De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.3.2:8.3.2 De waarborging van het beveiligingsniveau: een resultaatsverplichting

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/8.3.2

8.3.2 De waarborging van het beveiligingsniveau: een resultaatsverplichting

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

De resultaatsverplichting

Op basis van mijn onderzoek kom ik tot de conclusie dat de verplichting tot de waarborging van het passende beveiligingsniveau een resultaats­verplichting is. Zoals de tekst van de AVG-beveiligingsbepalingen (‘waarborgen’) al impliceert, moeten verwerkings­­verant­woordelijken en verwerkers het passende beveiligingsniveau daadwerkelijk tot stand brengen.1 Het alleen verrichten van een redelijke inspanning hiertoe is onvoldoende. Het gaat hier dan ook om ook een strenge verplichting.

De achtergrond van de resultaatsverplichting

Mijn conclusie dat de verplichting tot de waarborging van het passende beveiligingsniveau een resultaatsverplichting is, hangt vooral samen met de doelstelling van de AVG, in het bijzonder met de grondrechtelijke achtergrond. De AVG reguleert inmengingen in het recht op de bescherming van persoons­gegevens. 2 Voor de rechtvaardiging hiervan vereist het Handvest (onder meer) dat er garanties worden geboden om persoons­gegevens doeltreffend te beschermen tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens.3 Er moet, met andere woorden, doeltreffend worden beveiligd tegen in ieder geval alle integriteits- en vertrouwelijkheids­incidenten. Het beveiligingsniveau dat hieruit voortvloeit (zie ook §8.3.4) moet te allen tijde worden gewaarborgd. Deze eis is streng: het HvJ EU kan een regeling die dit niet doet ongeldig verklaren (wat bijvoorbeeld is gebeurd met de Dataretentierichtlijn).4 Nu de AVG-beveiligingsbepalingen, die tot deze waarborging moeten leiden, minimumeisen bevatten,5 zullen deze eisen dan ook zo moeten worden uitgelegd dat ze doeltreffend beschermen tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens. Anders zou er immers sprake zijn van een ongerechtvaardigde inmenging in het recht op de bescherming van persoonsgegevens. De verplichting tot de waarborging van het passende beveiligingsniveau komt dan ook neer op de verplichting tot de waarborging van het beveiligingsniveau dat uit grondrechtelijk perspectief noodzakelijk is (zie ook §8.3.4).6 Een inspanningsverbintenis laat zich hiermee niet verenigen.7

Ook andere door mij geformuleerde aanknopingspunten duiden erop dat art. 5 lid 1 onder f en 32 AVG verplichten tot het behalen van een resultaat. Zo kunnen de (financiële) mogelijkheden van verwerkings­verantwoordelijken en verwerkers niet tot gevolg hebben dat de beveiliging die zij op basis van andere omstandigheden moeten waarborgen, omlaaggaat (zie meer in §8.3.3).8 Het blijkt ook uit andere contexten, voornamelijk uit het systeem van de AVG. Zo kunnen verwerkingsverantwoordelijken en verwerkers zich niet achter elkaar verschuilen wat betreft de waarborging van het passende beveiligingsniveau. Beiden zijn hiervoor verantwoordelijk, tenzij een van hen aantoont dat op geen enkele wijze te zijn. Het maken van afspraken, waarbij een ander verantwoordelijk wordt gemaakt, is in dit kader niet voldoende – hoewel hieruit wel een bepaalde mate van inspanning kan blijken.9 Tot slot is de conformiteit met een (goedgekeurde) gedragscode of certificeringsmechanisme slechts een element voor het bewijs dat er aan de AVG-beveiligingsbepalingen is voldaan. Hoewel het aansluiten hierbij blijk geeft van een redelijke inspanning, doet deze aansluiting (in de bewoording van de AVG) niets af aan de verplichtingen van verwerkings­verantwoordelijken en verwerkers om de AVG na te leven (zie ook §8.4.4).10 Ook dan moeten zij, met andere woorden, nog steeds passende beveiliging waarborgen. Oftewel: ‘resulteren’ in het passende beveiligingsniveau.

Implicaties resultaatsverplichting

Dat de waarborging van het passende beveiligingsniveau een resultaatsverplichting is, houdt niet in dat verwerkingsverantwoordelijken en verwerkers moeten waarborgen dat er nooit beveiligingsinbreuken plaatsvinden (zie hierover §8.3.4). Betrokkenen kunnen de schade die zij leiden door een beveiligingsincident dan ook alleen verhalen als verwerkingsverantwoordelijken en verwerkers geen passende beveiliging hebben gewaarborgd. 11 Zodra de drempel ‘passend’ succesvol is genomen, kan er geen sprake zijn van aansprakelijkheid op grond van art. 5 lid 1 onder f en 32 AVG (jo. art. 82 AVG). De zogenoemde ‘restrisico’s’ van beveiligingsgebreken liggen, met andere woorden, bij de betrokkenen en de anderen die van zulke gebreken en incidenten nadeel ondervinden.12

Verder blijkt uit het systeem van de AVG dat het karakter van de AVG-beveiligingsverplichtingen ook niet wegneemt dat toezichthouders, bij de keuze voor hun sanctie, waarde mogen hechten aan de inspanningen die een verwerkingsverantwoordelijke of verwerker al dan niet heeft verricht. Zij mogen immers waarde hechten aan iedere omstandigheid.13

Ten slotte hoeft voor een schending van art. 5 lid 1 onder f en 32 AVG niet per se sprake te zijn van een beveiligingsincident. Ook zonder een inbreuk kan een beveiligingsniveau niet passend zijn.14

Deze functie is alleen te gebruiken als je bent ingelogd.