De beveiliging van persoonsgegevens
Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.4:7.4 Conclusie
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.4
7.4 Conclusie
Documentgegevens:
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660880:1
- Vakgebied(en)
Privacy (V)
Toon alle voetnoten
Voetnoten
Voetnoten
Zie over ‘indien passend’ §2.2.1.
Zie bijv. §7.3.1.2 en verder §7.3.2 en §7.3.3.
Zie bijv. §7.3.3, §7.3.5.2 (maar vooral het nieuwe voorstel, §7.3.5.4) en §7.3.5.3.
Zie §7.3.2 en 7.3.3.
Zie §7.3.1.2 en §7.3.5.
Zie §7.3.1.2.
Zie §7.3.3.
Zie §7.3.3.
Zie §7.3.4.
Zie §7.3.5.2.
Zie §7.3.5.3.
Zie §2.2.1.
Zie in dit kader ook §3.4.3 en §4.5.1.
Zie §7.3.5.3.
Zie over deze doelstelling hfdst. 5.
Zie resp. §7.3.1, §7.3.2 en §7.3.3.
Zie §7.2.2.2.
Zie §7.3.1.
Zie §7.3.3.
Zie hfdst. 5, bijv. §5.2.3.2.
Zie §7.3.5.2.
Zie §7.3.5.2 en §7.3.5.5.
Deze functie is alleen te gebruiken als je bent ingelogd.
In dit hoofdstuk heb ik meerdere bepalingen geanalyseerd met een opzet en kern die vergelijkbaar is met die van art. 5 lid 1 onder f en 32 AVG. Daarbij heb ik steeds aangegeven of, en zo ja, hoe zij inzicht kunnen bieden in de AVG-beveiligingsbepalingen. Gebleken is dat zij houvast bieden bij de invulling van art. 5 lid 1 onder f en 32 AVG, maar dat hun verdere invulling niet een-op-een toepasbaar is.1 In deze conclusie bekijk ik welke aanknopingspunten de door mij besproken bepalingen al met al bieden voor de invulling van art. 5 lid 1 onder f en 32 AVG.
Het is mogelijk de verplichting tot het treffen van ‘passende technische en organisatorische beveiligingsmaatregelen’ op een open wijze te concretiseren.
Alle door mij besproken artikelen bepalen dat er passende technische en organisatorische maatregelen moeten worden getroffen. Ten aanzien van de meeste regelingen geeft de EU-wetgever al in de wet meer houvast voor het treffen van deze maatregelen. Drie andere bepalingen die op persoonsgegevensbeveiliging zien, art. 91 Verordening 2018/1725, art. 29 Richtlijn 2016/680 en art. 4 E-privacyrichtlijn, geven bijvoorbeeld concreter aan hoe persoonsgegevens in alle situaties die onder deze regelingen vallen (en dus niet alleen ‘waar passend’2) concreter moeten worden beveiligd.3 Ook de verplichtingen die niet zien op de beveiliging van persoonsgegevens, maar op die van systemen en diensten, zijn verder ingevuld dan art. 5 lid 1 onder f en 32 AVG.4
Als de EU-wetgever de verplichting tot het treffen van passende technische en organisatorische maatregelen verder uitwerkt, houdt hij vaak vast aan de systematiek van open formuleringen. Uit de wet volgt meestal niet welke maatregelen precies moeten worden genomen, maar blijkt in meer algemene termen wat zij moeten bereiken. Zie bijv. art. 91 Verordening 2018/1725 en art. 29 Richtlijn 2016/680, waaruit blijkt dat verwerkingsverantwoordelijken en verwerkers onder meer moeten “verhinderen dat onbevoegden toegang krijgen tot gegevensverwerkingsapparatuur”.5 Dit verduidelijkt dat zij toegangsmaatregelen moeten treffen, maar niet of het voldoende is als ze deze apparatuur bewaren in een met een sleutel afgesloten ruimte, of dat er meer maatregelen nodig zijn.
De open formulering van art. 5 lid 1 onder f en 32 AVG hangt samen met het ruime toepassingsbereik van deze bepalingen.
De regelingen waarin beveiligingsverplichtingen verder zijn geconcretiseerd, kennen een beperkter toepassingsbereik dan de AVG. Voor wat betreft de verplichting tot het beveiligen van persoonsgegevens zijn, naast art. 5 lid 1 onder f en 32 AVG, ook art. 91 Verordening 2018/1725, art. 29 Richtlijn 2016/680 en art. 4 E-privacyrichtlijn van belang. Anders dan de AVG-bepalingen, betreffen deze regelingen specifieke normadressaten en situaties.6 Dat de EU-wetgever de verplichtingen die uit art. 91 Verordening 2018/1725 en 4 E-privacyrichtlijn voortvloeien op een absolutere wijze heeft ingevuld dan die van art. 5 lid 1 onder f en 32 AVG, heeft mijns inziens te maken met dit beperktere toepassingsbereik. Een kleiner toepassingsbereik maakt het immers gemakkelijker om, ten aanzien van alle onder de regeling vallende situaties, aan te geven wat er (ongeveer) moet gebeuren.
Bij het nader invullen van persoonsgegevensbeveiligingsverplichtingen zijn vooral de aard van de verwerkte gegevens en de context van de verwerking van belang.
De regelingen waarin een persoonsgegevensbeveiligingsverplichting verder is uitgewerkt zien slechts op persoonsgegevensverwerkingen in een bepaalde context: art. 29 Richtlijn 2016/680 en art. 91 Verordening 2018/1725 betreffen (anders dan art. 4 en 33 van deze verordening, die niet verder zijn ingevuld) alleen gegevens die in een specifieke context worden verwerkt door instellingen, organen en instanties van de EU,7 art. 4 E-privacyrichtlijn ziet alleen op de gegevens die worden verwerkt door aanbieders van elektronische communicatiediensten in de context van elektronische communicatie.8 Wanneer de context van een verwerking vaststaat, is het – met andere woorden – mogelijk een verplichting verder te concretiseren. Oftewel, het is dan beter aan te geven wanneer iets passend is. Dat de aard van de gegevens hierbij ook van groot belang is, blijkt expliciet uit art. 91 van Verordening 2018/1725 en art. 29 Richtlijn 2016/680. Uit deze bepaling blijkt dat ook wanneer de context waarbinnen persoonsgegevens worden verwerkt gevoelig is, beveiliging met name betrekking moet hebben op de verwerking van bijzondere categorieën persoonsgegevens.
De concretiseringen ten aanzien van andere beveiligingsbepalingen bieden inzicht bij de invulling van art. 5 lid 1 onder f en 32 AVG, vooral wanneer deze laatste bepalingen situaties met een vergelijkbare context regelen.
De wijze waarop beveiligingsverplichtingen door de EU-wetgever zijn geconcretiseerd, is veelal nog dusdanig open dat deze aanwijzingen ook toegepast kunnen worden in situaties met een qua risico’s vergelijkbare context en aard.
Gedetailleerdere beveiligingsaanwijzingen zijn bovendien slechts van belang voor de invulling van de AVG indien de situatie in hoge mate vergelijkbaar is. Zo zijn de zeer algemene richtlijnen van art. 4 E-privacyrichtlijn naar mijn mening van belang voor alle verwerkingen van enige omvang, en zullen de aanwijzingen uit art. 91 Verordening 2018/1725 en art. 29 Richtlijn 2016/680 – die identiek aan elkaar zijn – vooral van belang zijn bij verwerkingen van persoonsgegevens in een gevoelige of risicovolle context door overheidsorganen (zie ook het volgende aanknopingspunt). Ook moet worden gekeken naar de achtergrond van de regeling waarvan de beveiligingsbepaling verder is uitgewerkt. De maatregelen uit de NIB-richtlijn betreffen vooral de continuïteit van systemen en diensten, en zijn voor wat betreft de invulling van art. 5 lid 1 onder f en 32 AVG daarom vooral van belang in gevallen waarin de continuïteit van systemen en diensten speelt.
Het beste kan per maatregel worden bekeken op welke wijze zij bijdraagt aan de realisatie van het doel van de betreffende regeling en vervolgens in hoeverre deze bijdrage ook van belang is voor de realisatie van de AVG-doelen. Doordat de beveiliging van persoonsgegevens, net als de beveiliging van essentiële diensten en digitale diensten, vereist dat alle betrokken (ICT-)infrastructuur wordt beveiligd, zullen de meeste ook inzicht geven in de beveiliging van persoonsgegevensverwerkingen.
Bij de beveiliging van persoonsgegevens staat het tegengaan van integriteits- en vertrouwelijkheidsschendingen voorop.
Zoals in het vorige aanknopingspunt naar voren kwam, kennen art. 91 Verordening 2018/1725 en art. 29 Richtlijn 2016/680 een (inhoudelijk) gelijkluidende lijst met te treffen maatregelen (zie hieronder). Uit deze lijst blijkt dat vooral het voorkomen van bepaalde vertrouwelijkheids- en integriteitsinbreuken voorop staat. Hoewel ook de beschikbaarheid en veerkracht van systemen wordt genoemd, en verwerkingsverantwoordelijken en verwerkers in dit kader bijvoorbeeld ook maatregelen met een herstellend vermogen moeten treffen, is het overgrote deel van de genoemde maatregelen gerelateerd aan de beveiliging van de integriteit en vertrouwelijkheid van de betreffende gegevens. De maatregelen die zijn genoemd zijn de volgende:
“te verhinderen dat onbevoegden toegang krijgen tot verwerkingsapparatuur („controle op de toegang tot de apparatuur”);
te verhinderen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen („controle op de gegevensdragers”);
te verhinderen dat onbevoegden persoonsgegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen („opslagcontrole”);
te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur („gebruikerscontrole”);
ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft („controle op de toegang tot de gegevens”);
ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissieapparatuur („transmissiecontrole”);
ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in geautomatiseerde verwerkingssystemen zijn ingevoerd („invoercontrole”);
te verhinderen dat onbevoegden persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers („transportcontrole”);
ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet („herstel”);
ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd („betrouwbaarheid”) en dat opgeslagen persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem („integriteit”).”
Het te waarborgen beveiligingsniveau komt neer op de beheersing van risico’s. De maatregelen moeten zorgen voor een beveiligingsniveau dat gezien de stand van de techniek het te waarborgen beveiligingsniveau waarborgt.
Het beveiligingsniveau dat op basis van de door mij behandelde bepalingen moet worden gewaarborgd, is altijd op de risico’s afgestemd. Uit verschillende regelingen blijkt dat de stand van de techniek hierbij van belang is:
op grond van art. 4 E-privacyrichtlijn moeten de maatregelen de veiligheid van diensten garanderen. Zij dienen daarbij een beveiligingsniveau te waarborgen dat in verhouding staat tot het betrokken risico, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de maatregelen.9
op grond van art. 40 Herschikkingsrichtlijn moeten de risico’s voor de veiligheid van netwerken of diensten goed worden beheerst. Deze maatregelen zorgen, gezien de stand van de techniek, voor een veiligheidsniveau dat is afgestemd op de risico’s die zich voordoen.10
op grond van art. 14 NIB-richtlijn moeten lidstaten essentiële dienstverleners verplichten tot het treffen van maatregelen om de risico’s te beheersen voor de beveiliging van de netwerk- en informatiesystemen die zij bij hun activiteiten gebruiken. De maatregelen moeten, met inachtneming van de stand der techniek, een beveiligingsniveau waarborgen dat gezien de risico’s passend is.11
op grond van art. 16 NIB-richtlijn dienen lidstaten digitaledienstverleners te verplichten de risico’s voor de beveiliging van de netwerk- en informatiesystemen waarmee zij diensten aanbieden, te identificeren en passende en evenredige technische en organisatorische maatregelen te treffen om deze risico’s te beheersen. Dit moet, gezien de stand van de techniek, in een op de risico’s afgestemd beveiligingsniveau resulteren.12
Uit het bovenstaande blijkt dat EU-cyberbeveiligingsnormen steeds een vergelijkbare systematiek hebben. Hierbij zijn de bij de beveiliging mee te nemen elementen iets meer opgesplitst dan in art. 32 AVG, waarin zij vrijwel allemaal in één opsomming worden genoemd.13 In deze systematiek hangt het uiteindelijk te waarborgen beveiligingsniveau onder meer af van de stand van de techniek. Terwijl art. 32 AVG lijkt mee te brengen dat de stand van de techniek vooral van belang is bij de keuze voor specifieke maatregelen, kan uit een gezamenlijke lezing van alle bovenstaande bepalingen worden geconcludeerd dat de stand van de techniek ook van belang is voor het uiteindelijk te waarborgen beveiligingsniveau. Dat is ook niet vreemd: de stand van de techniek brengt immers onder meer mee welke risico’s er bestaan.14 Tegelijkertijd betekent dit dat, als de stand van de techniek meebrengt dat er geen maatregelen zijn die bepaalde risico’s kunnen wegnemen, het niet per se zo is dat de activiteit die moet worden beveiligd geen doorgang kan vinden. De maatregelen moeten dan passend zijn gezien de stand van de techniek. Objectieve onmogelijkheid tot beveiliging lijkt zodoende niet mee te brengen dat een verwerking niet mag plaatsvinden.
Bij de beoordeling van risico’s is de mogelijke impact van een beveiligingsincident van groot belang, mogelijk ook ongeacht de kans dat een incident zich voordoet.
Uit hoofdstuk 3 en 6 is gebleken dat de term ‘risico’ in de context van zowel het informatiebeveiligingsdomein wordt uitgelegd als de kans maal de impact. Bij de beoordeling van de risico’s die moeten worden beheerst in een concreet geval, moet dan ook zowel worden gekeken naar de kans dat een bepaald beveiligingsincident zich voordoet als naar de impact ervan indien het zich voordoet.
In de context van de NIB-richtlijn is het opvallend dat de EU-wetgever heeft overwogen dat er voor digitaledienstverleners minder strenge beveiligingseisen dienen te gelden dan voor essentiële dienstverleners, omdat hun belang voor de activiteiten en andere ondernemingen binnen de EU minder groot is dan die van essentiële dienstverleners.15 Hiermee legt de EU-wetgever kort gezegd uit dat de impact van een beveiligingsincident bij digitaledienstverleners voor de realisatie van het doel van de NIB-richtlijn van minder groot belang is dan de impact van een beveiligingsincident bij essentiële dienstverleners, en dat dit minder strenge beveiligingsmaatregelen rechtvaardigt. Aan de kans op dergelijke incidenten wordt daarbij niet gerefereerd. Voor de invulling van art. 5 lid 1 onder f en 32 AVG betekent dit mogelijk dat verwerkingsverantwoordelijken en verwerkers risico’s betreffende zogenoemde ‘high-impact, low-probability events’ niet te gemakkelijk mogen aanvaarden, zeker niet wanneer deze risico’s relateren aan de doelstelling van de AVG.16
Beveiliging vereist doorgaans beveiliging van alle betrokken (ICT-)infrastructuur en het gehele verwerkingsproces, in het bijzonder als er een hoog risiconiveau is.
In de context van vrijwel alle behandelde beveiligingsbepalingen is er op de een of andere manier nadere invulling gegeven aan de op basis van deze bepalingen te treffen maatregelen. Het interessantst in dit kader zijn de aanwijzingen van de EU-wetgever. Zoals ik hiervoor al aanstipte, heeft deze zich in de context van persoonsgegevensbeveiliging uitgelaten over de op grond van art. 91 Verordening 2018/1725, de op grond van de art. 29 Richtlijn 2016/680 en de op grond van art. 4 E-privacyrichtlijn te treffen maatregelen.17 Verder biedt de Cyberbeveiligingsverordening inzicht in de maatregelen die kunnen worden getroffen om beveiliging te waarborgen.18 In het bijzonder zijn deze eerste twee regelingen interessant gezien hun gedetailleerdheid.
De aanwijzingen uit de verschillende regelingen hebben veel gelijkenissen. Duidelijk is dat zij vereisen dat het gehele verwerkingsproces wordt beveiligd en dat ook het gehele proces wordt beveiligd. Dit betekent onder meer dat er herstelmaatregelen moeten worden getroffen. Verder zal waarschijnlijk in ieder geval controle moeten worden uitgeoefend op de toegang tot gegevens, de toegang tot de apparatuur waarmee verwerkingen worden verricht, de toegang tot gegevensdragers en het transport van gegevens.19 De aanwijzingen uit deze bepalingen zijn waarschijnlijk vooral van toepassing op verwerkingen die een hoog risico meebrengen en worden verricht door de overheid – daarop zijn art. 91 van Verordening 2018/1725 en art. 29 van Richtlijn 2016/680 immers van toepassing. Waarschijnlijk gelden dezelfde eisen voor verwerkingen die een hoog risico meebrengen en worden verricht door private partijen. De eisen uit de bovengenoemde regelingen komen ook in grote lijnen terug in de Cyberbeveiligingsverordening.
Uit de E-privacyrichtlijn blijkt verder dat verwerkingsverantwoordelijken en verwerkers in ieder geval een beveiligingsbeleid moeten invoeren en maatregelen moeten treffen die regelen dat de gegevens alleen toegankelijk zijn voor gemachtigden.20 Gezien het doorgaans minder gevoelige karakter van dergelijke communicatiegegevens,21 zullen deze maatregelen waarschijnlijk eerder moeten worden getroffen – oftewel, ook als de context van gegevens minder gevoelig is.
Een mogelijke toets voor de ‘passendheid’ van beveiligingsmaatregelen is: zijn de maatregelen effectief, op maat gemaakt, compatibel, evenredig, concreet en inclusief (en eventueel verifieerbaar)?
De NIB-samenwerkingsgroep heeft zich uitgelaten over de invulling van de term ‘passende beveiligingsmaatregelen’ in de context van de NIB-richtlijn. Volgens deze richtlijnen (die dus niet uit officiële regelgeving volgen) zijn maatregelen passend als zij effectief, op maat gemaakt, compatibel, evenredig, concreet, inclusief en verifieerbaar zijn.22 Deze eigenschappen kunnen ook houvast bieden bij de beoordeling van de passendheid van AVG-beveiligingsmaatregelen. Zij staan los van de achtergrond van de NIB-richtlijn en relateren grotendeels sterk aan specifieke onderdelen van art. 5 lid 1 onder f en 32 AVG.23 Ik heb de eisen daarvan en de relatie tot de AVG-beveiligingsbepalingen uiteengezet in §7.3.5.5. In hoofdstuk 8 ga ik verder op de toets in.