De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.5.1:6.5.1 Algemeen: art. 40 en 42 AVG

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.5.1

6.5.1 Algemeen: art. 40 en 42 AVG

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660867:1
Vakgebied(en): Privacy (V)

Verwerkingsverantwoordelijken en verwerkers kunnen zich met hun beveiliging ‘aansluiten’ bij een goedgekeurde gedragscode in de zin van art. 40 AVG of een goedgekeurd certificeringsmechanisme in de zin van art. 42 AVG. Art. 32 lid 3 AVG bepaalt dat zij dergelijke aansluiting vervolgens kunnen gebruiken ‘als element’ om aan te tonen dat ze aan art. 32 AVG voldoen.1

Gedragscodes en certificeringsmechanismen zijn ‘vrijwillige instrumenten voor verantwoording’ waarin per categorie verwerkingsverantwoordelijken en verwerkers specifieke regels voor gegevensbescherming worden beschreven.2 Ze worden opgesteld door partijen met kennis van de praktijk, en beschrijven hoe verwerkingsverantwoordelijken en verwerkers volgens hen voldoen aan (onder meer) art. 5 lid 1 onder f en 32 AVG.3 Gedragscodes en certificeringsmechanismen bieden zo houvast bij de invulling van deze bepalingen.

Voordat verwerkingsverantwoordelijken en verwerkers het aansluiten bij een gedragscode of certificeringsmechanisme kunnen gebruiken als element om de naleving van art. 32 AVG aan te tonen in de zin van lid 3 van deze bepaling, moeten die zijn ‘goedgekeurd’.4 Ik ga hieronder kort in op de twee instrumenten en hun goedkeuringseisen.

Gedragscodes worden opgesteld door (handels)verenigingen en organen die categorieën van verwerkingsverantwoordelijken en verwerkers vertegenwoordigen.5 Ze gaan veelal over één of meerdere bepalingen uit de AVG, zoals de beveiligingsbepalingen. Ze vullen deze bepalingen nader in voor een bepaalde groep normadressaten en leggen zo uit hoe zij de bepalingen moet toepassen.

Gedragscodes moeten, om te worden goedgekeurd in de zin van de AVG, in de ontwerpfase aan de toezichthouder worden voorgelegd. De nationale toezichthouder, voor Nederland de AP, verleent goedkeuring indien zij van mening is dat de code voldoende passende waarborgen biedt.6 Als een gedragscode eenmaal is goedgekeurd, moeten ook wijzigingen of uitbreidingen daarvan ter goedkeuring worden voorgelegd. Een door een nationale toezichthouder goedgekeurde gedragscode, wijziging of uitbreiding kan door de Commissie als algemeen geldig binnen de EU worden verklaard.7

De AP heeft tot nu toe slechts één gedragscode goedgekeurd: de Data Pro Code. Deze gedragscode is gericht op verwerkers.8 De gedragscode betreft de gehele AVG. Ze gaat ervan uit dat de voornaamste verantwoordelijkheid voor het naleven van de AVG bij de verwerkingsverantwoordelijke ligt.9 Op het gebied van persoonsgegevensbeveiliging bepaalt de code dat een verwerker zijn opdrachtgever dient te informeren over de door hem getroffen beveiligingsmaatregelen, zodat deze opdrachtgever (veelal de verwerkingsverantwoordelijke)10 kan beoordelen of deze maatregelen voldoen aan de eisen die de AVG stelt. De verwerker dient het Data Pro Statement, waarin hij de door hem getroffen maatregelen beschrijft, in de verwerkingsovereenkomst op te nemen of elders te publiceren. Dit statement moet voldoen aan enkele vormvereisten uit de Data Pro Code.11 Op het gebied van beveiliging bepaalt deze gedragscode verder wat een verwerker moet doen bij een datalek en dat hij zijn gegevensbeschermingsbeleid en de door hem getroffen beveiligingsmaatregelen regelmatig moet toetsen, evalueren, en – indien nodig – aanpassen.12

Certificeringsmechanismen in de zin van de AVG zijn mechanismen voor de uitgifte van certificaten waarmee verwerkingsverantwoordelijken en verwerkers kunnen aantonen dat ze overeenkomstig de AVG handelen. Certificeringsmechanismen gaan uit van certificeringscriteria, aan de hand waarvan een geaccrediteerd certificeringsorgaan in een concreet geval bepaalt of het al dan niet een certificaat uitgeeft. Ook beschrijven ze de certificeringsprocedure, die aangeeft hoe deze beoordeling plaatsvindt.13

Om te gelden als een ‘goedgekeurd certificeringmechanisme’ in de zin van art. 42 AVG, moeten de certificeringscriteria van het mechanisme zijn goedgekeurd door het Europees Comité voor gegevensbescherming of de AP (tezamen met de Raad voor Accreditatie, de RvA). De certificering moet daarnaast worden verricht door een certificeringsorgaan dat hiertoe is geaccrediteerd door de toezichthouder of een nationaal accreditatieorgaan.14 Indien het Europees Comité voor gegevensbescherming de criteria voor een nationaal AVG-certificaat goedkeurt, kan dit leiden tot een zogenaamd Europees gegevensbeschermingszegel.15

Binnen Nederland zijn er tot nu toe nog geen geaccrediteerde certificeringsorganen of goedgekeurde certificeringscriteria.16 De certificaten waaraan binnen het informatiebeveiligingsdomein belang wordt gehecht, zoals het ISO 27001-certificaat, zijn dan ook geen zogenoemde AVG-certificaten.17 Verder geldt ook een zogenoemd Europees beveiligingscertificaat niet automatisch als een certificaat in de zin van de AVG.18 Europese beveiligingscertificaten (waarover meer in §7.2.2.2) vereisen immers geen goedkeuring van de certificeringscriteria door de AP. Dit neemt overigens niet weg dat de AP bij het verlenen van deze goedkeuring wel inspiratie kan ontlenen aan de criteria die de Cyberbeveiligingsverordening aan certificaten stelt.19

Toon alle voetnoten

Voetnoten

Voetnoten

Art. 32 lid 3 AVG.

Europees Comité voor gegevensbescherming 2019, richtsnoeren 1/2018, pt.1; Europees Comité voor gegevensbescherming 2019, richtsnoeren 1/2019, pt. 7.

De wens van een wetgever om wettelijke verplichtingen nader te laten invullen door partijen met meer kennis van het betreffende onderwerp is veelal één van de belangrijkste redenen voor de open formulering van normen. Zie Westerman 2008, p. 56 e.v.; Westerman 2008-I, p. 37; Rapport Doelgericht wetgeven 2009, p. 3. Wanneer wetgeving bestaat uit open normen, en certificeringsmechanismen, gedragscodes en normen hen verder invullen, ontstaat er ‘gelaagde regulering’ (Adams e.a. 2015, §6.3 en 6.4.). Zie over open normen en (andere) voor- en nadelen daarvan ook §2.3.2.

Toezichthouders kunnen er wel voor kiezen om in een concreet geval ook waarde te hechten aan een gedragscode of een certificeringsmechanisme dat niet is goedgekeurd.

Art. 40 lid 2 AVG; Europees Comité voor gegevensbescherming 2019, richtsnoeren 1/2019, pt. 8.

Art. 40 lid 5 AVG. Zie ook Europees Comité voor gegevensbescherming 2019, richtsnoeren 1/2019, §6.

Art. 40 lid 9 AVG.

Zie het ‘Besluit inzake de verklaring omtrent Gedragscode Data Pro Code van Nederland ICT; z2018-11482’ van de AP. De Data Pro Code is opgesteld door NLDigital.

Zie in dit kader ook §6.2.

10.

Ook is denkbaar dat een verwerker opdracht geeft aan een andere verwerker om verwerkingen uit te voeren, zie art. 28 lid 4 AVG.

11.

Data Pro Code 2019, principe 1, nr. 1.

12.

Data Pro Code 2019, principe 5, nr. 5.

13.

Europees Comité voor gegevensbescherming 2019, richtsnoeren 1/2018, p. 12.

14.

Art. 42 lid 5 AVG. Zie over de rol van de RvA ‘Samenwerking AP en RvA: goedkeuring AVG-certificaten’, autoriteitpersoonsgegevens.nl 23 december 2019.

15.

Art. 42 lid 5 AVG. Deze goedkeuring dient te geschieden overeenkomstig art. 63 AVG.

16.

Wel zijn er regels die in dit kader van belang zijn. Zie m.b.t. de accreditatie van certificeringsorganen NL aanvullende accreditatie-eisen certificeringsorganen Autoriteit Persoonsgegevens, Stcrt. 2021, 30081. Zie m.b.t. de criteria voor certificering Europees Comité voor gegevensbescherming 2019, richtsnoeren 1/2018 en het Guidance-Addendum daarbij van 6 april 2021, dat getiteld is: Certification criteria assessment.

17.

Zie over dit certificaat §3.2.2.

18.

Zie hierover Hulsebosch 2019, §4.3 en Kamara 2020.

19.

Zie over deze verordening wel §5.3.3.