De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.3.2:4.3.2 OESO-richtlijnen

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.3.2

4.3.2 OESO-richtlijnen

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

In 1980, zeven resp. vijf jaar nadat de Raad van Europa de hierboven besproken resoluties in 1973 en 1975 vaststelde, presenteerde de Organisatie voor Economische Samen­werking en Ontwikkeling (OESO) haar ‘Guidelines on the Protection of Privacy and Transborder Flows of Personal Data’.1 Ook uit deze richtlijnen, die ook tegenwoordig nog (in aangepaste vorm) gelden,2 volgen enkele privacy­beginselen die nationale wetgevers dienen te waarborgen.3 Deze beginselen moeten onder meer de misbruik en openbaarmaking van gevoelige data voorkomen en datasubjecten rechten geven ten aanzien van gegevens die over hen gaan.4 De richtlijnen zijn niet bindend.5

Net als de privacy-resoluties van de Raad van Europa zijn de OESO-richtlijnen bedoeld om een minimumniveau van gegevens­bescherming te creëren en gegevens­beschermings­regimes gelijk te trekken.6 Het verschil met de resoluties van de Raad is dat aan de OESO-richtlijnen nadrukkelijk economische redenen ten grondslag liggen.7 De richtlijnen dienen er in het bijzonder toe de barrières voor het grensoverschrijdende verkeer van persoons­gegevens weg te nemen, en zo verstoringen van de economie te voorkomen.8 Dit verschil is te verklaren vanuit de doelstellingen van enerzijds de Raad van Europa en anderzijds de OESO. Deze laatste is primair gericht op economische samenwerking, terwijl de Raad zich vooral bezighoudt met fundamentele rechten en vrijheden. Overigens zijn grondrechten in dit kader van de OESO-richtlijnen wel van belang: om de economische doelstellingen te bereiken bevatten deze richtlijnen een internationale consensus over de verhouding tussen het fundamentele recht op privacy en het voorkomen van een belemmering van het vrije grensoverschrijdende verkeer van persoonsgegevens.9

Voor wat betreft de inhoud van de OESO-richtlijnen zijn in het bijzonder de privacy­beginselen van belang. Nationale wetgevers worden verzocht deze minimumstandaarden in hun (al dan niet nog in te voeren) gegevensbeschermingsrecht te implementeren.10 Verder worden zij ontmoedigd om het grensoverschrijdende gegevensverkeer verder te beperken dan nodig is om het recht op privacy te waarborgen.11 De in de richtlijn overeengekomen beginselen zijn van toepassing op iedere verwerking van persoons­gegevens (anders dan de beginselen uit de privacy-resoluties van de Raad, die zijn beperkt tot verwerkingen met betrekking tot elektronische databanken).12

Een van de beginselen uit de OESO-richtlijnen betreft de beveiliging van persoonsgegevens. Dit security safeguard principle bepaalt dat persoons­gegevens door middel van redelijke beveiligings­maatregelen zouden moeten worden beschermd (‘should be protected’) tegen risico’s als verlies, ongeautoriseerde toegang, vernietiging, gebruik, aanpassing en openbaarmaking.13 Deze bescherming kan worden geboden met onder meer fysieke maatregelen (zoals afgesloten deuren), organisatorische maatregelen (zoals beperkte toegang aan de hand van autorisatie­niveaus) en informationele maatregelen (zoals het monitoren van ongebruikelijke activiteiten).14 Uit de toelichtingen op de richtlijnen blijkt dat het beveiligingsbeginsel in ieder geval meebrengt dat personen die zich bezighouden met dataverwerking de vertrouwelijkheid moet behouden.15 De verantwoordelijkheid voor het uitvoering geven aan de privacybeginselen zou moeten liggen bij de data controller; degene die volgens het nationale recht kan beslissen over de inhoud en het gebruik van persoonsgegevens.16 Er wordt, anders dan in de resolutie voor de private sector van de Raad van Europa, nergens in de richtlijnen gesproken over een mogelijke beveiligingsplicht voor ontwikkelaars van software en hardware.17

Deze functie is alleen te gebruiken als je bent ingelogd.