Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.1
6.1 Inleiding
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660882:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
HvJ EU 1 oktober 2019, ECLI:EU:C:2019:801, pt. 48 (Planet49), waaruit blijkt dat hierbij het gehele EU-recht en “de context van de norm” van belang is. Dat het hierbij in het bijzonder gaat om het systeem van de regeling waarvan de norm deel uitmaakt, volgt uit een standaardoverweging van het HvJ EU. Zie bijv. HvJ EU 9 maart 2010, ECLI:EU:C:2010:125, pt. 17 (Commissie v. Duitsland), waarin het HvJ EU overweegt dat bij de uitleg van een bepaling uit de Dataprotectierichtlijn rekening moet worden gehouden met de opzet van deze richtlijn. Zie verder HvJ EU 13 juli 2017, ECLI:EU:C:2017:546, pt. 28 (Assens Havn), waaruit blijkt dat dit ook geldt bij de uitleg van een EU-rechtelijke verordening. Uit de Engelstalige standaardoverweging blijkt dat met ‘opzet’ wordt gedoeld op het systeem. Zie bijv. HvJ EG 16 december 2008, ECLI:EU:C:2008:727, pt. 51 (Satamedia): “It must be observed, as a preliminary point, that, according to settled case-law, the provisions of a directive must be interpreted in the light of the aims pursued by the directive and the system it establishes”.
Concl. V. Trstenjak 17 februari 2011, ECLI:EU:C:2011:90, pt. 46-51 (Deutsche Telekom).
Bij de uitleg van een EU-rechtelijke bepaling is ook de regeling waarvan de betreffende bepaling deel uitmaakt van belang. Het gaat daarbij in het bijzonder om het systeem van die regeling, zo blijkt uit de rechtspraak van het HvJ EU.1 Hieruit kan bijvoorbeeld de rol van de uit te leggen bepaling blijken.2
Voor een volledige beschrijving van de AVG is in dit boek geen plaats. Hierna komen daarom slechts de bepalingen en onderwerpen aan bod die (1) inzicht bieden in het systeem en – in het verlengde daarvan – de uitgangspunten van de AVG, en/of (2) sterk relateren aan de AVG-beveiligingsbepalingen, doordat ze in de kern hetzelfde van opzet zijn, op beveiliging betrekking hebben of de AVG-beveiligingsbepalingen naar ze verwijzen.
Ik ga hierna allereerst in op de algemene verplichtingen van verwerkingsverantwoordelijken en verwerkers, waarbij art. 5 lid 2, 24 en 28 AVG centraal staan (§6.2). In dit kader komen o.a. de rollen van de verwerkingsverantwoordelijken en verwerkers bij de naleving van de AVG-beveiligingsbepalingen aan bod. Daarna bespreek ik de verplichting tot data protection by design uit art. 25 lid 1 AVG (§6.3). Hierbij ga ik uitgebreid in op de elementen die de passendheid van beveiligingsmaatregelen beïnvloeden. Vervolgens bespreek ik de art. 35 AVG-verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling, ook DPIA genoemd (§6.4). Daarbij ga ik in op de risicogebaseerde benadering van de AVG, die ik vervolgens relateer aan de AVG-beveiligingsverplichtingen. Na de bespreking van deze verplichtingen ga ik in op goedgekeurde gedragscodes en goedgekeurde certificaten in de zin van art. 40 en 42 AVG en op de rol die zij kunnen spelen bij de invulling van de AVG-beveiligingsbepalingen (§6.5). Als laatste analyseer ik het sanctioneringssysteem van de AVG, in het bijzonder in relatie tot art. 5 lid 1 onder f en 32 AVG (§6.6). Ik sluit het hoofdstuk af met een synthese, waarin ik de aanknopingspunten voor de invulling van de AVG-beveiligingsbepalingen formuleer die uit dit hoofdstuk volgen (§6.7).