn door deze tekstuele opzet onlosmakelijk met elkaar verbonden.
In dit kader lijkt overigens nog interessant dat het beginsel inzake integriteit en vertrouwelijkheid bepaalt dat de maatregelen een passende beveiliging moeten waarborgen én de persoonsgegevens tegen bepaalde risico’s moeten beschermen. Hieruit zou men kunnen concluderen dat passende beveiligingsmaatregelen meer moeten doen dan het waarborgen van het passende beveiligingsniveau. Gezien de nauwe verbondenheid tussen ‘passende beveiliging’ en het bieden van bescherming tegen risico’s, is het mijns inziens echter niet aannemelijk dat dit laatste iets anders is dan het waarborgen van het passende beveiligingsniveau.5
Waar de maatregelen zijn gericht op het doel, is het doel van de maatregelen – de waarborging van het passende beveiligingsniveau – voornamelijk gericht op de beveiligingsrisico’s. De waarborging van het passende beveiligingsniveau dient de beheersing van deze risico’s. De tekst van de AVG laat dat in art. 32 lid 2AVG blijken, waaruit volgt dat met name verwerkingsrisico’s van belang zijn voor de passendheid van het beveiligingsniveau. Lid 1 van art. 32 AVG heeft het in dit kader zelfs over een ‘op het risico afgestemde’ beveiligingsniveau.6
Ook wat dit betreft blijkt hetzelfde uit de Engelse en Franse tekstversie. Uit art. 32 lid 1 AVG blijkt dat het passende beveiligingsniveau ook wel wordt omschreven als “a level of security appropriate to the risk”. Bij lid 2 blijkt de gerichtheid uit de zinsnede “account shall be taken in particular of the risks that are presented by (…)”. De Franse versies van de tekstdelen bevatten vergelijkbare bewoordingen. Art. 32 lid 1 heeft het over “un niveau de sécurité adapté au risque”, en lid 2 maakt het verband kenbaar door voor te schrijven dat: “il est tenu compte en particulier des risques que (…)”.
Uit het voorgaande blijkt dat de beveiligingsmaatregelen zijn gericht op het beveiligingsniveau, en dat het beveiligingsniveau is gericht op de beveiligingsrisico’s. De maatregelen zijn passend als zij leiden tot het waarborgen van het vereiste niveau. Het niveau is passend als het op een juiste wijze is afgestemd op de risico’s. Art. 5 lid 1 onder f en 32 AVG eisen van de verwerkingsverantwoordelijke en de verwerker dus de inschatting van zowel de passendheid van de maatregelen, als de passendheid van het niveau. Is aan een van deze elementen niet voldaan, dan is sprake van schending. De verwerker of verwerkingsverantwoordelijke schiet te kort als het beveiligingsniveau onvoldoende is afgestemd op de beveiligingsrisico’s, zelfs al waren de beveiligingsmaatregelen passend voor dit onjuiste niveau. Is het passende beveiligingsniveau correct vastgesteld, maar zijn de getroffen maatregelen niet passend om dit niveau te bereiken, dan is geen sprake van ‘waarborging’ van dat niveau en schiet de verwerker of verwerkingsverantwoordelijke eveneens tekort. Het tekortschieten op een van de twee onderdelen heeft, zo blijkt, de schending van de volledige bepaling tot gevolg. De twee onderdelen normeren daarom slechts als samenstel de verwerking van persoonsgegevens.
Hoewel de onderdelen een vaste verbinding vormen, heeft het toch nut ze te onderscheiden. Bij de invulling van wat ‘passend’ is, lijken bij de twee onderdelen immers onderling verschillende factoren mee te wegen.7 Zoals opgemerkt, duidt de tekst van de AVG erop dat het te waarborgen beveiligingsniveau hoofdzakelijk moet worden bepaald aan de hand van de verwerkingsrisico’s. Bij een dergelijke lezing zijn voor de beoordeling van de passendheid van de beveiligingsmaatregelen veel meer factoren van belang, zoals de uitvoeringskosten en de stand van de techniek. Deze elementen kunnen daardoor geen argument zijn voor een lager beveiligingsniveau, maar wel tot gevolg hebben dat goedkope maatregelen mogen worden getroffen om het niveau te waarborgen.8 Zoals uit de vorige paragraaf bleek, is het echter onzeker of de elementen die art. 32 lid 1 AVG noemt alle daadwerkelijk slechts van invloed zijn op de passendheid van beveiligingsmaatregelen.9 In latere hoofdstukken van dit boek ga ik hier daarom geregeld op in. Zie voor mijn conclusies op dit punt §8.3.3 en §8.4.3.