Passende beveiliging volgens de AVG - Tussen interpretatie en rechtspraak

Passende beveiligingsmaatregelen volgens de AVG. Wat is de juridische betekenis hiervan voor artikelen 5 lid 1 onder f en 32 AVG? Mr. J.A. Hofman heeft hierover geschreven en haar stuk vormt de basis voor deze editie van de nieuwsbrief.

Let wel: De wijze waarop deze nieuwsbrief door LinkedIn wordt gefaciliteerd maakt een correcte verwijzing volgens de Juridische Leidraad voor auteurs 2022 niet mogelijk. De bronverwijzing van mr. J.A. Hofman betreft:

J.A. Hofman, De beveiliging van persoonsgegevens. Over de juridische invulling van art. 5 lid 1 onder f en 32 AVG (Onderneming en Recht nr. 135), Deventer: Wolters Kluwer 2022. (ISBN: 9789013169744).

Deze nieuwsbrief zal dan ook duidelijk weergeven wat uit deze bron is gebruikt en wat de interpretatie van mij daarvan is. Mijn interpretaties zullen tussen [JM: ...] weergegeven worden. Het mag duidelijk zijn dat ik niet zelf de auteur ben geweest of dat beeld heb willen scheppen.

In de inleiding geeft J.A. Hofman al direct een belangrijk punt aan. De AVG biedt ruimte tot interpretatie en invulling van wat passend is als het gaat om beveiligingsmaatregelen. Ook het ontbreken van aanvullende duiding of uitleg uit rechtspraak of EU-wetgever ontbreekt (Hofman 2022, par. 1.1). Ook in de AVG worden verschillende termen gebruikt met mogelijk verschillende betekenissen over passend en beveiliging. Art. 5 lid 1 onder f AVG spreekt van passende organisatorische OF technische beveiligingsmaatregelen (in plaats van EN). Art. 32 AVG hanteert 'passend beveiligingsniveau' om beveiliging te waarborgen (Hofman 2022, par. 1.4.2). [JM: Ook binnen andere wetgeving komen de termen passend en beveiliging voor met eigen interpretaties en bedoelingen. Denk bijvoorbeeld aan NIS2 (Richtlijn (EU) 2022/2555 art. 21 lid 1) waarin gerefereerd wordt aan passende EN evenredige beveiligingsmaatregelen.]

Ook in de AVG komen verschillende termen en bijhorende definities voor om een beveiligingsincident aan te duiden. Denk hierbij onder andere aan de termen beveiligingsinbreuk, inbreuk in verband met persoonsgegevens, datalek en schending van de AVG-beveiligingsbepalingen. Deze lijken op elkaar maar ook deze termen hebben verschillende betekenissen (Hofman 2022, par. 1.4.4). [JM: Binnen de AVG is het dan ook een juridisch lastig geheel wanneer gelijkklinkende termen verschillende betekenissen hebben. Dit kan leiden tot verschillende vormen van beveiliging, verantwoording en beheersing om passend te zijn.]

In hoofdstuk 3 gaat mr. J.A. Hofman in op informatiebeveiliging in relatie tot beveiligingsmaatregelen en AVG. Denk hierbij aan het gebruik van ISO- en NEN-normen waarbij de AP de inbedding van een PDCA-cyclus noodzakelijk (Hofman 2022, h. 3.4.1). J.A. Hofman concludeert onder meer dat beveiliging nooit absoluut kan zijn (100% veilig bestaat niet), dat een risicogebaseerde benadering de meest effectieve beveiliging bewerkstelligt, de term risico verwijst naar Kans  Impact en dat eerst een beveiligingsdoel vastgesteld moet worden zodat beveiligingsmaatregelen hierop afgestemd kunnen worden (Hofman 2022, par. 3.6). [JM: Er zijn uiteraard meerdere vormen van risicoanalyse waarbij je niet alleen uitgaat van Kans Impact maar dat er ook kwalitatieve varianten bestaan. Vanuit de kwantitatieve (R = K*I) variant kunnen hoog risico dreigingen kwalitatief uitgekristalliseerd worden zodat de dreiging en risicolocaties specifieker inzichtelijk worden. Dit maakt het mogelijk om beveiligingsmaatregelen nog beter af te stemmen op de risico's en het te behalen beveiligingsdoel].

Het waarborgen van het passende beveiligingsniveau is een resultaatverplichting. Een redelijke inspanning hiertoe leveren is onvoldoende. Het verhaalsrecht van een betrokkene na een inbreuk (of datalek) kan alleen slagen als er geen sprake was van passende beveiliging. Indien de conclusie maakt dat er wel sprake was van passende beveiliging dan is er geen verhaalmogelijkheid voor de betrokkene (Hofman 2022, par. 8.3.4). Dit impliceert ook dat hoe hoger het risico of verwerkingsduur, hoe hoger het beveiligingsniveau moet zijn om als passend beschouwd te worden (Hofman 2022, par. 8.3.4). [JM: Een goede scheidslijn kan in elk geval zijn of een organisatie ook bijzondere of strafrechtelijke gegevens verwerkt als het gaat om een verhoogd risico. Daarnaast hanteert de AP een viertal overwegingen om te bepalen of een organisatie aan grootschalige verwerking voldoet. Deze overwegingen zijn: het aantal betrokkenen, de hoeveelheid gegevens die u verwerkt, de duur van de gegevensverwerking en de geografische reikwijdte van de verwerking ( Wanneer niet alle overwegingen positief beantwoord worden kan het de keuze zijn om het belang van de betrokkenen zwaarder te laten wegen dan het eigen organisatorische belang].

Mr. J.A. Hofman sluit haar stuk af met het aangeven dat de volgende beveiligingsmaatregelen minimaal benodigd zijn en dat ISO27001 een norm is dat vanuit de daarin weergegeven beheersmaatregelen kunnen bijdragen aan een goede beveiliging. De beveiligingsmaatregelen waarnaar mr. J.A. Hofman verwijst zijn 'maatregelen die relateren aan controle op de toegang tot de apparatuur, controle op de gegevensdragers, opslagcontrole, gebruikscontrole, controle op de toegang tot de gegevens, transmissiecontrole, invoercontrole, transportcontrole, herstel en het functioneren van verwerkingssystemen.' (Hofman 2022, par. 8.4.4).

[JM: Samenvattend kan gezegd worden dat een gedegen risicoanalyse en beveiligingsdoelstellingen de basis vormen. Ben hierin kritisch als het gaat om de methodiek of methodieken. Relateer risico's aan specifieke delen van het verwerkingsproces door aanvullende kwalitatieve analyse om de passende beveiligingsmaatregelen zo effectief mogelijk in te zetten. Bij twijfel, laat het belang van de betrokkene prefereren boven het eigen belang. Implementeer de weergegeven set van maatregelen niet klakkeloos maar stem dit af op je beveiligingsdoel en risico's. Gebruikscontrole en opslagcontrole kan inhoudelijk op veel manieren plaatsvinden. Kiezen voor de meest eenvoudige variant is niet direct ook de beste passende voor jouw organisatie. Ten slotte nog dit. Nadere duiding en uitleg van passende maatregelen uit rechtspraak is aanwezig maar besef dat rechtspraak primair alleen op het voorgelegde geschil van toepassing is. Andere organisaties kunnen hiervan wel lering en inspiratie halen over hoe een rechtbank bepaalde maatregelen heeft geïnterpreteerd. Enkele rechtspraken hierover zijn: ECLI:NL:RBDHA:2021:3090, ECLI:EU:C:2018:388, ECLI:NL:RBDHA:2019:13029 enECLI:NL:RBMNE:2018:4404. In mijn compliancebundel is meer jurisprudentie hierover te vinden (zie naslagwerk). Zorg er dan ook voor om periodiek na te gaan of er relevante rechtspraak is gepubliceerd dat jouw organisatie helpt nog passender beveiligingsmaatregelen toe te passen].