De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.5.2:4.5.2 Wet bescherming persoonsgegevens

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.5.2

4.5.2 Wet bescherming persoonsgegevens

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660896:1
Vakgebied(en): Privacy (V)

Nederland heeft de Dataprotectierichtlijn omgezet in de Wet bescherming persoonsgegevens (Wbp), die de WPR verving.1 Met art. 13 Wbp heeft de Nederlandse wetgever voldaan aan de op Nederland rustende verplichting van art. 17 Dataprotectierichtlijn. Art. 13 Wbp bepaalt het volgende:

“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, het passende beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”

Deze plicht strekte zich uit tot alle onderdelen van het proces van gegevensverwerking.2

De Nederlandse wetgever heeft art. 13 Wbp op enkele punten toegelicht. Zo heeft hij uitgelegd dat de term ‘passende maatregelen’ meebracht dat er een zekere proportionaliteit tussen de beveiligingsmaatregelen en de aard van de te beschermen gegevens moest bestaan.3 Dit betekende dat normadressaten niet steeds de zwaarste beveiligingsmaatregelen hoefden te implementeren, maar dat het artikel wel zware eisen kon stellen als er bijvoorbeeld gevoelige gegevens werden verwerkt.4 De AP heeft de norm nader ingevuld in de ‘Richtsnoeren beveiliging persoonsgegevens’.5 Deze invulling is niet zozeer juridisch van aard, maar is bedoeld als een “schakel tussen het juridische domein en het domein van informatiebeveiliging”6 Zij zijn in belangrijke mate gebaseerd op de beste praktijken van het informatiebeveiligingsdomein, die ik heb besproken in hoofdstuk 3. Na de invoering van de AVG zijn de richtsnoeren (tot nu toe onveranderd) op de invulling van art. 5 lid 1 onder f en 32 AVG toegepast.

Art. 13 Wbp bevatte enkele elementen die sterk doen denken aan (in het bijzonder) art. 7 van het Verdrag van Straatsburg en (in mindere mate) art. 8 WPR.7 Wel zijn er, naast de toevoeging van de term ‘het passende beveiligingsniveau’, enkele belangrijke verschillen tussen deze bepalingen aanwijsbaar. Allereerst verplichten zij tot het beveiligen van verschillende objecten. De WPR-verplichtingen gingen over de beveiliging van samenhangende verzamelingen van persoonsgegevens, art. 13 Wbp moest ook worden nageleefd bij de verwerking van één persoonsgegeven.8Art. 13 Wbp had daardoor een bredere opzet dan art. 8 WPR en moest in meer gevallen in acht worden genomen.

Ook ten aanzien van de normadressaten was er met de invoering van de Wbp een en ander veranderd. De verantwoordelijkheid voor het treffen van beveiligingsmaatregelen lag niet langer bij partijen die werden aangeduid als houders en bewerkers, maar bij verantwoordelijken: de partij die kort gezegd ‘het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’.9 Deze beschrijving komt sterk overeen met de definitie van het WPR-begrip ‘houder’. Hoewel deze gelijkenis doet vermoeden dat houders onder de WPR verantwoordelijken zijn onder de Wbp, is dit niet noodzakelijkerwijs het geval.10 In tegenstelling tot de WPR richtte de Wbp zich namelijk niet tot degene die bevoegd was het doel van de verwerking vast te stellen, maar tot degene die dit (tezamen met de middelen) daadwerkelijk vaststelde. Met de inwerkingtreding van de Wbp was dus niet langer de formele bevoegdheid, maar de feitelijke situatie beslissend bij de vaststelling van de verantwoordelijke.11 Ook de ‘bewerker’ is onder de Wbp een andere partij dan onder de WPR. Het gaat onder beide regelingen om de partij die verwerkingen verricht ten behoeve van de verantwoordelijke/houder, maar de invulling van dit criterium is anders. Onder de WPR is deze kwalificatie gekoppeld aan de apparatuur die hij daarvoor gebruikt en heeft hij ten aanzien van deze apparatuur eigen beveiligingsverplichtingen.12 Met de Wbp is deze koppeling losgelaten.13 Ook de zelfstandige en directe beveiligingsverplichtingen die onder de WPR op de schouders van de bewerker rustten, zijn komen te vervallen. De bewerker had onder de Wbp wel een indirecte beveiligingsverplichting. De verantwoordelijke moest de bewerker contractueel voorschrijven welke technische en organisatorische maatregelen deze moest treffen en zorgdragen voor de feitelijke naleving van de beveiligingsbepaling.14 Met deze ‘extra verplichting’ voor de verantwoordelijke beoogde de wetgever te voorkomen dat de verantwoordelijke en de bewerker zich wat betreft hun verantwoordelijkheden achter elkaar konden verschuilen.15 Indien de verantwoordelijke schade leed doordat de bewerker tegen de afspraken in onvoldoende beveiligde, kon hij deze schade mogelijk op de bewerker verhalen.16

Toon alle voetnoten

Voetnoten

Voetnoten

Art. 81 Wbp.

Kamerstukken II 1997/98, 25892, 3, p. 98-99 (MvT).

Kamerstukken II 1997/98, 25892, 3, p. 98-99 (MvT); Rb. Midden-Nederland 23 juli 2014, ECLI:NL:RBMNE:2014:3097 (Vereniging Praktijkhoudende Huisartsen v. Vereniging van Zorgaanbieders voor Zorgcommunicatie), r.o. 4.17.

Zie CBP 2013. Ten tijde van de publicatie van deze richtsnoeren heette de AP nog College Bescherming Persoonsgegevens, oftewel CBP.

CBP 2013, p. 1.

De Nederlandse wetgever heeft ook aangegeven dat het artikel bij deze bepaling aansluit (Kamerstukken II 1997/98, 25892, 3, p. 98-99 (MvT)).

Vgl. art. 1 WPR met art. 1 onder a Wbp. Op het toepassingsbereik van (art. 13 van) de Wbp bestaan wel enkele uitzonderingen, zie art. 2 Wbp.

Art. 1 onder d Wbp.

10.

Vgl. art. 1 WPR met art. 1 onder d Wbp. Zie overigens anders Dontje 2011, p. 43.

11.

Opvallend is dat de Nederlandse wetgever aangeeft dat dit betekent dat onder de WPR de feitelijke machtsverhoudingen bepalen wie de houder is, terwijl onder de Wbp de formele bevoegdheden doorslaggevend zijn (Kamerstukken II 1997/98, 25892, 3, p. 16 (MvT). De begrippen verantwoordelijke en houder impliceren juist het tegenovergestelde. Later is gebleken dat inderdaad juist de feitelijke machtsverhoudingen essentieel zijn voor de kwalificatie verantwoordelijke (zie §2.2.3.2.).

12.

Zie §4.4.2.

13.

Vgl. art. 1 WPR met art. 1 onder e Wbp. Zie ten aanzien van de loskoppeling van het begrip ‘bewerker’ van het onder zich hebben van de apparatuur ook Kamerstukken II 1997/98, 25892, 3, p. 61 (MvT).

14.

Zij waren verplicht zo’n overeenkomst te sluiten (art. 14 lid 2 Wbp, zie ook art. 17 lid 2 Dataprotectierichtlijn). Zie hierover bijv. Wolters 2017, §4 en Van de Bunt & Strijbos 2018. Het is dus niet zo dat (art. 14 van) de Wbp art. 8 WPR voor de bewerker uitwerkt, hoewel de Nederlandse wetgever deze veronderstelling bij de invoering van de Wbp wel leek te hebben (Kamerstukken II 1997/98, 25892, 3, p. 98 (MvT)).

15.

Kamerstukken II 1997/98, 25892, 3, p. 99-100 (MvT).

16.

Dit contract werd onder de Wbp aangeduid als de bewerkersovereenkomst. Zie Van de Bunt & Strijbos 2018.