Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.2.3
8.2.3 Opzet: zowel doel als middel
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660864:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Op grond van art. 5 lid 1 onder f AVG moeten beveiligingsmaatregelen immers leiden tot passende beveiliging en op grond van art. 32 lid 1 AVG tot een op het risico afgestemd beveiligingsniveau. Een nadere bestudering van deze bepalingen, in het bijzonder in het licht van de Engelstalige tekstversie en historische context (zie §2.3), leert echter dat deze terminologische verschillen zich niet vertalen in inhoudelijke verschillen. Beide artikelen schrijven in de kern voor dat er passende beveiligingsmaatregelen moeten worden getroffen om het passende beveiligingsniveau te waarborgen. Zie §2.2.1, §2.3.4 en uit §2.4 het aanknopingspunt ‘Passende beveiligingsmaatregelen zijn maatregelen die het passende beveiligingsniveau waarborgen.’
Zie §2.2.1, §2.3.4 en uit §2.4 het aanknopingspunt ‘Passende beveiligingsmaatregelen zijn maatregelen die het passende beveiligingsniveau waarborgen.’
Zie §4.5.1 en §4.5.2. In deze bepalingen wordt ook een duidelijk ‘om’-verband aangelegd.
Zie resp. §6.3.3 en uit §6.7 het aanknopingspunt ‘Om ‘passend’ te zijn in de zin van de AVG, moeten (beveiligings)maatregelen geactualiseerd (en effectief) zijn.’ en §7.3.5 en uit §7.5 het aanknopingspunt ‘Een mogelijke toets voor de ‘passendheid’ van beveiligingsmaatregelen is: zijn de maatregelen effectief, op maat gemaakt, compatibel, evenredig, concreet en inclusief (en eventueel verifieerbaar)?’
Zie §3.4.3, §3.4.4 en uit §3.5 het aanknopingspunt ‘Beveiliging vereist dat eerst het beveiligingsdoel wordt vastgesteld, zodat de beveiligingsmaatregelen hierop kunnen worden afgestemd.’
Art. 5 lid 1 onder f en 32 lid 1 AVG kunnen zo worden gelezen dat ze bestaan uit twee delen: de verplichting tot de waarborging van het passende beveiligingsniveau en de verplichting tot het treffen van passende beveiligingsmaatregelen.1 Deze twee delen staan echter onlosmakelijk met elkaar in verband, zo laat mijn onderzoek zien. De te treffen maatregelen zijn daarbij het middel waarmee de waarborging van het passende beveiligingsniveau vorm krijgt. Zonder het treffen van passende maatregelen kunnen verwerkingsverantwoordelijken en verwerkers het passende beveiligingsniveau niet waarborgen. Tegelijkertijd is de juiste beoordeling van het te waarborgen beveiligingsniveau essentieel voor het treffen van passende maatregelen. Bij een onjuiste beoordeling van dit niveau zal de afstemming van de maatregelen op dit niveau niet tot de waarborging van het passende beveiligingsniveau leiden. De waarborging van het passende beveiligingsniveau en het treffen van passende maatregelen gaan dus altijd samen. Dit betekent dat de AVG-beveiligingsbepalingen zowel het beveiligingsdoel, als het beveiligingsmiddel reguleren – en dus ook in deze zin breed zijn.
Bovenstaande conclusies kunnen worden getrokken op basis van meerdere van de door mij behandelde contexten. Het blijkt niet alleen uit de tekst van de AVG-beveiligingsbepalingen (zie hierboven),2 maar kwam ook naar voren in de beveiligingsbepaling uit de Dataprotectierichtlijn en de Nederlandse omzettingsregel daarvan.3 De benadering van de verhouding beveiligingsniveau-beveiligingsmaatregelen als een doel-middelverband past bovendien bij de manier waarop ‘passend’ in de context van andere AVG-bepalingen en andere EU-beveiligingsbepalingen wordt uitgelegd,4 en bij de wijze waarop informatiebeveiligingsspecialisten de beveiliging benaderen. Zij hanteren als uitgangspunt dat beveiligingsmaatregelen iets moeten bereiken. Daarom wordt binnen dit domein eerst vastgesteld wat in een concreet geval moet worden beveiligd en welke beveiligingsdoelen moeten worden gerealiseerd. Hierop worden vervolgens de te treffen maatregelen afgestemd.5