De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.1.2:7.3.1.2 Art. 91 Verordening 2018/1725

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.1.2

7.3.1.2 Art. 91 Verordening 2018/1725

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS661001:1
Vakgebied(en): Privacy (V)

Verordening 2018/1725 kent nog een derde bepaling die is gericht op de beveiliging van persoonsgegevens: art. 91 Verordening 2018/1725. Dit artikel is toegespitst op de beveiliging van operationele persoonsgegevens.1 Operationele persoonsgegevens zijn “alle persoonsgegevens die worden verwerkt door organen of instanties van de EU wanneer zij onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallende activiteiten uitoefenen om de in de handelingen tot oprichting van deze organen of instanties genoemde doelstellingen en taken te verwezenlijken”. Het gaat hierbij bijvoorbeeld om gegevens die een EU-instelling verwerkt met het oog op justitiële samenwerking in strafzaken of politiële samenwerking.2

Op grond van art. 91 Verordening 2018/1725 moeten verwerkingsverantwoordelijken en verwerkers passende technische en organisatorische maatregelen treffen om een op de risico’s afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de verwerking van bijzondere categorieën van operationele persoonsgegevens. De EU-wetgever specificeert in de bepaling wat voor soort beveiligingsmaatregelen verwerkingsverantwoordelijken en verwerkers in dit kader moeten. Zij moeten geschikt zijn om:

a.: “te verhinderen dat onbevoegden toegang krijgen tot verwerkingsapparatuur („controle op de toegang tot de apparatuur”);
b.: te verhinderen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen („controle op de gegevensdragers”);
c.: te verhinderen dat onbevoegden persoonsgegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen („opslagcontrole”);
d.: te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur („gebruikerscontrole”);
e.: ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft („controle op de toegang tot de gegevens”);
f.: ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissieapparatuur („transmissiecontrole”);
g.: ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in geautomatiseerde verwerkingssystemen zijn ingevoerd („invoercontrole”);
h.: te verhinderen dat onbevoegden persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers („transportcontrole”);
i.: ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet („herstel”);
j.: ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd („betrouwbaarheid”) en dat opgeslagen persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem („integriteit”).”

In deze bepaling is – anders dan in art. 33 lid 1 verordening 2018/1725, dat (net als art. 32 lid 1 AVG) ook enkele specifieke beveiligingsmaatregelen noemt – niet opgemerkt dat verwerkingsverantwoordelijken en verwerkers de genoemde maatregelen alleen moeten treffen indien dat passend is. Zij zullen operationele gegevens, met andere woorden, altijd moeten beveiligen met maatregelen uit de genoemde categorieën. Bij de beveiliging van operationele persoonsgegevens bestaat zo minder ruimte voor beoordeling dan bij de beveiliging van niet-operationele gegevens.

Of gegevens operationeel zijn of niet, is niet zozeer afhankelijk van hun inhoud, maar van de context waarbinnen zij worden verwerkt. Operationele persoonsgegevens worden, kort gezegd, gebruikt bij wetshandhavingstaken. Dat de norm voor de beveiliging van deze gegevens minder open is, heeft vermoedelijk te maken met deze context. Dit is immers een gevoelige: als gewone persoonsgegevens (zoals naam- en adresgegevens) die worden gebruikt voor bijvoorbeeld strafrechtelijke handhaving worden ingezien, gewijzigd of onbeschikbaar zijn, dan heeft dit meer gevolgen voor de rechten en vrijheden van natuurlijke personen dan wanneer hetzelfde met deze gegevens gebeurt in de context van een online bestelling. Het is dan meteen duidelijk dat er een strafrechtelijk verband met deze persoon bestaat.

Er is een risicobeoordeling nodig om vast te stellen welke de specifieke maatregelen in een concreet geval nodig zijn om aan art. 91 Verordening 2018/1725 te voldoen. De mate waarin verwerkingsverantwoordelijken en verwerkers met de betreffende maatregelen de risico’s moeten beheersen, verschilt dan ook per geval.

Art. 91 Verordening 2018/1725 geeft al met al inzicht in de categorieën beveiligingsmaatregelen die verwerkingsverantwoordelijken moeten treffen om aan hun beveiligingsverplichtingen uit deze bepaling te voldoen. Naar mijn mening kan dit ook houvast geven bij de invulling van de AVG-beveiligingsbepaling. Zij dienen immers ter verwezenlijking van hetzelfde doel als met de AVG moet worden bereikt. Het grootste deel van de genoemde maatregelen is, hoewel specifieker geformuleerd, bovendien gerelateerd aan de maatregelen die in art. 32 lid 1 AVG worden genoemd. Vooral art. 32 lid 1 sub b is in dit kader van belang. Hieruit blijkt dat beveiligingsmaatregelen (indien passend) het vermogen moeten hebben om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.3 Alle maatregelen uit art. 91 Verordening 2018/1725 zijn hierop terug te voeren. Zo staat wat is genoemd onder a in nauw verband met het waarborgen van de vertrouwelijkheid en integriteit van de bij gegevensverwerkingen betrokken systemen en netwerken, net als hetgeen wordt genoemd onder b, c, d, e, f, h en j.4 Ook de waarborging van de beschikbaarheid van systemen en netwerken kan vorm krijgen aan de hand van deze maatregelen.5 De maatregelen die zijn genoemd onder i en j verwijzen naar de veerkracht van systemen.6 Het is interessant dat onder g wordt verwezen naar de invoercontrole. Dit betreft voornamelijk de authenticiteit van de gewaarborgde gegevens, een doel dat in de AVG slechts zijdelings terugkomt (§3.3.6).7

Doordat art. 91 Verordening 2018/1725 is toegespitst op persoonsgegevens in een specifieke situatie, kan niet worden aangenomen dat de maatregelen uit in deze bepaling te allen tijde moeten worden getroffen in het kader van de AVG. Er kunnen zich situaties voordoen waarin dit niet nodig is, maar mogelijk ook situaties waarin de genoemde maatregelen niet afdoende zijn. Gezien de opzet van art. 91 Verordening 2018/1725 moeten de maatregelen waarschijnlijk in ieder geval worden getroffen wanneer gegevens worden verwerkt in een gevoelige context (zie hierboven) en wanneer een verwerking gegevens betreft met een bijzondere aard (gezien het gebruik van de term ‘met name’ in art. 91 lid 1 Verordening 2018/1725).

Ook los van het bovenstaande blijft van belang dat vrijwel alle in art. 91 verordening 2018/1725 genoemde maatregelen in nauw verband staan met de waarborgen die op grond van de AVG-beveiligingsmaatregelen moeten worden getroffen. De meeste relateren aan de integriteit en vertrouwelijkheid van gegevens, waarvan de waarborging van groot belang is in de context van de AVG.8 Zij lijken in te houden dat de beveiliging van persoonsgegevens moet worden gewaarborgd in iedere fase van een verwerking en ten aanzien van alle bij een verwerking betrokken (ICT-)infrastructuur. Daarbij lijkt het voorkomen van een beveiligingsincident van groter belang dan het herstellen ervan. Dit is veelal van essentieel belang voor de bescherming van de betrokken persoonsgegevens.9 Het in een specifiek geval te waarborgen beveiligingsniveau is naar mijn mening daarom al snel dusdanig dat maatregelen moeten worden getroffen ter waarborging van het in art. 91 Verordening 2018/1725 genoemde. Dit gaat waarschijnlijk het minst snel op voor de maatregelen uit g en i, nu authenticiteit en beschikbaarheid doorgaans van geringer belang zijn dan integriteit en vertrouwelijkheid.10

Toon alle voetnoten

Voetnoten

Voetnoten

Zie wel art. 2 lid 3 Verordening 2018/1725, waaruit volgt dat de verordening niet van toepassing is op de verwerking van deze gegevens door Europol en het Europees Ministerie tot Verordening (EU) 2016/794 van het Europees Parlement en de Raad en Verordening (EU) 2017/1939 zijn aangepast in overeenstemming met art. 98 Verordening 2018/1725. Zie ook preambule Verordening 2018/1725, o. 12.

Preambule Verordening 2018/1725, o. 9.

Zie §3.5.4.

Zie over deze doelen §3.3.2 en §3.3.3. Zie ook §3.2 en §3.5.4.

Zie over beschikbaarheid §3.3.4. Zie ook §3.2 en §3.5.4.

Zie over dit doel §3.3.5.

De waarborging van dit beveiligingsdoel kan desalniettemin van belang zijn, ook in het kader van andere verplichtingen die uit de AVG voortvloeien (zie §3.3.6).

Zie ook hfdst. 5.

Zie §3.2.

10.

Zie hierover §3.3.4, §3.3.5 en §3.6.