Artikel 32 - Beveiliging van de verwerking
-
1.
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
- a) de pseudonimisering en versleuteling van persoonsgegevens;
- b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
- d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
- 2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
- 3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.
- 4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.
Relevante overwegingen
- 75. Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personenkan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.
- 76. De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, het toepassingsgebied, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat met een risico of een hoog risico.
- 77. Richtsnoeren voor de tenuitvoerlegging van passende maatregelen, en om aan te tonen dat de verwerkingsverantwoordelijke of de verwerker de regels naleeft, vooral wat betreft de vaststelling van het risico in verband met de verwerking, de beoordeling van de oorsprong, aard, waarschijnlijkheid en ernst daarvan, en de bepaling van beste praktijken om het risico te verminderen, kunnen met name worden verstrekt door middel van goedgekeurde gedragscodes, goedgekeurde certificeringen, richtsnoeren van het Comité of aanwijzingen van een functionaris voor gegevensbescherming. Het Comité kan tevens richtsnoeren uitvaardigen met betrekking tot verwerkingen die waarschijnlijk niet zullen resulteren in een hoog risico voor de rechten en vrijheden van natuurlijke personen, en aangeven met welke maatregelen in dat geval kan worden volstaan om dat risico aan te pakken.
- 78. Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en uit het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren. Bij de de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens, of die persoonsgegevens verwerken bij de uitvoering van hun opdracht, dienen de producenten van de producten, diensten en toepassingen te worden gestimuleerd om bij de ontwikkeling en de uitwerking van dergelijke producten, diensten en toepassingen rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen.
- 79. Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers is het noodzakelijk, onder meer wat het toezicht door en de maatregelen van de toezichthoudende autoriteiten betreft, dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking namens een verwerkingsverantwoordelijke wordt uitgevoerd.
- 83. Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico's te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico's te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico's dient aandacht te worden besteed aan risico's die zich voordoen bij persoonsgegevensverwerking, zoals de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële schade kan leiden.
Jurisprudentie Hof van Justitie van de EU
| Zaak-nr. | Arrest |
|---|---|
| C-687/21 |
BL tegen MediaMarktSaturn Hagen-Iserlohn GmbH Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Uitlegging van de artikelen 5, 24, 32 en 82 – Beoordeling van de geldigheid van artikel 82 – Niet-ontvankelijkheid van het verzoek tot beoordeling van de geldigheid – Recht op vergoeding van schade veroorzaakt door de verwerking van persoonsgegevens in strijd met deze verordening – Doorgeven van gegevens aan een niet-bevoegde derde ten gevolge van een door werknemers van de verwerkingsverantwoordelijke begane vergissing – Beoordeling of de door de verwerkingsverantwoordelijke getroffen beschermingsmaatregelen passend zijn – Compensatoire functie van het recht op schadevergoeding – Impact van de ernst van de inbreuk – Noodzaak om aan te tonen dat de genoemde inbreuk schade heeft veroorzaakt – Begrip,immateriële schade’ |
| C-340/21 |
VB tegen Natsionalna agentsia za prihodite Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 5 – Beginselen inzake deze verwerking – Artikel 24 – Verantwoordelijkheid van de verwerkingsverantwoordelijke – Artikel 32 – Maatregelen die worden getroffen om de beveiliging van de verwerking te waarborgen – Beoordeling of dergelijke maatregelen passend zijn – Omvang van de rechterlijke toetsing – Bewijsvoering – Artikel 82 – Recht op schadevergoeding en aansprakelijkheid – Mogelijke vrijstelling van de verwerkingsverantwoordelijke van aansprakelijkheid in geval van inbreuk door derden – Vordering tot vergoeding van immateriële schade op grond van de vrees voor mogelijk misbruik van persoonsgegevens |
| Bepaling | Arrest(en) |
|---|---|
| Artikel 32 |
BL tegen MediaMarktSaturn Hagen-Iserlohn GmbH Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Uitlegging van de artikelen 5, 24, 32 en 82 – Beoordeling van de geldigheid van artikel 82 – Niet-ontvankelijkheid van het verzoek tot beoordeling van de geldigheid – Recht op vergoeding van schade veroorzaakt door de verwerking van persoonsgegevens in strijd met deze verordening – Doorgeven van gegevens aan een niet-bevoegde derde ten gevolge van een door werknemers van de verwerkingsverantwoordelijke begane vergissing – Beoordeling of de door de verwerkingsverantwoordelijke getroffen beschermingsmaatregelen passend zijn – Compensatoire functie van het recht op schadevergoeding – Impact van de ernst van de inbreuk – Noodzaak om aan te tonen dat de genoemde inbreuk schade heeft veroorzaakt – Begrip,immateriële schade’
VB tegen Natsionalna agentsia za prihodite Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 5 – Beginselen inzake deze verwerking – Artikel 24 – Verantwoordelijkheid van de verwerkingsverantwoordelijke – Artikel 32 – Maatregelen die worden getroffen om de beveiliging van de verwerking te waarborgen – Beoordeling of dergelijke maatregelen passend zijn – Omvang van de rechterlijke toetsing – Bewijsvoering – Artikel 82 – Recht op schadevergoeding en aansprakelijkheid – Mogelijke vrijstelling van de verwerkingsverantwoordelijke van aansprakelijkheid in geval van inbreuk door derden – Vordering tot vergoeding van immateriële schade op grond van de vrees voor mogelijk misbruik van persoonsgegevens |
Sanctie-besluiten en EDPB-richtsnoeren
| Datum publicatie | Document |
|---|---|
| 13 april 2023 |
Boete Sociale Verzekeringsbank Uitkering en sociale zekerheid; Beveiliging van persoonsgegevens; Datalekken - De Autoriteit Persoonsgegevens (AP) heeft de Sociale Verzekeringsbank (SVB) een boete opgelegd van 150. 000 euro. De SVK krijgt de boete vanwege gebrekkige identiteitscontrole door de telefonische helpdesk. Cliënten met een AOW-uitkering liepen hierdoor het risico dat gevoelige informatie terecht zou komen bij personen die daar geen recht op hebben. Lees verder: Boete voor SVB na gebrekkige…. |
| 12 april 2022 |
Boete Belastingdienst zwarte lijst FSV Zwarte lijst; Uitkering en sociale zekerheid; Inkomen en kredietwaardigheid - De Autoriteit Persoonsgegevens (AP) heeft de Belastingdienst een boete opgelegd van 3,7 miljoen euro. De Belastingdienst krijgt deze boete vanwege de jarenlange illegale verwerking van persoonsgegevens in de Fraude Signalering Voorziening (FSV). FSV was een zwarte lijst waarop de Belastingdienst signalen van fraude bijhield. Met vaak grote gevolgen voor mensen die onterecht op de lijst stonden. Lees verder: Boete…. |
| 6 april 2022 |
Boete ministerie Buitenlandse Zaken NVIS Europese informatiesystemen; Beveiliging van persoonsgegevens - De Autoriteit Persoonsgegevens heeft het ministerie van Buitenlandse Zaken een boete opgelegd van 565. 000 euro. Buitenlandse Zaken krijgt de boete vanwege slechte beveiliging van visumaanvragen. Naast de boete legt de AP last onder dwangsommen op voor het in orde maken van de beveiliging (50. 000 euro per 2 weken) en van de informatievoorziening (10. 000 euro per week). Lees verder: Boete voor Buitenlandse Zaken voor slechte…. |
| 12 november 2021 |
Boete Transavia Beveiliging van persoonsgegevens; Datalekken - De Autoriteit Persoonsgegevens (AP) heeft luchtvaartmaatschappij Transavia een boete opgelegd van 400. 000 euro. Transavia krijgt de boete voor het slecht beveiligen van persoonsgegevens. Door die slechte beveiliging kon een hacker de systemen van Transavia binnendringen. Lees verder: AP beboet Transavia om slechte beveiliging persoonsgegevens. 1 Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Bezuidenhoutseweg 30, 2594 AV Den…. |
| 7 juli 2021 |
Boete UWV beveiliging groepsberichten Beveiliging van persoonsgegevens; Uitkering en sociale zekerheid; Datalekken - De Autoriteit Persoonsgegevens (AP) heeft het UWV een boete opgelegd van 450. 000 euro. Het UWV krijgt de boete voor slechte beveiliging bij de verzending van groepsberichten. Hierdoor waren er verschillende datalekken van persoonsgegevens, waaronder gezondheidsgegevens, van in totaal ruim 15. 000 mensen. Lees verder: UWV krijgt boete voor slechte beveiliging bij verzending groepsberichten 1 Autoriteit…. |
| 10 juni 2021 |
Boete orthodontiepraktijk Burgerservicenummer (BSN); Beveiliging van persoonsgegevens - De Autoriteit Persoonsgegevens (AP) legt een orthodontiepraktijk een boete op vanwege een onbeveiligde patiëntenwebsite. De praktijk krijgt de boete omdat nieuwe patiënten zich via een onbeveiligde website konden aanmelden. Hierdoor liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Lees verder: AP: Boete orthodontiepraktijk vanwege onbeveiligde patiëntenwebsite 1 …. |
| 19 mei 2021 |
Boete CP&A verzuimregistratie Zieke werknemers; Personeelsgegevens; Personeelsgegevens; Gezondheidsgegevens gebruiken en delen - De Autoriteit Persoonsgegevens (AP) heeft onderhoudsbedrijf CP&A een boete opgelegd van 15. 000 euro vanwege overtredingen bij het verwerken van gezondheidsgegevens van zieke werknemers. CP&A hield bij wat de oorzaak was van het ziekteverzuim. Daarmee verwerkte het bedrijf meer gezondheidsgegevens dan was toegestaan. Bovendien was de verzuimregistratie onvoldoende beveiligd. CP&A heeft de…. |
| 11 februari 2021 |
Boete OLVG Gezondheidsgegevens in een dossier; Gezondheidsgegevens gebruiken en delen; Beveiliging van persoonsgegevens - De Autoriteit Persoonsgegevens (AP) heeft het Amsterdamse ziekenhuis OLVG een boete van 440. 000 euro opgelegd. Het OLVG nam tussen 2018 en 2020 te weinig maatregelen om te voorkomen dat onbevoegde medewerkers toegang kregen tot medische dossiers. Dat kwam door onvoldoende controle op wie welk dossier bekeek en ontoereikende beveiliging van de computersystemen. Naar aanleiding van het…. |
| 16 juli 2019 |
Boete HagaZiekenhuis Beveiliging van persoonsgegevens; Gezondheidsgegevens in een dossier; Gezondheidsgegevens gebruiken en delen - De Autoriteit Persoonsgegevens (AP) heeft het HagaZiekenhuis een boete van 460. 000 euro opgelegd. Het HagaZiekenhuis krijgt de boete omdat de interne beveiliging van patiëntendossiers niet op orde is. Om het Haga te dwingen de beveiliging van patiëntendossiers te verbeteren, legt de AP tegelijkertijd een last onder dwangsom op. Lees verder: Haga beboet voor onvoldoende interne…. |
- Inhoudsopgave
- Tekst van artikel 32
- Relevante overwegingen 6
- Arresten Hof van Justitie 2
- Besluiten en richtsnoeren 9
- Bijdragen?