De beveiliging van persoonsgegevens
Over de juridische invulling van art. 5 lid 1 onder f en 32 avg
Gebonden Nederlands 2022 1e druk 9789013169744Samenvatting
Door de wereldwijde digitalisering komt er steeds meer nadruk te liggen op persoonsgegevensbeveiliging, zeker nu datalekken steeds vaker in het nieuws komen en flinke imagoschade kunnen opleveren. Er is dan ook een sterke behoefte aan meer duidelijkheid over de regels en verplichtingen op dit gebied.
De beveiliging van persoonsgegevens biedt hierin uitkomst en verschaft de lezer een uitgebreid en uniek inzicht in de AVG-beveiligingsnormen en bepalingen. De titel bespreekt wat er juridisch gezien nodig is bij de beveiliging van persoonsgegevens. De auteur combineert hierbij een juridische analyse met inzichten uit de informatiebeveiligingspraktijk, waarbij ook Europese regelingen worden geanalyseerd.
Deze uitgave past in een reeks met recente Nijmeegse proefschriften over cyberveiligheid en gegevensbescherming. Dankzij de geboden invalshoeken voor de invulling van de beveiligingsverplichtingen uit de AVG wordt de materie in deze titel toegankelijk gemaakt voor iedereen die met deze verordening te maken heeft. Dit proefschrift biedt de nodige houvast bij de beoordeling van de vraag naar passende technische en organisatorische maatregelen in het concrete geval. Het onderzoek levert daarmee een belangrijke bijdrage aan de wetenschap en praktijk.
De beveiliging van persoonsgegevens is van grote waarde voor wetenschappers en praktijkjuristen die meer inzicht willen verkrijgen in de achtergrond van de beveiligingsbepalingen en de functie daarvan binnen de AVG en in de praktijk.
Specificaties
Lezersrecensies
Inhoudsopgave
GEBRUIKTE AFKORTINGEN VII
Hoofdstuk 1 Inleiding 1
1.1 Aanleiding, probleemstelling en relevantie 1
1.2 Doel, methode en afbakening 4
1.2.1 Doel: het verschaffen van duidelijkheid over de invulling van de AVG-beveiligingsbepalingen 4
1.2.2 Methode en afbakening: contextuele benadering 5
1.3 Structuur en opzet 9
1.4 Overige opmerkingen 11
1.4.1 De verhouding tussen art. 5 lid 1 onder f en 32 AVG 11
1.4.2 De bewoording ‘passende technische en organisatorische beveiligingsmaatregelen’ en ‘het passende beveiligingsniveau’ 12
1.4.3 De AVG-termen ‘ongeoorloofd’ en ‘onrechtmatig’ 12
1.4.4 Het verschil tussen inbreuken in verband met persoonsgegevens, beveiligingsschendingen, datalekken
en schendingen van art. 5 lid 1 onder f en 32 AVG 16
1.4.5 Het (niet) gebruiken van de term ‘zorgplicht’ 18
1.4.6 De rol van besluiten en richtsnoeren van toezichthouders 19
Hoofdstuk 2 Tekst en systematiek beveiligingsbepalingen 21
2.1 Inleiding 21
2.2 Art. 5 lid 1 onder f AVG en 32 AVG 22
2.2.1 Tekst en enkele tekstuele opvallendheden 22
2.2.2 Toepassingsgebied 28
2.2.2.1 Algemeen 28
2.2.2.2 ‘Persoonsgegevens’ 30
2.2.2.3 ‘Verwerkingen’ 34
2.2.3 Normadressaten 37
2.2.3.1 Algemeen 37
2.2.3.2 ‘Verwerkingsverantwoordelijke’ 37
2.2.3.3 ‘Verwerker’ 42
2.2.4 Afrondende opmerkingen: (on)voorzienbaarheid toepasselijkheid 44
2.3 De beveiligingsbepalingen nader beschouwd 44
2.3.1 Inleiding 44
2.3.2 Vorm: open en technologieneutraal 45
2.3.3 Invulling: situatieafhankelijke elementen 47
2.3.4 Opzet: maatregelen-niveau, middel-doel 49
2.4 Conclusie 52
Hoofdstuk 3 De bepalingen en praktijknormen en -gebruiken 57
3.1 Inleiding 57
3.2 Het belang van het informatiebeveiligingsdomein 59
3.2.1 Persoonsgegevens(verwerkingen) en informatiebeveiliging 59
3.2.2 Persoonsgegevensbeveiliging en de ISO 27000-reeks 62
3.3 Beveiligingsdoelen en beveiligingsdreigingen 66
3.3.1 Inleiding 66
3.3.2 Vertrouwelijkheid 68
3.3.3 Integriteit 74
3.3.4 Beschikbaarheid 79
3.3.5 Veerkracht 82
3.3.6 Authenticiteit 85
3.4 ‘Passende’ beveiliging en risicomanagement 88
3.4.1 Inleiding 88
3.4.2 Contextbepaling 91
3.4.3 Risicobeoordeling 93
3.4.4 Risicobehandeling 97
3.4.5 Uitvoering en verbetering 99
3.5 Persoonsgegevensbeveiliging en beveiligingsmaatregelen 100
3.5.1 Inleiding 100
3.5.2 Technische maatregelen en organisatorische maatregelen 101
3.5.3 Beveiliging: voorkomen, opsporen, reageren en herstellen 102
3.5.4 De maatregelen uit art. 32 lid 1 AVG 104
3.6 Conclusie 108
Hoofdstuk 4 De bepalingen vanuit rechtshistorisch perspectief 119
4.1 Inleiding 119
4.2 De opkomst van het persoonsgegevensbeschermingsrecht 121
4.3 De eerste intergouvernementele stap: aanwijzingen 122
4.3.1 Resoluties van de Raad van Europa 122
4.3.2 OESO-richtlijnen 125
4.4 De plicht tot het invoeren van gegevensbeschermingsrecht 127
4.4.1 Het Verdrag van Straatsburg 127
4.4.2 De Wet persoonsregistraties 130
4.5 De harmonisatie van het gegevensbeschermingsrecht in de EU 131
4.5.1 Dataprotectierichtlijn 131
4.5.2 Wet bescherming persoonsgegevens 134
4.6 Persoonsgegevensbescherming: een nieuw fundamenteel recht 136
4.6.1 Het Handvest van de Grondrechten van de Europese Unie 136
4.6.2 Het Verdrag van Lissabon 138
4.7 Sterkere en duidelijkere rechten en verplichtingen: de AVG 140
4.7.1 De AVG in het algemeen 140
4.7.2 De beveiligingsbepalingen (t.o.v. die uit de Wbp) 141
4.7.3 Een aparte norm voor de telecommunicatiesector? 143
4.8 Conclusie 145
Hoofdstuk 5 De bepalingen en de doelstelling van de AVG 151
5.1 Inleiding 151
5.2 De bescherming van grondrechten en fundamentele vrijheden 152
5.2.1 Inleiding 152
5.2.2 Vooraf: werking en algemene beperkingssystematiek 155
5.2.2.1 Het Handvest en de invulling van wettelijke bepalingen 155
5.2.2.2 Beperking van grondrechten - de eisen uit art. 52 Hv 158
5.2.3 Het recht op de bescherming van persoonsgegevens 165
5.2.3.1 Inhoud en reikwijdte 165
5.2.3.2 Wezenlijke inhoud 170
5.2.3.3 Evenredigheidsbeginsel 174
5.2.4 Het recht op de eerbiediging van het privéleven 177
5.2.4.1 Inhoud en reikwijdte 177
5.2.4.2 Wezenlijke inhoud 182
5.2.4.3 Evenredigheidsbeginsel 186
5.2.5 Het recht op de vrijheid van ondernemerschap 186
5.2.5.1 Inhoud en reikwijdte 186
5.2.5.2 Wezenlijke inhoud 188
5.2.5.3 Evenredigheidsbeginsel 190
5.2.6 Het vrije verkeer (van diensten) 194
5.3 De waarborging van het vrije verkeer van persoonsgegevens 195
5.3.1 Inleiding en algemeen 195
5.3.2 De vrijheid en de interne markt 197
5.3.3 De vrijheid en de beveiliging van persoonsgegevens 199
5.4 De verhouding en interactie tussen de twee AVG-doelen 202
5.4.1 Inleiding 202
5.4.2 De samenhang in de visie van de EU-wetgever 202
5.4.3 De samenhang in de context van het Handvest 204
5.4.4 De samenhang volgens het HvJ EU en zijn omgang met eventuele confl icten 206
5.5 Conclusie 211
Hoofdstuk 6 De bepalingen en het systeem van de AVG 221
6.1 Inleiding 221
6.2. Algemene verplichtingen verwerkingsverantwoordelijken en verwerkers 222
6.2.1 Algemeen: art. 5 lid 2, 24 en 28 AVG 222
6.2.2 Relatie tot en gevolgen voor beveiligingsverplichtingen 224
6.2.3 Invulling ‘passend’: enkele extra aanwijzingen 225
6.3 Data protection by design en security by design 226
6.3.1 Algemeen: art. 25 lid 1 AVG 226
6.3.2 Relatie tot beveiligingsverplichtingen 228
6.3.3 Invulling ‘passend’ 229
6.4 De gegevensbeschermingseffectbeoordeling 233
6.4.1 Algemeen: art. 35 AVG 233
6.4.2 Relatie tot beveiligingsverplichtingen 234
6.4.3 Verduidelijking ‘risico’: de risicogebaseerde benadering 235
6.5 Goedgekeurde gedragscodes en certifi ceringsmechanismen 238
6.5.1 Algemeen: art. 40 en 42 AVG 238
6.5.2 Relevantie voor de naleving van art. 32 AVG 241
6.6 ‘Handhaving’ van beginselen en verplichtingen 242
6.6.1 Bestuursrechtelijke weg 242
6.6.2 Privaatrechtelijke weg 244
6.6.3 Handhaving van beveiligingsgebreken 245
6.7 Conclusie 247
Hoofdstuk 7 De bepalingen en gerelateerd EU-recht en -beleid 255
7.1 Inleiding 255
7.2 De visie van de EU op cyberbeveiliging 256
7.2.1 Theoretische basis 256
7.2.2 Praktische uitwerking 258
7.2.2.1 Algemeen 258
7.2.2.2 De Cyberbeveiligingsverordening 259
7.3 De AVG-beveiligingsbepalingen en vergelijkbare normen 261
7.3.1 Art. 4, 33 en 91 Verordening 2018/1725 261
7.3.1.1 Art. 4 lid 1 onder f en 33 Verordening 2018/1725 262
7.3.1.2 Art. 91 Verordening 2018/1725 262
7.3.2 Art. 4 lid 1 onder f en 29 Richtlijn 2016/680 265
7.3.3 Art. 4 E-privacyrichtlijn 267
7.3.4 Art. 40 Herschikkingsrichtlijn telecommunicatie 270
7.3.5 Art. 14 en 16 NIB-richtlijn 273
7.3.5.1 Algemeen 273
7.3.5.2 Beveiliging van essentiële diensten 275
7.3.5.3 Beveiliging van digitale diensten 277
7.3.5.4 Het voorstel voor een nieuwe NIB-richtlijn 279
7.3.5.5 Beveiliging onder AVG en onder de NIB-richtlijn 280
7.4 Conclusie 284
Hoofdstuk 8 Synthese en afronding 293
8.1 Inleiding 293
8.2 Het brede karakter van de AVG-beveiligingsbepalingen 295
8.2.1 Inleiding 295
8.2.2 Toepassingsbereik: breed in object en subject 295
8.2.3 Opzet: zowel doel als middel 297
8.2.4 Inhoud: vrijwel geen beperkingen 298
8.3 Het strenge karakter van ‘het passende beveiligingsniveau’ 301
8.3.1 Inleiding 301
8.3.2 De waarborging van het beveiligingsniveau: een resultaatsverplichting 301
8.3.3 De beoordeling van het niveau: risico’s als kernelement 304
8.3.4 De relevante risico’s: (vooral) aan grondrechten gerelateerde risico’s 309
8.4 Het open en technologieneutrale karakter van ‘de passende beveiligingsmaatregelen’ 316
8.4.1 Inleiding 316
8.4.2 Het treffen van maatregelen: vrije keuze 317
8.4.3 De beoordeling: de waarde van de omstandigheden 319
8.4.4 De te treffen maatregelen: concretiseringen 322
8.5 Eindconclusie 325
Summary 329
Jurisprudentielijst 337
Verkort aangehaalde literatuur 343
Overige verkort aangehaalde bronnen 383
Curriculum vitae 393
Rubrieken
- advisering
- algemeen management
- coaching en trainen
- communicatie en media
- economie
- financieel management
- inkoop en logistiek
- internet en social media
- it-management / ict
- juridisch
- leiderschap
- marketing
- mens en maatschappij
- non-profit
- ondernemen
- organisatiekunde
- personal finance
- personeelsmanagement
- persoonlijke effectiviteit
- projectmanagement
- psychologie
- reclame en verkoop
- strategisch management
- verandermanagement
- werk en loopbaan