De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.3.4:8.3.4 De relevante risico’s: (vooral) aan grondrechten gerelateerde risico’s

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.3.4

8.3.4 De relevante risico’s: (vooral) aan grondrechten gerelateerde risico’s

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660886:1
Vakgebied(en): Privacy (V)

Het grote belang van grondrechtenwaarborging

Op basis van mijn onderzoek kom ik tot de conclusie dat het passende beveiligingsniveau is gericht op de waarborging van de grondrechten en fundamentele vrijheden van natuurlijke personen.1 Gebleken is dat de AVG meerdere grondrechten en fundamentele vrijheden beperkt, soms ten gunste van elkaar.2 Bij de invulling van de beveiligingsverplichtingen moeten dan ook de rechtvaardigingseisen ten aanzien van al deze rechten en vrijheden worden nageleefd. Daarvoor is onder meer vereist dat de inmengingen de wezenlijke inhoud van de rechten eerbiedigen, niet verder gaan dan noodzakelijk en dat de verhouding tussen de nadelen van een grondrechteninmenging en de daarmee behaalde voordelen proportioneel moet zijn (de evenredigheidstoets). Uit de rechtspraak van het HvJ EU blijkt dat er in dit kader een juist evenwicht moet worden gewaarborgd tussen de betrokken rechten en vrijheden.3

Dat het passende beveiligingsniveau is gericht op de waarborging van de grondrechten en fundamentele vrijheden van natuurlijke personen, hangt samen met een van de twee doelen van de AVG. Uit mijn onderzoek is gebleken dat het andere doel van de AVG geen reden biedt om aan te nemen dat het te waarborgen beveiligingsniveau onder omstandigheden hoger is dan noodzakelijk is voor de grondrechtenwaarborging. Het passende beveiligingsniveau is, met andere woorden, het beveiligingsniveau dat de inmengingen rechtvaardigt die een verwerking meebrengt in de rechten en vrijheden van de bij verwerking betrokken personen.4 De eisen die aan deze bescherming worden gesteld, maken dat de verplichting tot de waarborging van het passende beveiligingsniveau streng is.

Bij risico’s voor de rechten en vrijheden van natuurlijke personen gaat het in ieder geval om de risico’s voor de bij een verwerking betrokken natuurlijke personen. De art. 29-werkgroep heeft eenmaal geschreven dat ook de gevolgen van een schending van deze rechten en vrijheden voor de gehele maatschappij in dit kader van belang kunnen zijn.5 Het is echter de vraag of dit een aparte categorie risico’s is die moet worden meegenomen bij de vaststelling van het passende beveiligingsniveau. In mijn onderzoek ben ik geen verdere aanwijzingen hiervoor tegen gekomen.6

De waarborging van de grondrechten en fundamentele rechten van de betrokkenen en de daarmee samenhangende integriteits- en vertrouwelijkheidseisen

Blijkens het doel van de AVG gaat het bij de bescherming van de rechten en vrijheden, en dus bij de beoordeling van het passende beveiligingsniveau, voornamelijk om het recht op bescherming van persoonsgegevens, oftewel: om de rechten van betrokkenen. Ook het recht op de eerbiediging van het privéleven is in dit kader van belang.7 Uit mijn onderzoek blijkt dat deze rechten meebrengen dat verwerkingsverantwoordelijken en verwerkers persoonsgegevens moeten beveiligen tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens.8 Anders is in het bijzonder het recht op de bescherming van persoonsgegeven in zijn wezenlijke inhoud aangetast. Dit relateert volledig aan de vertrouwelijkheid en integriteit van persoonsgegevens, zo blijkt uit de uitspraken van het HvJ EU over het recht op de bescherming van persoonsgegevens en uit de titel van art. 5 lid 1 onder f AVG (het beginsel van integriteit en vertrouwelijkheid).9

Het belang van integriteit en vertrouwelijkheid voor het passende beveiligingsniveau volgt niet alleen uit de grondrechtelijke achtergrond van de AVG, maar klinkt ook door in andere EU-persoonsgegevensbepalingen en in de rest van de AVG.10 In het kader van dit laatste is vooral van belang dat een schending van ‘het beginsel inzake vertrouwelijkheid en integriteit’, zwaarder kan worden beboet dan de schending van art. 32 AVG, dat mogelijk ook nog op andere beveiligingsdoelen ziet.11 Zie hierover later in deze paragraaf meer, als ik het belang van beschikbaarheid bespreek.

De waarborging van de integriteit en vertrouwelijkheid van persoonsgegevens is van groot belang. Zo werd de Dataretentierichtlijn, die onder andere op dit punt onvoldoende waarborgen bood, door het HvJ EU ongeldig verklaard.12 Welk niveau van integriteits- en vertrouwelijkheidswaarborging in een concreet geval nodig is voor het passende beveiligingsniveau, blijkt echter niet uit mijn onderzoek. Wel is duidelijk dat de beperkingssystematiek van het Handvest ook hieraan eisen stelt. Uit de rechtspraak van het HvJ EU blijkt dat deze eisen zeer streng kunnen zijn. Zo heeft het in twee gevallen overwogen dat er een ‘bijzonder hoog’ beveiligingsniveau moest worden gerealiseerd en dat ‘de volle integriteit en vertrouwelijkheid’ van de betrokken gegevens moest worden gewaarborgd.13 Praktisch gezien is dit onmogelijk. In het informatiebeveiligingsdomein wordt aangenomen dat er nooit met zekerheid kan worden gezegd dat er geen beveiligingsinbreuken kunnen plaatsvinden. Uit deze rechtspraak blijkt desalniettemin wel dat de eisen die de AVG aan integriteit- en vertrouwelijkheidswaarborging stelt, erg hoog kunnen zijn als de omstandigheden daar om vragen. Factoren die in bovengenoemd geval van groot belang waren, betroffen de hoeveelheid verwerkte gegevens, het eventuele gevoelige karakter van deze gegevens en de duur van de verwerking. Deze factoren lijken in het bijzonder te beslissen hoe hoog het passende beveiligingsniveau in een concreet geval is.14 Zie hierover ook §8.3.3.

De waarborging van de grondrechten en fundamentele rechten van de betrokkenen en de daarmee samenhangende beschikbaarheidseisen

In het informatiebeveiligingsdomein worden integriteit en vertrouwelijkheid meestal tezamen met een derde beveiligingsdoel genoemd: beschikbaarheid.15 Onder omstandigheden hecht ook de Uniewetgever belang aan de beschikbaarheid van persoonsgegevens. Dit blijkt expliciet uit art. 32 AVG.16 Toch blijkt uit de AVG ook dat de beschikbaarheid in de context van de beveiliging van persoonsgegevens van minder groot belang is: het komt niet terug in art. 5 lid 1 onder f AVG. Doordat het te waarborgen beveiligingsniveau sterk relateert aan grondrechtenbescherming, is dit goed verklaarbaar: vooralsnog wordt de beschikbaarheid van persoonsgegevens in de rechtspraak niet expliciet gekoppeld aan de rechten op de bescherming van persoonsgegevens en de eerbiediging van de persoonlijke levenssfeer of aan een van de andere door mij besproken grondrechten.

Het bovenstaande is mede te verklaren vanuit het brede gebruik van de begrippen van ‘integriteit’ en ‘vertrouwelijkheid’ in de context van de AVG, die overigens in lijn is met (sommige) definities van deze begrippen uit het informatiebeveiligingsdomein.17 Wanneer alle beveiligingsinbreuken die worden genoemd in art. 5 lid 1 onder f AVG (waaronder bijvoorbeeld het verlies van persoonsgegevens) in de context van de AVG-beveiligingsbepalingen vallen onder de termen ‘vertrouwelijkheid’ of ‘integriteit’, houdt beschikbaarheid enkel nog in: het te allen tijde beschikbaar zijn van gegevens voor geautoriseerde personen.18 Dit betekent dat alleen het tijdelijk onbeschikbaar zijn van gegevens, doordat een systeem onbereikbaar is, een ‘zuivere’ beschikbaarheidsinbreuk is. De onbeschikbaarheid van gegevens als gevolg van het verlies van deze gegevens levert daarentegen in essentie een integriteitsinbreuk (met beschikbaarheidsgevolgen) op.

Het is de vraag of verwerkingsverantwoordelijken en verwerkers ‘zuivere’ beschikbaarheidsschendingen van persoonsgegevens op grond van de AVG-beveiligingsbepalingen moeten tegengaan. Sommige contexten duiden hierop (i.h.b. het informatiebeveiligingsdomein en het overige EU-cyberbeveiligingsrecht).19 Zij betreffen echter niet specifiek de waarborging van grondrechten en fundamentele vrijheden, wat bij de invulling van de term ‘het passende beveiligingsniveau’ juist voorop staat. Hun ratio is, met andere woorden, anders.20

Gezien de belangrijke rol van het recht op de bescherming van persoonsgegevens bij de uitleg van de AVG-beveiligingsbepalingen meen ik dat het bovenstaande, ook gezien de titel van art. 5 lid 1 onder f AVG, de conclusie rechtvaardigt dat het passende beveiligingsniveau in ieder geval grotendeels afhankelijk is van integriteits- en vertrouwelijkheidswaarborgen. De eisen die worden gesteld aan beschikbaarheidswaarborgen zijn in dit kader onduidelijk, maar in ieder geval beperkter. Verwerkingsverantwoordelijken en verwerkers lijken in ieder geval niet vanwege het recht op de bescherming van persoonsgegevens en het recht op de eerbiediging van het privéleven beschikbaarheidsmaatregelen te hoeven treffen. Mogelijk relateert dit nog wel aan andere contexten of andere grondrechten, die ik niet heb beschreven. Zo neemt het Europees Comité voor gegevensbescherming wel aan dat het onbeschikbaar zijn van medische data gevolgen heeft voor de rechten en vrijheden van natuurlijke personen.21 Mogelijk hangt dit samen met grondrechten die ik niet heb besproken, zoals het recht op leven. Door het brede karakter van de AVG, kunnen ook deze rechten het op grond van deze verordening te waarborgen beveiligingsniveau beïnvloeden (zie §8.2.4).22 Om te achterhalen in welke mate de beschikbaarheid het te waarborgen beveiligingsniveau beïnvloedt, is mogelijk aanvullend onderzoek nodig, waarbij dit grondrecht, en mogelijk nog andere grondrechten, worden meegenomen.

Andere relevante grondrechten en fundamentele vrijheden: gerelateerd aan de verwerkingsverantwoordelijken en verwerkers, en de interne markt

Het recht op de bescherming van persoonsgegevens brengt strenge eisen mee voor de beveiliging van persoonsgegevens. Daarop ga ik hierna verder in (zie de vorige kopjes). De eisen die uit andere grondrechten en fundamentele vrijheden vloeien zijn veel minder streng en kunnen daarom worden gezien als grenzen aan de eisen die maximaal uit het recht op de bescherming van persoonsgegevens kunnen volgen.

Een beperking van het recht op de vrijheid van ondernemerschap is slechts zelden niet gerechtvaardigd.23 De wezenlijke inhoud van het recht op de vrijheid van ondernemerschap brengt mee dat de AVG-beveiligingsbepalingen het drijven van een onderneming niet mag verbieden of praktisch onmogelijk maken. Dit is een zeer lage drempel. Het recht staat hierdoor slechts in weg aan de verplichting tot de waarborging van een hoog en kostbaar beveiligingsniveau als daardoor in het algemeen (en dus niet in het concrete geval) het drijven van een onderneming praktisch onmogelijk wordt.24 Daarvan zal niet snel sprake zijn. Het effect van de vrijheid van ondernemerschap op de vaststelling van het passende beveiligingsniveau is daarom beperkt. Wel zullen de bepalingen niet zodanig mogen worden uitgelegd dat beveiliging absoluut moet zijn.25 Ook de tekst van de AVG-beveiligingsbepalingen, uitgelegd in het licht van het informatiebeveiligingsdomein, brengt echter al mee dat deze bepalingen niet zo zullen worden uitgelegd. In dit domein wordt aangenomen dat beveiliging niet absoluut kan zijn.26 Overigens speelt de vrijheid van ondernemerschap nog een rol bij de keuze van de beveiligingsmaatregelen. Zie hierover §8.4.2.

De interne markt en de rechten en vrijheden die daarmee samenhangen, brengen mee dat de AVG-beveiligingsnormen niet zodanig mogen worden uitgelegd en toegepast dat er in de verschillende lidstaten van de EU verschillende regels gelden.27 Het passende beveiligingsniveau moet, met andere woorden, geharmoniseerd worden ingevuld.28 In dit kader dient er bijvoorbeeld belang te worden gehecht aan EU-brede goedgekeurde gedragscodes en goedgekeurde certificeringsmechanismen.29 Zoals eerder besproken zal het vrije verkeer van persoonsgegevens op zichzelf het te waarborgen beveiligingsniveau niet beïnvloeden.30

Verder onderzoek

Al met al spelen bij de invulling van het AVG-beveiligingsniveau de grondrechten en de regels die gelden voor de beperkingen op deze grondrechten een grote rol. Waarschijnlijk bepalen zij de hoogte van het passende beveiligingsniveau. Om beter te weten welke eisen hieraan worden gesteld, zal meer duidelijkheid moeten worden verkregen over (in het bijzonder) het grondrecht op de bescherming van persoonsgegevens. Vervolgonderzoek zou zich hierop kunnen richten.

Toon alle voetnoten

Voetnoten

Voetnoten

Zie uit §5.5 bijv. het aanknopingspunt ‘De grondrechtelijke eisen aan persoonsgegevensbeveiliging vormen (in ieder geval) minimumeisen bij de invulling van art. 5 lid 1 onder f en 32 AVG en moeten worden gewaarborgd om de AVG aan het Handvest te laten voldoen. Het vrije verkeer van persoonsgegevens zal nooit een hoger beveiligingsniveau vereisen dan om grondrechtelijke redenen moet worden gewaarborgd.’ en §6.4.3 en uit §6.7 het aanknopingspunt ‘De risicogebaseerde benadering van de AVG leidt ertoe dat de beoordeling van het passende beveiligingsniveau gericht is op de risico’s voor de rechten en vrijheden van natuurlijke personen.’

Zie §5.2.2.2 en uit §5.5 het aanknopingspunt ‘Bij de invulling van art. 5 lid 1 onder f en 32 AVG moet een ‘juist evenwicht’ worden gewaarborgd tussen alle met de AVG beperkte grondrechten en fundamentele vrijheden, zodat deze beperkingen gerechtvaardigd zijn.’

Zie §5.2.2.2, uit §5.5 het aanknopingspunt ‘Bij de invulling van art. 5 lid 1 onder f en 32 AVG moet een ‘juist evenwicht’ worden gewaarborgd tussen alle met de AVG beperkte grondrechten en fundamentele vrijheden, zodat deze beperkingen gerechtvaardigd zijn.’

Zie §5.3, uit §5.5 het aanknopingspunt ‘De grondrechtelijke eisen aan persoonsgegevensbeveiliging vormen (in ieder geval) minimumeisen bij de invulling van art. 5 lid 1 onder f en 32 AVG en moeten worden gewaarborgd om de AVG aan het Handvest te laten voldoen. Het vrije verkeer van persoonsgegevens zal nooit een hoger beveiligingsniveau vereisen dan om grondrechtelijke redenen moet worden gewaarborgd.’

Zie §6.4.3.

Mogelijk houdt dit verband met andere maatschappelijke gevolgen van beveiligingsincidenten, waarbij die op economische schade mijns inziens het meest voor de hand ligt. De beheersing van zulke risico’s valt echter onder de reikwijdte van de NIB-richtlijn (zie §7.3.5).

Zie §5.2.1.

Zie §5.2.3.2, §5.2.3.3 en uit §5.5 het aanknopingspunt ‘Het Handvest vereist dat er passende beveiligingsmaatregelen worden getroffen om persoonsgegevens doeltreffend te beschermen tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens.’

Zie §5.2.3.2, §5.2.3.3 en uit §5.5 het aanknopingspunt ‘Voor de waarborging van grondrechten is vooral de waarborging van de vertrouwelijkheid en integriteit van persoonsgegevens van belang.’ Dat dit ook van belang is voor de eerbiediging van de wezenlijke inhoud van het recht op de eerbiediging van het privéleven blijkt uit §5.2.4.2.

10.

Zie §8.2.3.1.Zie uit §7.4 het aanknopingspunt ‘Bij de beveiliging van persoonsgegevens staat het tegengaan van integriteits- en vertrouwelijkheidsschendingen voorop.’

11.

Zie §6.6 en §8.2.4.

12.

Zie §5.2.3.3.

13.

Zie §5.2.2.1 en §5.2.3.3.

14.

Zie §5.2.3.2, §5.2.3.3 en uit §5.5 het aanknopingspunt ‘Het vanuit grondrechtelijk perspectief minimaal te waarborgen beveiligingsniveau hangt voornamelijk af van het risico op misbruik, de hoeveelheid verwerkte gegevens, het eventueel gevoelige karakter van deze gegevens en de duur van de verwerking. De term ‘verwerkingsrisico’s’ uit art. 32 lid 2 AVG verwijst daarom naar de risico’s voor de grondrechten en fundamentele vrijheden.’

15.

Zie §3.3.4 en uit §3.6 het aanknopingspunt ‘Naast vertrouwelijkheid en integriteit kent het informatiebeveiligingsdomein een derde ‘basis’ beveiligingsdoel: beschikbaarheid. Uit de AVG blijkt dat de beveiligingsbepalingen meebrengen dat ook ter waarborging van dit doel, net als dat van veerkracht, beveiligingsmaatregelen moeten worden getroffen. Het is de vraag of deze twee doelen ook het te waarborgen beveiligingsniveau beïnvloeden.’

16.

Zie art. 32 aanhef en lid 1 onder c AVG.

17.

Zie §3.3.2, §3.3.3 en uit §3.6 de aanknopingspunten ‘Vertrouwelijkheid verwijst naar passieve toegankelijkheid van gegevens. De waarborging ervan vereist dat gegevens zijn beveiligd tegen onrechtmatige, ongeoorloofde en onopzettelijke raadplegingen.’ en ‘Integriteit verwijst naar actieve toegankelijkheid van gegevens. De waarborging ervan vereist dat gegevens zijn beveiligd tegen onder meer onrechtmatige, ongeoorloofde en onopzettelijke aanpassingen, vernietigingen en structureringen.’

18.

Zie §3.3.3 en uit §3.6 de aanknopingspunten ‘Integriteit verwijst naar actieve toegankelijkheid van gegevens. De waarborging ervan vereist dat gegevens zijn beveiligd tegen onder meer onrechtmatige, ongeoorloofde en onopzettelijke aanpassingen, vernietigingen en structureringen.’

19.

Zie §3.3.4 en uit §3.6 de aanknopingspunten ‘Naast vertrouwelijkheid en integriteit kent het informatiebeveiligingsdomein een derde ‘basis’ beveiligingsdoel: beschikbaarheid. Uit de AVG blijkt dat de beveiligingsbepalingen meebrengen dat ook ter waarborging van dit doel, net als dat van veerkracht, beveiligingsmaatregelen moeten worden getroffen. Het is de vraag of deze twee doelen ook het te waarborgen beveiligingsniveau beïnvloeden.’

20.

Het informatiebeveiligingsdomein is van oorsprong meer gericht op de waarborging van de bedrijfsvoering en -continuïteit, waarvoor de beschikbaarheid van gegevens (wel) van groot belang is, zie §3.2.1. Ook de EU-cyberbeveiligingsbepalingen waaruit de relevantie van beschikbaarheid het meeste blijkt, zijn gerelateerd aan de beveiliging van andere dingen dan persoonsgegevens. Zie in het bijzonder §7.3.4.

21.

Zie §3.3.4.

22.

Zie §5.2.2 en uit §5.5 het aanknopingspunt ‘Alle grondrechten en vrijheden die in de EU worden erkend, kunnen relevant zijn bij de uitleg van de AVG-beveiligingsbepalingen.’

23.

Zie §5.2.5.1.

24.

Zie §5.2.5 en uit §5.5 het aanknopingspunt ‘Art. 5 lid 1 onder f en 32 AVG kunnen vanwege de rechten van verwerkingsverantwoordelijken en verwerkers niet meebrengen dat beveiliging absoluut moet zijn.’

25.

Zie §5.2.5.1 en uit §5.5 het aanknopingspunt ‘Art. 5 lid 1 onder f en 32 AVG kunnen vanwege de rechten van verwerkingsverantwoordelijken en verwerkers niet meebrengen dat beveiliging absoluut moet zijn.’

26.

Zie uit §3.6 het aanknopingspunt ‘Beveiliging kan nooit absoluut zijn, wat van invloed zal zijn op de invulling van een ‘passend beveiligingsniveau.’

27.

Zie §5.4.4.

28.

Dit hangt samen met de doelstelling van de AVG. Zie §5.3.2, §5.4.2 en uit §5.5 het aanknopingspunt ‘Vanwege de werking van de interne markt mogen er binnen de EU geen extra, nationale persoonsgegevensbeveiligingsverplichtingen worden opgelegd.’

29.

Zie uit §5.5 het aanknopingspunt ‘Vanwege de aanvullende harmoniserende werking die uitgaat van EU-breed geldende goedgekeurde gedragscodes en goedgekeurde certificeringsmechanismen, dragen zij bij aan de werking van de interne markt en moet er waarde aan worden gehecht bij de invulling van de AVG-beveiligingsbepalingen.’

30.

Zie §8.3.4, §5.4.3 en uit §5.5 het aanknopingspunt ‘De grondrechtelijke eisen aan persoonsgegevensbeveiliging vormen (in ieder geval) minimumeisen bij de invulling van art. 5 lid 1 onder f en 32 AVG en moeten worden gewaarborgd om de AVG aan het Handvest te laten voldoen. Het vrije verkeer van persoonsgegevens zal nooit een hoger beveiligingsniveau vereisen dan om grondrechtelijke redenen moet worden gewaarborgd.’