Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.3.2
6.3.2 Relatie tot beveiligingsverplichtingen
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660973:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie ook de vorige alinea.
Dit sluit overigens ook goed aan bij de PCDA-cyclus, waarnaar art. 32 AVG verwijst (zie voor meer over deze cyclus §3.4). De plan-fase van deze cyclus brengt mee dat ook de verplichting tot het treffen van passende beveiligingsmaatregelen in de zin van art. 32 AVG in veel gevallen vereist dat verwerkingsverantwoordelijken en verwerkers al ruim voordat de verwerking plaatsvindt bezig moeten zijn met beveiliging daarvan.
Europees Comité voor gegevensbescherming 2020, richtsnoeren 4/2019, §3.8. Zie hierover ook Bolte 2020.
Zie bijv. §3.4 en §3.5.
Verwerkers stellen doorgaans ook niet de middelen van een verwerking vast, zie §2.2.3.
Zie §6.2.2.
Zie §6.2.
De maatregelen die verwerkingsverantwoordelijken in het kader van art. 25 lid 1 AVG dienen te treffen, moeten onder meer zijn gericht op het doeltreffend uitvoeren van gegevensbeschermingsbeginselen. Dit betekent dat deze maatregelen ook art. 5 lid 1 onder f AVG moeten waarborgen, en dus raken aan beveiliging.1 Art. 25 lid 1 AVG brengt daarom mee dat verwerkingsverantwoordelijken aandacht moeten besteden aan de beveiliging van persoonsgegevens vanaf het moment dat zij de middelen van een verwerking bepalen (security by design). Dit moet hen in staat stellen te beveiligen en deze beveiliging te verbeteren.2
Anders dan art. 5 lid 1 onder f AVG en 32 AVG, verduidelijkt art. 25 lid 1AVG dat verwerkingsverantwoordelijken (ver) voordat zij een verwerking uitvoeren moeten nadenken over de beveiliging daarvan.3 Zij moeten hier dus mee bezig zijn vanaf de zogenoemde ‘ontwerpfase’ van een verwerking.
Het Europees Comité voor gegevensbescherming heeft ten aanzien van sommige beveiligingsmaatregelen overwogen dat zij kunnen bijdragen aan de naleving van art. 25 lid 1 AVG. In dit kader noemt het Comité de toepassing van een informatiebeveiligingsmanagementsysteem (ISMS), de uitvoering van risicoanalyses, de regulering van gegevenstoegang, de beveiliging van gegevensopslag en de vormgeving van security incident response management.4 Verder benoemt het dat verwerkingsverantwoordelijken rekening moeten houden met beveiligde gegevenstransmissies, beveiligde gegevensopslag, back-ups en pseudonimisatie. Dergelijke maatregelen zullen verwerkingsverantwoordelijken en verwerkers vaak ook op grond van art. 32 AVG moeten treffen.5 Art. 25 lid 1 AVG leidt er dan ook niet toe dat verwerkingsverantwoordelijken extra beveiligingsmaatregelen moeten treffen dan zij op grond van art. 32 AVG moeten doen. Wel biedt deze bepaling duidelijkheid over het moment waarop zij over beveiliging moeten beginnen na te denken.
Overigens geldt art. 25 lid 1 AVG alleen voor verwerkingsverantwoordelijken.6 Desalniettemin zullen ook verwerkers zich in een vroeg stadium over de te treffen beveiligingsmaatregelen moeten buigen, maar dan vanwege de AVG-beveiligingsbepalingen.7 Zij zullen afspraken over beveiliging moeten maken voordat ze aan de slag kunnen.8