6.7 Conclusie

In dit hoofdstuk heb ik de AVG-beveiligingsbepalingen beschreven in relatie tot verschillende andere bepalingen uit de AVG. Het valt daarbij op dat veel elementen van de beveiligingsbepalingen, zoals de zinsnede “passende technische en organisatorische maatregelen”, ook elders in de AVG terugkomen.1 Ook andere bepalingen dan art. 5 lid 1 onder f en 32 AVG raken bovendien aan persoonsgegevensbeveiliging.

Het bovenstaande geeft blijk van een verordeningbreed systeem met gezamenlijke uitgangspunten en brengt mee dat de toelichting op andere delen van de AVG ook de AVG-beveiligingsbepalingen kan verduidelijken. In dit hoofdstuk heb ik geregeld aangegeven welk inzicht een specifieke bepaling biedt bij de invulling van de AVG-beveiligingsbepalingen. In deze synthese bespreek ik de aanknopingspunten die hieruit volgen.

Verwerkings­verantwoordelijken en verwerkers zijn beide afzonderlijk verantwoordelijk voor persoonsgegevensbeveiliging, in afwijking van hun algemene rolverdeling.

In het systeem van de AVG wordt onderscheid gemaakt tussen de rol van de verwerkingsverantwoordelijke en die van de verwerker. Daarbij rusten er veel wettelijke verplichtingen op verwerkings­verantwoordelijken maar niet op verwerkers. Zo gelden de verplichtingen voor wat betreft de ontwerpfase van een verwerking wel voor verwerkingsverantwoordelijken, maar niet voor verwerkers.2 Ook verplicht de AVG alleen verwerkingsverantwoordelijken tot de waarborging van de AVG-persoonsgegevensbeschermingsbeginselen.3 In het systeem van de AVG ligt de nadruk dan ook vooral op de verantwoordelijkheden van verwerkings­verantwoordelijken.

Art. 32 AVG vormt een uitzondering op het bovenstaande. Het legt de verwerkingsverantwoordelijke en de verwerker dezelfde verplichting op.4 Zowel de verwerker als de verwerkings­verantwoordelijke zijn daarom ‘beveiligings­verantwoordelijke’. Zij kunnen zich niet achter elkaar verschuilen: een verwerkings­verantwoordelijke schendt de AVG als de verwerker in strijd met zijn verwerkingsovereenkomst nalaat passende beveiligingsmaatregelen te treffen; een verwerker schendt de AVG als hij in overeenstemming met dit contract handelt, maar desondanks geen passende beveiliging waarborgt. Art. 32 AVG bepaalt uitdrukkelijk dat beiden op de schending kunnen worden aangesproken. Zij moeten er daarna zelf voor zorgen dat, naar gelang hun onderlinge verhouding, de schade eerlijk wordt verdeeld. De toezichthouder en de schadelijdende personen staan buiten deze verdeling. Zowel bij handhaving als bij civielrechtelijke aansprakelijkheid kan hun onderlinge verhouding met betrekking tot de schending wat dat betreft in voorkomende gevallen niet aan de betrokkene worden tegengeworpen. Deze wettelijke gelijkheid wat betreft verantwoordelijkheid, is een afwijking op het uitgangspunt van het systeem.5

Het bovenstaande brengt niet mee dat verwerkingsverantwoordelijken en verwerkers precies dezelfde verantwoordelijkheden hebben op het gebied van beveiliging. Ten gevolge van andere AVG-bepalingen bestaan er op dit punt verschillen, zo blijkt uit de volgende aanknopingspunten.

Verwerkings­verantwoordelijken en verwerkers moeten beide bewerkstelligen dat het passende beveiligingsniveau wordt gewaarborgd en kunnen bij de vaststelling hiervan niet afgaan op de andere partij.

Art. 24 en 5 lid 2 AVG brengen mee dat de verwerkingsverantwoordelijke altijd verantwoordelijk is voor persoonsgegevensverwerkingen. Hij moet garanderen dat een verwerking aan de AVG voldoet en dat de fundamentele rechten en vrijheden voldoende worden beschermd, en kan deze verantwoordelijkheid niet delegeren aan de verwerker. Wat betreft beveiliging is het in dit kader vooral van belang dat het doel wordt vastgesteld, te weten het te waarborgen beveiligingsniveau.6 Verwerkings­verantwoordelijken moeten dan ook altijd het te waarborgen beveiligings­niveau vaststellen, ook wanneer een verwerker de verwerking uitvoert. Hij kan er niet mee volstaan deze verantwoordelijkheden contractueel aan een verwerker toe te delen.

Op grond van art. 32 AVG is ook de verwerker verantwoordelijk voor het waarborgen van het passende beveiligingsniveau. Wanneer hij van mening is dat de verwerkingsverantwoordelijke hem voorschrijft een te laag beveiligingsniveau te waarborgen, zal hij er dan ook voor moeten zorgen dat dit beveiligingsniveau hoger komt te liggen.7

Verwerkingsverantwoordelijken mogen verwerkers onder omstandigheden keuzevrijheid geven bij het treffen van maatregelen, maar moeten afspreken dat verwerkers hun keuze aan hen voorleggen.

Art. 24 en 5 lid 1 onder f AVG maken het mogelijk voor een verwerkingsverantwoordelijke om zijn verwerkers onder omstandig­heden enige ruimte te laten bij het kiezen van de maatregelen waarmee deze het beveiligingsniveau waarborgen dat door de verwerkings­verantwoordelijke is vastgesteld. Het staat niet vast welke omstandigheden hierbij van belang zijn. Denkbaar is dat het in het bijzonder gaat om een mogelijk kennisverschil tussen de verwerkingsverantwoordelijke en de verwerker. De verwerker zal zijn keuzes in alle gevallen aan de verwerkingsverantwoordelijke moeten mededelen.8

Verwerkingsverantwoordelijken moeten bij de vormgeving van beveiliging rekening houden met alle beginselen inzake verwerking van persoonsgegevens.

Verwerkingsverantwoordelijken zijn verplicht tot naleving van alle beginselen inzake de verwerking van persoonsgegevens. Deze beginselen kunnen effect hebben op de keuze voor specifieke beveiligingsmaatregelen. Zo zal bij een beveiligingssysteem dat vereist dat er bepaalde persoons­gegevens worden opgeslagen, ook het beginsel van minimale gegevensverwerking moeten spelen.9

Bovenstaande verplichting vloeit voort uit art. 5 lid 2 en 24 AVG, die de verantwoordelijkheid voor de naleving van beginselen neerleggen bij verwerkingsverantwoordelijken. Verwerkers zijn hierdoor niet op grond van de AVG verplicht alle beginselen inzake persoonsgegevens­bescherming bij de vormgeving van beveiliging mee te nemen.10 Desalniettemin zullen verwerkingsverantwoordelijken moeten garanderen dat de uiteindelijk gewaarborgde beveiliging hier wel rekening mee houdt. Zij moeten er dus voor zorgen dat de door verwerkers gewaarborgde beveiliging in lijn is met de beginselen inzake verwerking van persoonsgegevens.

Verwerkings­verantwoordelijken moeten al bij het ontwerpen van een verwerking over beveiliging nadenken.

Art. 25 AVG brengt mee dat verwerkingsverantwoordelijken al vanaf het moment dat zij een verwerking vormgeven, moeten nadenken over persoonsgegevensbescherming, waaronder persoonsgegevens­beveiliging (privacy by design en security by design).11

Wanneer verwerkingsverantwoordelijken niet al over beveiliging nadenken bij het ontwerp van een verwerking levert dit niet automatisch een schending van art. 5 lid 1 onder f en 32 AVG op. Deze bepalingen vereisen dat de persoonsgegevens zijn beveiligd op het moment dat de verwerking aanvangt. Goed denkbaar is dat wanneer een verwerkingsverantwoordelijke na aanvang van de vormgeving van de verwerking over de beveiliging nadenkt, bijvoorbeeld bij het opstellen van het contract met een verwerker, hij niettemin passende maatregelen weet te treffen. Hierdoor zal een art. 25 AVG-schending ook niet tot gevolg hebben dat de verwerkingsverantwoordelijke niet meer kan voldoen aan art. 32 AVG. Toch is het van belang dat een verwerkingsverantwoordelijke zich bewust is van deze uit art. 25 AVG voortvloeiende beveiligingsverplichting. Het is in dit kader onder meer de bedoeling dat het hard- en softwareontwikkelaars motiveert beveiliging al in te bedden bij het ontwerp van nieuwe toepassingen.

Ook verwerkers moeten al in een vroeg stadium over beveiliging nadenken. Zij zullen immers afspraken moeten maken in een verwerkingsovereenkomst, nog voordat ze met de verwerking beginnen.

De toezichthouder kan alleen verwerkingsverantwoordelijken beboeten voor het schenden van een beginsel inzake persoonsgegevensverwerking, waardoor een verwerkingsverantwoordelijke een hogere boete kan krijgen voor een beveiligingsgebrek dan een verwerker.

Een schending van art. 5 lid 1 onder f AVG kan zwaarder worden beboet dan een schending van art. 32 AVG. De verplichtingen die uit dit beginsel voortvloeien, rusten via art. 5 lid 2 AVG alleen op verwerkings­verantwoordelijken.12 De maximale boete voor verwerkings­verantwoordelijken bij beveiligingsgebreken is daardoor dubbel zo hoog als die voor verwerkers. 13 Zo kan de toezichthouder ervoor kiezen ook bij de handhaving van persoonsgegevensbeveiliging de verschillende rollen van de verwerkingsverantwoordelijke en de verwerker door te laten klinken (zie ook het vorige aanknopingspunt). Ze hebben in dit kader veel keuzevrijheid.14

De risicogebaseerde benadering van de AVG leidt ertoe dat de beoordeling van het passende beveiligingsniveau gericht is op de risico’s voor de rechten en vrijheden van natuurlijke personen.

Verschillende AVG-bepalingen, waaronder de AVG-beveiligings­bepalingen, bepalen dat verwerkingsverantwoordelijken en verwerkers een beschermingsniveau moeten waarborgen dat is afgestemd op de risico’s voor de rechten en vrijheden van natuurlijke personen. Om te achterhalen wat er in een concreet geval nodig is om de rechten en vrijheden van natuurlijke personen te waarborgen, moet, met andere woorden, een risicogebaseerde benadering worden gehanteerd. De belangrijke rol die risico’s als gevolg hiervan in de context van de AVG vervullen, komt het duidelijkst naar voren in de verplichtingen aangaande de gegevensbeschermings­effect­beoordeling.15

Anders dan op veel plekken in de AVG (waaronder art. 32 lid 1AVG), waarin de term ‘risico’ wordt gevolgd door “voor de rechten en vrijheden van natuurlijke personen”, bepaalt art. 32 lid 2 dat bij de beoordeling van het passende beveiligingsniveau voornamelijk rekening moet worden gehouden met de verwerkingsrisico’s. Gezien de risicogebaseerde benadering van de AVG, die ertoe leidt dat de risico’s voor de fundamentele rechten en vrijheden centraal staan in de gehele AVG, is het aannemelijk dat de term ‘verwerkingsrisico’s’ ook naar deze risico’s verwijst. Mogelijk gaat het hierbij niet alleen om dergelijke risico’s op individueel niveau, maar ook voor de maatschappij in het geheel. Deze uitleg zou aansluiten bij een advies van de art. 29-werkgroep.16

Om ‘passend’ te zijn in de zin van de AVG, moeten (beveiligings)maatregelen geactualiseerd (en effectief) zijn.

Uit de AVG blijkt dat maatregelen, om in de context van art. 24 AVG ‘passend’ te zijn, effectief en geactualiseerd moeten zijn.17 Het is aannemelijk dat de maatregelen die verwerkingsverantwoordelijken en verwerkers op grond van art. 5 lid 1 onder f en 32 AVG moeten treffen, aan dezelfde eisen moeten voldoen. Beide criteria hangen nauw samen met de elementen die de passendheid van beveiligingsmaatregelen blijkens art. 32 AVG beïnvloeden. In het bijzonder houden zij verband met het element ‘de stand van de techniek’, zo blijkt ook uit de uitleg die het Europees Comité voor gegevensbescherming van dit element heeft gegeven in de context van art. 25 AVG.18

Het bovenstaande brengt mee dat de stand van de techniek van groot belang is bij de vormgeving van beveiliging. Dat beveiliging actueel moet zijn, uit zich op verschillende manieren. Beveiliging moet actueel zijn op het moment dat de maatregelen worden getroffen, maar ook daarna. Het Europees Comité voor gegevensbescherming heeft toegelicht dat deze actualisatie moet plaatsvinden op zowel eigen initiatief als aanraden van bijvoorbeeld de softwareleverancier die de beveiligingssystemen heeft vormgegeven. Daarbij kunnen ontwikkelingen in beveiligingsrisico’s, en ook in beveiligings­mogelijkheden, ervoor zorgen dat het vereiste beveiligingsniveau niet meer wordt gehaald en dus dat er andere maatregelen moeten worden getroffen. Als hieraan niet is voldaan, zullen beveiligingsmaatregelen niet passend zijn en zal het gewaarborgde beveiligingsniveau minder worden. In deze uitleg klinkt de hierboven genoemde risicogebaseerde benadering door. Immers, door technische ontwikkelingen kunnen de risico’s voor de rechten en vrijheden van natuurlijke personen wijzigen. Actualisatie zorgt ervoor dat dit geen effect heeft op het beschermingsniveau.19

Redenen aangaande geld, tijd en menskracht mogen er niet toe leiden dat er beveiligingsmaatregelen worden getroffen die geen op het risico-afgestemd beveiligingsniveau waarborgen. Zij kunnen wel tot extra maatregelen verplichten.

Het Europees Comité voor gegevensbescherming heeft het element ‘uitvoeringskosten’ uitgelegd in de context van art. 25 AVG. Deze uitleg maakt duidelijk dat het bij uitvoeringskosten zowel gaat om geld, tijd als menskracht.

De relevantie van de uitvoeringskosten geeft blijk van een risicogebaseerde benadering (zie een van de vorige aanknopingspunten). De mate waarin risico’s worden beheerst, staat voorop. Het te waarborgen beveiligingsniveau wordt niet lager door de uitvoeringskosten van maatregelen, maar lage uitvoeringskosten kunnen wel meebrengen dat verwerkingsverantwoordelijken en verwerkers maatregelen moeten treffen die extra beveiliging bieden dan alleen op basis van andere elementen is vereist. Ook in de verdere uitleg van dit element staat het resultaat voorop: onvermogen om de kosten voor het treffen van passende maatregelen te dragen, biedt geen grond om niet aan de AVG-beveiligingsbepalingen te voldoen. Tegelijkertijd is het niet nodig om extra kostbare maatregelen te treffen als die niet resulteren in een hoger niveau van risicobeheersing en rechtsbescherming.20

Bij de invulling van de AVG-bepalingen, inclusief art. 5 lid 1 onder f en 32 AVG, zijn alle omstandigheden van het geval van belang.

Het Europees Comité voor gegevensbescherming heeft het element ‘de aard, omvang en context en het verwerkingsdoel van de verwerking’ uitgelegd in de context van art. 25 AVG. Deze uitleg maakt duidelijk dat de passendheid van persoonsgegevensbeschermingsmaatregelen, waaronder beveiligingsmaatregelen, afhankelijk is van alle omstandigheden van het geval. Dit blijkt ook uit de mogelijkheden die de AVG toezichthouders biedt om een sanctie van een AVG-schending af te stemmen op elke ‘op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor’.21

Relevant is bijvoorbeeld of de voorgenomen verwerking een ‘bijzondere categorie’ gegevens betreft, of de betrokkenen kwetsbaar zijn, of er nog andere partijen dan de betrokkene, verwerkings­verantwoordelijke en verwerker zijn betrokken en wat er met de gegevens gebeurt (de aard van de verwerking). Bovendien is van belang hoe veel gegevens worden verwerkt en hoe lang dit duurt (de omvang van de verwerking). Verder zullen onder meer de omstandigheden waaronder de verwerking plaatsvindt, de oorsprong van de te verwerken data en de relatie tussen het datasubject en de verwerkingsverantwoordelijke de passendheid van de beveiliging beïnvloeden (de context van de verwerking). Het gaat dus in ieder geval om de kenmerken van de te verwerken gegevens, de kenmerken van de betrokkenen, verwerkingsverantwoordelijken en verwerkers en de kenmerken van de te verrichten verwerkingen.22

De toepassing van goedgekeurde certificeringsmechanismen en gedragscodes kan bijdragen aan, maar is niet beslissend voor de vervulling van de AVG-beveiligingsverplichting. De meeste voor beveiliging relevante mechanismen zijn echter geen goedgekeurde certificaten of gedragscodes in de zin van de AVG.

Art. 32 lid 3 AVG bepaalt dat verwerkingsverantwoordelijken en verwerkers het aansluiten bij een goedgekeurde certificerings­mechanisme of een goedgekeurde gedragscode kunnen gebruiken als element om aan te tonen dat beveiliging passend is. Dergelijke certificeringsmachismen en gedragscodes zijn goedgekeurd door de AP. ISO 27001-cerficaten voldoen niet aan deze eis.

Het aansluiten bij deze mechanismen en codes is onvoldoende om ook daadwerkelijk passende beveiliging te creëren. Goedgekeurde codes en mechanismen kunnen namelijk voornamelijk regels stellen aan het beveiligingsproces. In de context van de AVG-beveiligingsbepalingen gaat het echter om het beveiligingsresultaat. Het verkrijgen van het gewenste resultaat vereist een juiste toepassing van de gedragscodes en certificeringsmechanismen.23