Adequate beveiliging en passende maatregelen

Open normen in de AVG: adequate beveiliging en passende maatregelen in relatie tot datalekken of aansprakelijkheid.


In de AVG vindt je tal van open normen. Je kunt aansprakelijk worden gesteld omdat je gegevens niet adequaat hebt beveiligd. Of omdat je niet de passende technische- en organisatorische maatregelen hebt getroffen om datalekken te voorkomen. Dat wil je niet! Maar hoe kun je aan deze open normen voldoen? Genoeg vragen die een antwoord nodig hebben.

Adequate beveiliging en passende maatregelen? Open normen in en buiten de AVG

In de AVG en in jurisprudentie vind je tal van open normen waar het gaat om de manier waarop je gegevens of data dient te beveiligen. Wanneer je persoonsgegevens verwerkt, dan dien je op grond van de AVG passende technische- en organisatorische maatregelen te treffen. Dit om een op het risico afgestemd beveiligingsniveau te waarborgen. Of wat dacht je van een uitspraak van de Rechtbank Amsterdam die een partij aansprakelijk stelt voor schade die kon ontstaan doordat er niet is voldaan aan de opdracht om een “adequate” (ICT) beveiliging aan te leggen.

Wat houdt dit nu concreet in: passende technische- en organisatorische maatregelen? Hoe kun je het niveau bereiken van een adequate beveiliging, aan welke eisen moet je voldoen? Wanneer zijn maatregelen passend? 

Passende technische- en organisatorische maatregelen in de AVG

Laat ik beginnen met de de AVG. De AVG geeft in art. 32 de verplichting om persoonsgegevens op een passende manier te beveiligen. Art. 32 AVG zegt hierover het volgende: “Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten (…)” Als toevoeging noemt art. 32 AVG een aantal concrete maatregelen waaronder pseudonimisering, versleuteling, testprocedures, etc.

Passend in relatie tot het risico

De AVG brengt het “passende beveiligingsniveau” in relatie tot het “verwerkingsrisico”. Overweging 83 bij de AVG voegt hieraan toe dat je om tot een passend niveau te komen mede rekening kan houden met de stand van de techniek en de uitvoeringskosten. Dit wederom afgezet tegen de risico’s en de aard van de persoonsgegevens.

Zelf de beoordeling uitvoeren

Het huidige European Data Protection Board (EDPB) heeft richtsnoeren gegeven voor de toepassing van art. 32 AVG. De EDPB stelt dat art. 32 AVG niet zozeer een doelverbintenis oplegt maar dat het een middelenverbintenis invoert. Dat betekent dat je als verwerkingsverantwoordelijke de nodige beoordelingen moet uitvoeren en daaruit de passende conclusies moet trekken om tot een passend beveiligingsniveau te komen. Uiteraard dien je dit te kunnen overleggen wanneer de AP hierom vraagt. De vraag die de AP moet kunnen beantwoorden, is in hoeverre je als  verwerkingsverantwoordelijke of als verwerker “heb gedaan wat er van je mocht worden verwacht” gelet op de aard, het doel of de omvang van de verwerking.

Best Practices

De EDPB stelt dat je als verwerkingsverantwoordelijke of als verwerker bij de beoordeling rekening dient te houden met de bestaande en toegepaste procedures of methoden voor best practices. Met de term “best practice” wordt de werkmethode, techniek of activiteit bedoeld die wordt beschouwd als de meest effectieve ten opzichte van andere werkmethodes, technieken of activiteiten. Hoewel best practices in het algemeen het beste resultaat zouden moeten geven, wijst de EDPB erop dat je bij de beoordeling rekening dient te houden met de bijzondere omstandigheden van elk afzonderlijk geval.

Mate van beveiliging is dynamisch

In mijn zoektocht naar een antwoord op de vraag van de open normen stuit ik op Kamerstukken die behoren bij de totstandkoming van de toenmalige Web bescherming persoonsgegevens (Wbp). In deze stukken wordt aangegeven dat er geen algemene uitspraken kunnen worden gedaan over wat als een passende beveiligingsmaatregel kan worden beschouwd. Dit criterium, zo wordt gesteld, moet in het licht van de concrete omstandigheden worden ingevuld. Voor een deel is dit dynamisch. 

Toch wordt er ook een wat meer concrete handreiking geboden. “In het algemeen kan worden gesteld dat indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd deze als ‘passend’ moeten worden beschouwd, terwijl kosten die disproportioneel zijn aan de extra beveiliging die daardoor zou worden verkregen, niet worden vereist”. 

Interessant is dat er in de kamerstukken ook op wordt gewezen dat de mate ven beveiliging iets dynamisch is. “Met zich ontwikkelende techniek zal periodiek een nieuwe afweging moeten worden gemaakt”.

Adequate beveiliging

Zoals gezegd kom je open normen zoals “adequate” ICT beveiliging ook buiten de AVG tegen. Bijvoorbeeld in de uitspraak van de Rechtbank Amsterdam die een partij aansprakelijk stelt voor schade die kon ontstaan doordat er niet is voldaan aan de opdracht om een “adequate ICT beveiliging” aan te leggen. In deze uitspraak wordt er niet gesproken over wat “adequaat” dan wel is. De rechtbank kijkt vooral naar de redelijke verwachting die de klant mocht hebben. Dit in relatie tot de professionele deskundigheid van de leverancier. Het gaat hier over de zorgplicht die een deskundige partij heeft.

“Gelet op de afspraak dat hij een totaalpakket inclusief beveiliging zou leveren, in combinatie met zijn professionele deskundigheid, kon hij niet volstaan met een enkele waarschuwing en berusten in de keuzes van de klant”

Zorgplicht

Als ICT leverancier heb je op grond van art. 7:401 BW een zorgplicht. Dat wil zeggen dat je de zorg van een goed opdrachtnemer in acht dient te nemen. Deze open norm is in de uitspraak van de rechtbank Amsterdam voor deze situatie ingekleurd. Als professionele aanbieder mag je niet te gemakkelijk meegaan met de wensen van de klant als dit risico’s kan opleveren.

De benadering in deze uitspraak sluit erg aan bij hetgeen hierover in de literatuur wordt geschreven. Ik heb Asser er weer eens op nageslagen (voor de niet juristen onder ons: De Asser-serie biedt toonaangevend commentaar op het burgerlijk recht). Asser/Tjong Tjin Tai 7-IV zegt onder meer het volgende over zorgplicht: “de opdrachtnemer dient in beginsel de opdrachtgever te waarschuwen indien zijn aanwijzingen niet verantwoord zijn of indien de beoogde uitvoering van de opdracht niet tot het beoogde resultaat dreigt te leiden”. 

De rechtspraak heeft bij de beslechting van ICT geschillen inmiddels een groot aantal verschillende zorgplichten aangenomen. Deze zorgplichten zijn steeds sterk verweven met de beoordeling van de feiten. Dat is ook wel logisch. Rechters zijn immers belast met de beslechting van een concreet geschil en niet met het formuleren van algemene rechtsregels. Een definitie van wat een adequate beveiliging omvat gaan we dus ook hier niet terugvinden. 

Adequate beveiliging en passende maatregelen

Een zoektocht naar de invulling van de open normen levert geen definities op maar wel enkele handreikingen. Wel een logische uitkomst in de wetenschap dat je de open normen zoals “passende” of “adequate” beveiligingsmaatregel in het licht moet zien van de concrete omstandigheden.

Dat betekent dat je steeds weer de nodige beoordelingen moet uitvoeren en daaruit de passende conclusies moet trekken om tot een passend en proportioneel beveiligingsniveau te komen. Best practices kunnen je hierbij helpen maar zijn geen kant en klare remedie. En als je dan denkt dat je klaar bent, dan heb je het mis. De ICT is een vakgebied dat zich razendsnel ontwikkelt. Met zich ontwikkelende techniek (en bedreigingen) zal je periodiek je gemaakte keuzes tegen het licht dienen te houden. Documenteer zowel je gemaakte keuzes als de motivatie die tot deze keuzes hebben geleid. 

Heb je hierbij hulp nodig of wil je meer informatie? Vragen staat vrij!