Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.2.1
7.2.1 Theoretische basis
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660900:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Van cyberbeveiliging bestaan vele definities. De EU verstaat er – kort gezegd – de waarborgen en acties onder die zijn gericht op de bescherming van cyberspace en betrekking hebben op de instandhouding van de beschikbaarheid en integriteit van netwerken en infrastructuur, en/of de vertrouwelijkheid van de informatie die zich daarin bevindt (EU-Cyberbeveiligingsstrategie (2013), §1.1, voetnoot 4).
EU-Cyberbeveiligingsstrategie (2013), §4.
Zie vooral de Digitale Eengemaakte Marktstrategie (§5.3.3). Een recenter document op dit punt is bijv.: Conclusies van de Raad over het vormgeven van de digitale toekomst van Europa (De Raad 2020, 8711/20).
Bijv. EU-Cyberbeveiligingsstrategie (2020), §1, waarin is opgemerkt dat de economie, democratie en maatschappij afhankelijk zijn van beveiligde en betrouwbare digitale tools. Zie voor een overzicht van de verschillende onderdelen van de Europese cybersecuritystrategie de strategie zelf en het assessment daarvan (European Commission, Assessment of the EU 2013 Cybersecurity Strategy, SWD (2017) 295 final, 13 september 2017).
EU-Cyberbeveiligingsstrategie (2020), §1 en EU-Cyberbeveiligingsstrategie (2013), §1.2.). Hieruit blijkt bijv. dat iedereen daarom toegang tot internet moet hebben.
EU-Cyberbeveiligingsstrategie (2013), §1.1.
EU-Cyberbeveiligingsstrategie (2013), §2.1; EU-Cyberbeveiligingsstrategie (2020), §1.1; preambule NIB-richtlijn, o. 2. De Raad 2020, 8711/20, pt. 308.
Digitale Eengemaakte Marktstrategie, §1. Zie in dit kader ook Conclusies van het voorzitterschap Europese Raad van Stockholm 23 en 24 maart 2001 (C/01/900), nr. 2 en 35.
Digitale Eengemaakte Markstrategie, §1. Het waarborgen van de randvoorwaarden die bevorderlijk zijn voor digitale netwerken en diensten is een van de pijlers van de Digitale Eengemaakte Marktstrategie. Zie over deze pijlers: EU-Cyberbeveiligingsstrategie (2013), §1.1 en Digitale Eengemaakte Marktstrategie, §2.1 en 3.4.
Ten tijde van de vormgeving van het cyberbeveiligingsbeleid was er (naar verwachting van de EU) onvoldoende vertrouwen voor een dergelijke groei (zie bijv. de EU-Cyberbeveiligingsstrategie (2013), §3.4). Het belang van dit vertrouwen wordt nogmaals benoemd in het kader van (de onlineactiviteiten) van dienstverleners (Digitale Eengemaakte Markstrategie, §1; preambule EIDAS-verordening, o. 2-3) en voor ICT-producten (Voorstel Cyberbeveiligingsverordening, explanatory memorandum, p. 2).
Zie naast de EU-Cyberbeveiligingsstrategie (2013) ook De Raad 2020, 8711/20, pt. 28-32.
EU-Cyberbeveiligingsstrategie (2013), §1.2.
De grondrechtelijke benadering van cyberbeveiliging past overigens goed bij de rol van EU-instellingen en instituties bij de eerbiediging van de rechten en vrijheden die in het Handvest zijn beschreven.Zie §5.2.2 en §5.4.
Voorstel Cyberbeveiligingsverordening, explanatory memorandum, p. 19. Andere rechten die genoemd worden, zijn bijvoorbeeld het recht op vrijheid van meningsuiting en het recht op vrijheid van godsdienst.
Verder zijn bijvoorbeeld het principe cyberbeveiliging bij ontwerp en de minimumbeveiligingseisen voor ‘internet der dingen’-producten van belang (De Raad 2020, 8711/20, pt. 28 en 31). Zie over gegevensbescherming bij ontwerp §6.3. Zie over de rol van de EU binnen het cyberbeveiligingsdomein verder bijv. Carrapico & Barrinha 2017.
De EU-visie op cyberbeveiliging komt voor het eerst duidelijk naar voren in de EU-Cyberbeveiligingsstrategie uit 2013.1 Deze strategie is opgesteld naar aanleiding van het groeiende belang van cyberspace. In de strategie zijn onder andere de kansen en gevaren van cyberspace beschreven en is de wens geuit “de digitale omgeving in de EU de veiligste in de wereld te maken”.2 Ook in de Cybersecuritystrategie uit 2020 klinkt dit doel door, net als in andere Europese beleidsdocumenten.3
De EU benadert het belang van cyberbeveiliging op beleidsmatig niveau voornamelijk vanuit maatschappelijk en economisch perspectief.4
Vanuit maatschappelijk perspectief gaat de EU ervan uit dat cyberbeveiliging om verschillende redenen van belang is. Ten eerste is het een belangrijke voorwaarde voor een open en vrije digitale wereld, doordat het bijvoorbeeld zorgt voor de bescherming van grondrechten en fundamentele vrijheden.5 Het draagt zo bij aan de politieke en maatschappelijke cohesie over de hele wereld.6 Ook is het een middel om de kwetsbaarheid van de EU te verkleinen. Zo wordt de kans op bepaalde noodsituaties verkleind, zoals het verlies van de controle over een waterkeringsinstallatie. Ten slot gaat cyberbeveiliging economisch-maatschappelijke schade die bijvoorbeeld kan ontstaan na een storing in een systeem van een essentiële dienstverlener tegen, zoals het stilliggen van het girale betalingsverkeer of de drinkwatervoorziening.7
De economische cyberbeveiligingsbenadering is uitgewerkt in de Digitale Eengemaakte Marktstrategie. Zij komt voort uit het idee dat de EU “een leiderspositie in de wereldwijde digitale economie” kan vervullen bij een volledige benutting van de kansen van de Europese digitale markt.8 In dit kader zet de EU onder meer in op de toename van het grensoverschrijdend gebruik (en de grensoverschrijdende afzet) van digitale netwerken, digitale diensten en ICT-producten door ondernemingen en consumenten.9 Zij acht het vertrouwen van de inwoners van de EU-lidstaten in deze toepassingen in dit kader essentieel,10 en ziet voor het opwekken daarvan een belangrijke rol weggelegd voor cyberbeveiliging.11 De EU wil de innovatie op het gebied van cyberbeveiliging daarom stimuleren, en daarnaast bijvoorbeeld investeren in onderzoek op dit punt. Ook benadrukt de EU het belang van effectieve wetgeving. Die zou kunnen bewerkstelligen dat beveiligingsincidenten worden afgewend, de gevolgen van dergelijke incidenten worden beperkt en de grondrechten en fundamentele vrijheden van de burgers die gebruikmaken van de toepassingen worden beschermd.12
Bij de realisatie van de EU-cyberbeveiligingsdoelen is een belangrijke rol weggelegd voor grondrechtenbescherming. De EU overweegt in dit kader zelfs dat cyberbeveiliging alleen krachtig en doeltreffend kan zijn als zij is gebaseerd op de grondrechten en vrijheden zoals vastgelegd in het Handvest.13 Beveiligingsincidenten kunnen resulteren in een schending van bijvoorbeeld de rechten op de vrijheid van meningsuiting, de bescherming van persoonsgegevens en de eerbiediging van de persoonlijke levenssfeer.14 De EU beoogt zulke incidenten te voorkomen met regels over cyberbeveiliging.15 Hierbij acht zij de relatie tussen deze bescherming aan de ene kant en cyberbeveiliging aan de andere kant tweeledig. Aan de ene kant kunnen de rechten of vrijheden van het individu niet worden beschermd zonder veilige netwerken en systemen. Aan de andere kant moeten cyberbeveiligingsmaatregelen waarbij gebruik wordt gemaakt van persoonsgegevens voldoen aan de AVG (en dus de regels die de rechten en vrijheden beogen te beschermen).16 De AVG-beveiligingsbepalingen spelen dan ook een belangrijke rol bij de vormgeving van beveiliging. Voor zover het de economische kant van cyberbeveiliging betreft, bleek dit ook reeds in §5.3.3. In het kader van de maatschappelijke, maar niet-grondrechtelijke, kant van cyberbeveiliging is voornamelijk de NIB-richtlijn van belang, die hierna ter sprake komt (§7.3.5.).