De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.5:8.5 Eindconclusie

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.5

8.5 Eindconclusie

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Art. 5 lid 1 onder f en 32 AVG zijn open bepalingen. Hun invulling wordt beïnvloed door alle omstandigheden van het geval. Doordat het bepalingen zijn met een breed toepassingsbereik, betekent dit dat hun concrete invulling in de praktijk sterk kan verschillen. Hierdoor is het moeilijk om precies te formuleren welke verplichtingen uit deze AVG-beveiligingsbepalingen voortvloeien. Dit betekent echter niet dat er in het geheel geen aanknopingspunten voor de invulling van deze bepalingen zijn. De AVG-beveiligingsbepalingen staan in nauwe relatie tot de contexten waar vanuit ik ze heb besproken. De aanwijzingen die hieruit volgen, verschillen per context. Ik heb deze aanknopingspunten geformuleerd in de conclusies van de hoofdstukken 3 tot en met 7. In hoofdstuk 8 heb ik de inzichten beschreven die al deze aanknopingspunten tezamen, bekeken in hun onderlinge verband, in de AVG-beveiligingsbepalingen bieden.

Art. 5 lid 1 onder f en 32 AVG zijn erop gericht de bij persoonsgegevensverwerkingen betrokken rechten en vrijheden te beschermen. Het gaat daarbij vooral om de rechten en vrijheden van de betrokkene. De grondrechtelijke relevantie daarvan brengt mee dat betrokkenen te allen tijde adequaat moeten worden beschermd. Dit vereist in ieder geval de waarborging van de integriteit en vertrouwelijkheid van persoonsgegevens, waarbij de beveiliging een belangrijke functie vervult. Het beveiligingsniveau is passend als het resultaat van de beveiligingsmaatregelen voldoende is om de rechten en vrijheden van betrokkenen te beschermen, zonder dat daarbij afbreuk wordt gedaan aan de rechten en vrijheden van verwerkingsverantwoordelijken en verwerkers en de harmonisatie van het gegevensbeschermingsrecht wordt geschaad. Dat ook de rechten en vrijheden van verwerkingsverantwoordelijken en verwerkers in dit kader van belang zijn, betekent dat er niets van hen kan worden gevergd dat technisch gezien praktisch onmogelijk is. Het betekent echter niet dat hun (financiële) mogelijkheden het te waarborgen beveiligingsniveau medebepalen. Het grondrechtelijke belang van deze waarborging brengt mee dat de AVG-beveiligingsbepalingen strenge eisen bevatten. Het te waarborgen beveiligingsniveau is uiteindelijk voornamelijk afhankelijk van de risico’s die een verwerking meebrengt voor de rechten en vrijheden van betrokkenen. De grootte van deze risico’s zijn vooral afhankelijk van de aard van de bij de verwerking betrokken gegevens, de duur van de verwerking en de omvang van de verwerking.

Met het bovenstaande blijft er nog veel onduidelijk. Het blijft vooral de vraag welke eisen vanuit grondrechtelijk perspectief precies aan de beveiliging van persoonsgegevens worden gesteld. In gevallen waarin, om in de woorden van het HvJ EU te spreken, ‘de volledige’ integriteit en vertrouwelijkheid van persoonsgegevens moet worden gewaarborgd, is daarbij van belang hoe veel risico nog acceptabel is, mede vanuit het oogpunt van het recht op de vrijheid van ondernemerschap. Dit recht brengt immers mee dat absolute beveiliging niet kan worden vereist. Ook in andere gevallen, waarin de gestelde beveiligingseisen minder streng zullen zijn, is nog niet duidelijk welk beveiligingsniveau het recht op de bescherming van persoonsgegevens vereist of hoe dit niveau is vast te stellen.

Meer duidelijkheid kan worden geboden wanneer de norm verder door de wetgever of de rechter wordt geconcretiseerd. Ook is dit mogelijk door middel van goedgekeurde gedragscodes en goedgekeurde certificeringsmechanismen. Andere, meer concrete, persoonsgegevens­beveiligingsbepalingen kunnen tot die tijd houvast geven bij de vormgeving van beveiliging. Zij maken duidelijk welke soort waarborgen in het kader van persoonsgegevensbeveiliging relevant zijn. Normen uit het informatiebeveiligingsdomein kunnen inzicht geven in de maatregelen waarmee deze waarborgen kunnen worden getroffen en het proces aan de hand waarvan deze maatregelen kunnen worden vastgesteld.

Het voorgaande laat zien dat er nog veel onduidelijk is over de AVG-beveiligingsbepalingen. Tegelijkertijd kunnen we concluderen dat het wel degelijk mogelijk is om duidelijkheid te verschaffen. De verschillende door mij besproken contexten geven nuttige aanknopingspunten en inzichten voor hun invulling.

Deze functie is alleen te gebruiken als je bent ingelogd.