De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.3:7.3.3 Art. 4 E-privacyrichtlijn

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.3

7.3.3 Art. 4 E-privacyrichtlijn

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

In 2002 is de E-Privacyrichtlijn in werking getreden. Deze richtlijn, die (tot op heden) bestaat naast het algemene persoonsgegevens­beschermings­recht,1 bevat een specifieke gegevensbeschermings­regeling voor elektronische communicatiediensten en openbare communicatienetwerken.2

De E-privacyrichtlijn heeft, toegespitst op de elektronische communicatiesector, vrijwel dezelfde doelstelling als de AVG (en nog meer als de Dataprotectie­richtlijn).3 Deze doelstelling is dubbel. De richtlijn dient er ten eerste toe door middel van harmonisatie een gelijk niveau te waarborgen van bescherming van de fundamentele rechten en vrijheden ten aanzien van de verwerking van persoonsgegevens in de telecommunicatiesector. Daarnaast beoogt zij een vrij verkeer van deze gegevens en de telecommunicatieapparatuur- en diensten in de (inmiddels) EU te bewerkstelligen.4 Daarbij moeten in het bijzonder art. 7 en 8 van het Handvest in acht worden genomen.5 De E-Privacyrichtlijn bevat (inmiddels) een beveiligingsbepaling die vergelijkbaar is met die uit de AVG, en nog sterker met die uit de Dataprotectierichtlijn.6 Zij is omgezet in art. 11.3 Tw. Gezien de doelstelling van dit hoofdstuk ga ik hierna alleen in op de norm uit de richtlijn, en dus niet op de Nederlandse omzettingswet.

Op grond van art. 4 lid 1 van de E-Privacyrichtlijn dienen lidstaten aanbieders van openbare elektronische-communicatie­diensten te verplichten tot het treffen van passende technische en organisatorische maatregelen om de veiligheid van hun diensten te garanderen. Wanneer een ander het openbare telecommunicatienetwerk ter beschikking stelt dat zij bij deze dienstverlening gebruiken, moet de aanbieder van de dienst met de aanbieder van het netwerk overleggen over de maatregelen die voor de veiligheid van het netwerk worden getroffen. De maatregelen dienen een beveiligingsniveau te waarborgen dat in verhouding staat tot het betrokken risico, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de maatregelen. Uit de preambule van de richtlijn blijkt dat de beveiliging moet worden beoordeeld in het licht van art. 17 van de Dataprotectierichtlijn.7 Inmiddels zal zij moeten worden beoordeeld in het licht van art. 32 AVG.8

Art. 4 E-Privacyrichtlijn is veranderd ten gevolge van de inwerkingtreding van de Richtlijn Burgerrechten. De bepaling is niet langer getiteld als ‘beveiliging’, maar als ‘beveiliging van de verwerking’. Verder is lid 1bis toegevoegd, die nadrukkelijk op de beveiliging van persoonsgegevens ziet. Dit lid bevat een lijst van resultaten die aanbieders van openbare elektronische-communicatie­diensten met hun beveiligingsmaatregelen (onverminderd art. 32 AVG) moeten bereiken:9

i.

de waarborging dat alleen gemachtigde personen voor wettelijk toegestane doeleinden toegang hebben tot de persoonsgegevens;

ii.

de bescherming van opgeslagen of verzonden persoonsgegevens tegen onbedoelde of onwettige vernietiging, onbedoeld verlies of wijziging en niet-toegestane of onwettige opslag, verwerking, toegang of vrijgave, en

iii.

de invoering van een beveiligingsbeleid met betrekking tot de verwerking van persoonsgegevens.

Het onder ii genoemde is zeer breed en brengt eigenlijk mee dat persoonsgegevens tegen alle integriteits- en vertrouwelijkheids­gevaren en sommige van de beschikbaarheidsgevaren moet worden beveiligd. Dit staat op een vergelijkbare manier in de AVG-beveiligingsbepalingen en biedt dus geen verder inzicht in art. 5 lid 1 onder f en 32 AVG.10 Het onder i genoemde maakt duidelijk dat access control niet alleen dient te worden beperkt tot bepaalde personen, maar ook tot de doelen waarvoor zij de toegang kunnen hebben.11 In dit kader kunnen verwerkings­verantwoordelijken en verwerkers bijvoorbeeld organisatorische maatregelen treffen. Het onder iii genoemde verduidelijkt dat er altijd een beveiligingsbeleid moet worden opgesteld.

Anders dan art. 32 AVG, bepaalt art. 4 E-privacyrichtlijn niet dat de genoemde maatregelen alleen hoeven te worden getroffen ‘indien passend’.12 Zij moeten dus altijd worden getroffen. Art. 4 E-privacyrichtlijn is hierdoor minder open dan art. 5 lid 1 onder f en 32 AVG. Waarschijnlijk ligt de verklaring hiervoor in het toepassingsbereik van de richtlijn. Doordat deze richtlijn is toegespitst op telecommunicatiediensten en -netwerken, heeft de EU-wetgever zelf een algemene beoordeling kunnen maken van de risico’s en overige omstandigheden en kunnen beslissen dat op basis daarvan altijd bovengenoemde maatregelen moeten worden getroffen. Omdat de AVG van toepassing is op kleine, simpele verwerkingen met weinig risico’s voor de rechten en vrijheden van natuurlijke personen én op verwerkingen met grote risico’s, is het in de context van deze verordening niet mogelijk dergelijke algemene conclusies te trekken. In de context van art. 4 E-privacyrichtlijn kunnen omstandigheden overigens meebrengen dat het garanderen van deze drie aspecten niet voldoende is om te voldoen aan (in ieder geval) art. 11.3 Tw, zo heeft de wetgever aangegeven.13

De Europese Commissie heeft op 10 januari 2017 een voorstel voor de E-privacyverordening ingediend. In 2021 is er binnen de Raad overeenstemming bereikt over een tekstvoorstel. Als de E-privacyverordening in werking treedt, gaat dit gepaard met de intrekking van de E-privacyrichtlijn. De verordening zal naar alle waarschijnlijkheid geen aparte beveiligingsverplichting voor verstrekkers van een algemeen beschikbare telecommunicatiedienst bevatten.14 Het is echter nog de vraag of de E-privacyverordening daadwerkelijk zal worden afgekondigd. Op dit moment is de EU-wetgever nog bezig met het aanpassen en verder vormen van de verordening.15

Deze functie is alleen te gebruiken als je bent ingelogd.