4.7.2 De beveiligingsbepalingen (t.o.v. die uit de Wbp)

De AVG kent twee bepalingen die de beveiliging van persoonsgegevens betreffen: art. 5 lid 1 onder f AVG en art. 32 AVG. Zie §6.6.3 en §8.2.4 over de onderlinge verhouding tussen deze bepaling en §2.2.1 voor een weergave van hun tekst.

De EU-wetgever geeft er geen blijk van dat hij met de AVG een verandering heeft willen aanbrengen in het beveiligingsregime dat onder de Data­protectie­­richtlijn bestond. Bij een vergelijking tussen art. 5 lid 1 onder f en 32 AVG enerzijds en art. 17 Dataprotectierichtlijn en 13 Wbp anderzijds lijken de AVG-bepalingen dan ook vooral meer te zijn uitgewerkt. Art. 32 AVG geeft meer handvatten voor de beoordeling van de passendheid van beveiligings­maatregelen en het passende beveiligingsniveau en illustreert haar beoogde uitwerking in het concrete geval met een enuntiatieve opsomming van mogelijk te treffen maatregelen. De formulering van de kern van de beveiligingsbepalingen is daarentegen, op enkele kleine, hierna te behandelen punten na, vrijwel onveranderd.

De AP is van oordeel dat de AVG geen materiële wijziging in de beveiligingsnorm heeft meegebracht.1 Toch lijkt art. 32 AVG een breder toepassingsgebied te hebben dan art. 13 Wbp. Dit komt door de verschillende manieren waarop het oogmerk van de beveiligingsmaatregelen is geformuleerd. Art. 13 Wbp bepaalde dat de maatregelen moesten zijn gericht op de beveiliging van gegevens tegen verlies of enige vorm van onrechtmatige verwerking (en ten aanzien daarvan het passende beveiligingsniveau moeten waarborgen), terwijl beveiligingsmaatregelen blijkens de AVG ook moeten zijn gericht op het tegengaan van ongeoorloofde verwerkingen. Dit omvat meer, zoals rechtmatige verwerkingen die worden verricht door ongeautoriseerde partijen.2 Voor de inhoud van de beveiligingsverplichtingen heeft dit waarschijnlijk echter geen gevolgen. Een richtlijnconforme interpretatie zou namelijk meebrengen dat verwerkingsverantwoordelijken en verwerkers ook onder art. 13 Wbp tegen ongeautoriseerde verwerkingen moesten beschermen.3

Een tweede verschil voor wat betreft de AVG-beveiligingsbepalingen enerzijds en art. 13 Wbp anderzijds, is de weergave van de factoren die de passendheid van beveiliging beïnvloeden. In de AVG staan eigenlijk alle factoren die bij beveiliging moeten worden meegenomen in een of twee gelijkwaardige opsomming(en).4 Hierdoor blijft onduidelijke wat voor type invloed deze factoren hebben. In art. 13 Wbp werden de factoren meer gescheiden. De maatregelen garandeerden, ‘rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging’ het passende beveiligingsniveau ‘gelet op de risico’s die de verwerking en aard’ van de te beschermen gegevens.

Een ander verschil tussen de beveiligingsbepalingen van enerzijds de Wbp en anderzijds de AVG betreft hun norm­adressaten. Waar de beveiligingsbepaling uit art. 13 Wbp enkel diende te worden nageleefd door verwerkings­verantwoordelijken (in Wbp-termen ‘voor de verwerking verantwoordelijken’), geldt art. 32 AVG ook voor verwerkers (‘bewerkers’ onder de Wbp).5 Op grond van de AVG rusten er hierdoor voor het eerst sinds de inwerking­treding van de Wbp weer eigen wettelijke beveiligings­verplichtingen op de verwerkers.6Art. 32 AVG heeft daardoor een breder toepassingsbereik, hetgeen mogelijk betekent dat haar invulling uiteenlopender is (zie §8.2.2 en §8.2.4).

Hoewel art. 32 AVG ten opzichte van art. 13 Wbp tekstueel gezien geen grote wijzigingen heeft ondergaan, worden de beveiligingsvoorschriften sinds de van toepassing wording van de AVG anders benaderd. Beide regelingen bevatten een beveiligingsvoorschrift, maar alleen in de AVG is de beveiliging van persoonsgegevens ook als beginsel erkend.7 Voor de verwerkingsverantwoordelijke kan de schending hiervan leiden tot een boete die tweemaal zo hoog is als de boete die kan worden opgelegd wegens een schending van art. 32 AVG (zie §6.6.3). De verplichting voor de verwerkings­verantwoordelijke lijkt als gevolg hiervan dan ook, in ieder geval theoretisch, te zijn verzwaard.8