Rina Steenkamp - Privacy en technologie
Hoofdstuk 2. Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens
Paragraaf 1. De verwerking van persoonsgegevens in het algemeen
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
[Richtlijn 95/46/EG | Memorie van Toelichting | Aantekeningen | WP29: [Brede meldplicht datalekken]]
1. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.
Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich brengen.
De bepaling geeft uitvoering aan artikel 17 van de richtlijn en sluit aan bij de bestaande bepaling van artikel 8 WPR. Het beveiligingsvoorschrift richt zich tegen 'verlies of enige vorm van onrechtmatige verwerking van gegevens'. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan. De beveiligingsverplichting strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. Zie ook paragraaf 10.3 over openbare registers wat betreft de vormen van verstrekking en openbare bekendmaking die onverenigbaar zijn met het doel van de register.
In het begrip 'passende' ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek. Dit is in eerste aanleg een vraag van professionele ethiek van personen belast met de informatiebeveiliging. De normen van deze ethiek worden in deze bepaling van een juridisch sluitstuk voorzien, in die zin dat daaraan een wettelijke verplichting voor de verantwoordelijke is verbonden. Het is niet aan de wetgever om nadere details te geven over de aard van de beveiliging. Dergelijke details zouden sterk tijdgebonden zijn en daarmee afbreuk doen aan het nagestreefde niveau van beveiliging.
Het begrip 'passend' duidt mede op een proportionaliteit tussen de beveiligingsmaatregelen en de aard van de te beschermen gegevens. Naarmate bij voorbeeld de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging. Het voorschrift gaat daarmee verder dan artikel 138a, eerste lid, onderdeel a, van het Wetboek van Strafrecht, waar wordt gesproken van 'enige beveiliging'.
Technische en organisatorische maatregelen dienen cumulatief te worden getroffen. Software is een belangrijk instrument tot beveiliging. Dit wetsvoorstel geeft de normen die mede met behulp van software dienen te worden gehandhaafd. Klassieke technische beveiligingsmaatregelen omvatten mede de fysieke afscherming van de randapparatuur die toegang geeft tot de te beveiligen gegevens. Daarnaast zijn er de modernere informatietechnologische maatregelen zoals beveiliging met een 'password' en door middel van encryptie. Grotere bedrijven zullen een eigen beveiligingsafdeling hebben. Kleinere bedrijven zullen beveiligingsexpertise van buitenaf inhuren. Wat betreft encryptie zijn de initiatieven vermeldenswaard van de Europese Commissie om te komen tot een min of meer uniform systeem van vertrouwenstussenpersonen (trusted third parties) binnen de Europese Unie.
[MvT, pagina 98-99]
WP29: Advies 8/2006 over de herziening van het regelgevingskader voor elektronischecommunicatienetwerken en -diensten, met bijzondere aandacht voor de ePrivacy-richtlijn, goedgekeurd op 26 september 2006 (PDF)
[Open link in dit venster | Open link in nieuw venster]
WP29: Advies 2/2008 over de herziening van Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie (e-Privacyrichtlijn), goedgekeurd op 15 mei 2008 (PDF)
[Open link in dit venster | Open link in nieuw venster]
WP29: Advies 1/2009 over de voorstellen tot wijziging van Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie (e-privacyrichtlijn), goedgekeurd op 10 februari 2009 (PDF)
[Open link in dit venster | Open link in nieuw venster]
WP29
[Open link in dit venster | Open link in nieuw venster]
(Bron: Advies 1/2009 over de voorstellen tot wijziging van Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie (e-privacyrichtlijn), paragraaf 10. Conclusie)