De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.4.3:6.4.3 Verduidelijking ‘risico’: de risicogebaseerde benadering

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.4.3

6.4.3 Verduidelijking ‘risico’: de risicogebaseerde benadering

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660932:1
Vakgebied(en): Privacy (V)

Binnen de context van art. 35 AVG spelen risico’s een essentiële rol. Risico’s zijn de reden dat verwerkingsverantwoordelijken een gegevensbeschermingsbeoordeling moeten verrichten, en zijn tegelijkertijd een kernelement bij deze boordeling. Ook in de context van veel andere AVG-bepalingen vervullen risico’s een sleutelrol. De AVG verplicht verwerkingsverantwoordelijken en verwerkers nergens tot het treffen van specifieke, in de wet beschreven, maatregelen, maar altijd tot het treffen van maatregelen waarmee de relevante risico’s worden beheerst. In de literatuur wordt de verordening daarom wel beschreven als een regeling met een risicogebaseerde benadering.1

Ondanks de kernrol van risico’s definieert de AVG de term ‘risico’ niet. De art. 29-werkgroep, die richtlijnen heeft opgesteld voor de uitvoering van gegevensbeschermingseffectbeoordeling, legt risico uit als een scenario dat een gebeurtenis en de gevolgen daarvan beschrijft, ingeschat in termen van ernst en waarschijnlijkheid. Deze uitleg komt overeen met de manier waarop dit begrip wordt gehanteerd binnen het informatiebeveiligingsdomein, en sluit ook aan op de manier waarop het Europees Comité voor gegevensbescherming het benadert.2

De AVG spreekt doorgaans over de risico’s voor de rechten en vrijheden van natuurlijke personen (zie voor de rechten en vrijheden die in dit kader het meest relevant zijn §5.2.3).3

Sommige auteurs bepleiten dat de afstemming van persoonsgegevensbescherming op de risico’s voor de rechten en vrijheden van natuurlijke personen niet samengaat met de focus van de AVG op de bescherming van rechten en vrijheden. Zij stellen zich op het standpunt dat deze focus meebrengt dat deze rechten en vrijheden moeten zijn beschermd ongeacht het risiconiveau.4 Het risiconiveau kan dan dus niet bepalend zijn bij de vaststelling van het beschermingsniveau. Zij betogen daarom dat de term ‘risico’ in de context van de AVG verwijst naar het risico op niet-naleving van deze verordening, ondanks de tekst van de AVG.5 Hiermee wordt gepoogd de risicogebaseerde benadering en rechten-gebaseerde invalshoek van de AVG samen te brengen.

Naar mijn mening is in de literatuur overtuigend beargumenteerd dat de term ‘risico’, conform haar gebruik in de AVG, verwijst naar de rechten en vrijheden van natuurlijke personen.6 Voor wat betreft het bovengenoemd bezwaar hiertegen, is daarbij allereerst relevant dat de bescherming van grondrechten niet vereist dat er geen enkele vorm van risico mag bestaan ten aanzien van deze rechten en vrijheden.7 Bovendien zijn de focus op de bescherming van grondrechten en vrijheden enerzijds en de risicogebaseerde benadering anderzijds verschillende aspecten van het persoonsgegevensbeschermingsrecht. Zij kunnen samengaan. Daarbij heeft de op rechtengebaseerde invalshoek betrekking op het beschermingsniveau dat de AVG bewerkstelligt en de risicogebaseerde benadering op de methode die zij hiertoe omarmt.8 Dat de term ‘risico’ niet de naleving van de AVG betreft, blijkt mijns inziens verder uit art. 32 AVG. Deze bepaling is, anders dan art. 35 AVG, niet gericht op de algemene naleving van de AVG. Zij gaat slechts over beveiliging. De algemene risico’s op de niet-naleving van de AVG zijn in deze context dan ook niet van belang. Toch zijn ook bij de toets die in de context van deze bepaling moet worden aangelegd, de ‘risico’s voor de rechten en vrijheden van natuurlijke personen’ immers een relevante factor.

Gezien de risicogebaseerde benadering van de AVG ligt het voor de hand dat ook de term ‘verwerkingsrisico’s’ uit art. 32 lid 2 AVG verwijst naar de risico’s voor de rechten en vrijheden van natuurlijke personen. Ook het te waarborgen beveiligingsniveau is dan gericht op de beheersing van de risico’s voor rechten en vrijheden. Dergelijke uitleg past ook bij art. 33 AVG, waaruit eveneens een relatie tussen het te waarborgen beveiligingsniveau en de rechten en vrijheden blijkt. Deze bepaling brengt mee dat beveiligingsincidenten die een risico inhouden voor de rechten en vrijheden van natuurlijke personen bij natuurlijke personen moeten worden gemeld. Overigens is art. 32 lid 2 AVG niet noodzakelijk beperkt tot de beheersing van de risico’s voor grondrechten. Mogelijk moet de term risico in deze context nog iets breder worden getrokken, en zijn daarbij ook de gevolgen ervan voor de gehele maatschappij van belang.9

Beveiliging moet dus met name zijn gericht op het voorkomen van incidenten die de grondrechten van betrokkenen schenden. Dit betekent, zo is gebleken uit hoofdstuk 5, dat de waarborging van de vertrouwelijkheid en (in iets mindere mate) integriteit van de gegevens voorop staat. Beschikbaarheid is doorgaans van minder groot belang.10

Toon alle voetnoten

Voetnoten

Voetnoten

Ook wordt de term ‘risicogebaseerde regulering’ gebruikt. Zie over de risicogebaseerde benadering van de AVG in het bijzonder Gellert 2018; Demetzou 2020-II; Gellert 2020. Zie voor een overzicht van de nadelen van risicogebaseerde regulering Jansen e.a. 2011, §3. Zie ook bijv. Barendrecht 1992, hfdst. II.D en Reed 2007, §3; Black, Hopper & Band 2007. Zie verder: Black 2010, p. 6; Maxwell 2015, p. 212-213. Zo bestaat bijvoorbeeld het risico dat de normadressaat met name zijn economische belangen als doorslaggevende factor ziet (Rapport Doelgericht wetgeven 2009, p. 44).

Art. 29-werkgroep 2017, WP 248rev.01, p. 7; Europees Comité voor gegevensbescherming 2020, richtsnoeren 4/2019, pt. 28-31. Zie over dit begrip in de informatiebeveiligingspraktijk §3.4.3.

Ook in art. 24 en 25 lid 1 AVG komt dit terug. Zie ook Hallinan & Martin 2020.

Gellert 2017, p. 529. Zie in dit kader ook Macenaite 2017.

Zie over deze twee lezingen Gellert 2017; Gellert 2018; Demetzou 2020-II; Hallinan & Martin 2020.

Deze uitleg past ook bij de relatie tussen de verantwoordingsplicht en de risicogebaseerde benadering (Macenaite 2017, i.h.b. p. 524-525; Demetzou 2020-II). Overigens speelt grondrechtenwaarborging ook een rol bij de op-naleving-gerichte-visie op risico: de niet-naleving van de AVG zal doorgaans bestaan uit de schending van de grondrechten en fundamentele rechten. Zie hierover Gellert 2017, p. 530. Demetzou stelt dat dit nog niet meebrengt dat aangenomen kan worden dat ‘risico’ verwijst naar non-compliance risico’s (Demetzou 2020-II, p. 140).

In gelijke zin Quelle 2015, p. 4. Zie §5.2.2.2.

Demetzou 2020-II, p. 140. Zie voor meer argumenten tegen de zogenoemde non-compliance lezing van het risicobegrip Hallinan & Martin 2020, p. 184-187.

Art. 29-werkgroep 2014, WP 218, pt. 8. Hierin heeft de art. 29-werkgroep het begrip ‘risico’ toegelicht. Dat het hierbij ook gaat om de gevolgen voor de gehele maatschappij, is benoemd bij de beschrijving van de risicogebaseerde benadering van de gehele AVG, maar lijkt hierna niet in deze breedte te zijn gehandhaafd. Nu risico’s voor de maatschappij niet direct de grondrechten en vrijheden van natuurlijke personen betreffen, maar wel verwerkingsrisico’s zijn, is het goed mogelijk dat zij wel moeten worden meegenomen in het kader van art. 32 lid 2 AVG.

10.

Zie §5.2.3, §5.2.4 en §5.5.