Vergroot contrast

Artikel 13 Wbp

Wbp Naslag > Hoofdstuk 2 > Artikel 13

 

WETTEKST
 
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
 
 
 
TOELICHTING
 
Object van beveiliging
Het beveiligingsvoorschrift richt zich tegen 'verlies of enige vorm van onrechtmatige verwerking van gegevens'. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan. De beveiligingsverplichting strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. (II, nr. 3, blz. 98)

Passende maatregelen
In het begrip 'passende' ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek. Dit is in eerste aanleg een vraag van professionele ethiek van personen belast met de informatiebeveiliging. De normen van deze ethiek worden in deze bepaling van een juridisch sluitstuk voorzien, in die zin dat daaraan een wettelijke verplichting voor de verantwoordelijke is verbonden. Het is niet aan de wetgever om nadere details te geven over de aard van de beveiliging. Dergelijke details zouden sterk tijdgebonden zijn en daarmee afbreuk doen aan het nagestreefde niveau van beveiliging ( II, nr. 3, blz. 98/99).

Het begrip 'passend' duidt mede op een proportionaliteit tussen de beveiligingsmaatregelen en de aard van de te beschermen gegevens. Naarmate bij voorbeeld de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging. Het voorschrift gaat daarmee verder dan artikel 138a, eerste lid, onderdeel a, van het Wetboek van Strafrecht, waar wordt gesproken van "enige beveiliging" (II, nr. 3, blz. 99).

Het begrip "passend" duidt erop dat de maatregelen in overeenstemming dienen te zijn met de risico's die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. Met andere woorden de te nemen maatregelen moeten worden afgestemd op de risico's van onrechtmatige verwerking die zich in de betrokken organisatie voordoen, waarbij tevens rekening dient te worden gehouden met de stand van de techniek en de kosten om de betrokken maatregelen ten uitvoer te brengen. Dit criterium moet in het licht van de concrete omstandigheden worden ingevuld en is voor een deel dynamisch. Het vereiste niveau van bescherming is hoger naarmate er meer mogelijkheden voorhanden zijn om dat niveau te waarborgen. Naarmate de gegevens een gevoeliger karakter hebben, of gezien de context waarin ze gebruikt worden een groter risico voor de persoonlijke levenssfeer van betrokkenen inhouden, dienen zwaardere eisen aan de beveiliging van de gegevens te worden gesteld. In het algemeen kan gesteld worden dat indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd deze als "passend" moet worden beschouwd terwijl kosten die disproportioneel zijn aan de extra beveiliging die daardoor zou worden verkregen, niet worden vereist. Met zich ontwikkelende techniek zal periodiek een nieuwe afweging moeten worden gemaakt.
Als de verantwoordelijke nalaat te zorgen voor een passend beveiligingsniveau, pleegt hij een onrechtmatige daad jegens de betrokkenen en kan daarvoor door deze aansprakelijk worden gesteld. Dit kan leiden tot veroordeling en vergoeding van (im)materiele schade die de betrokkene heeft geleden. Daarnaast kan het College bestuursdwang toepassen (MvA, I, nr. 92c, blz. 15-16).

Passend in andere regelgeving
Het begrip "passende" wordt op veel plaatsen in de geldende wet- en regelgeving gebruikt, onder meer op het terrein van de sociale zekerheid, het onderwijs en de volkshuisvesting. De context waarin het begrip wordt gehanteerd is vaak verschillend. In artikel 13 van het onderhavige wetsvoorstel is hetzelfde begrip gehanteerd als in artikel 17, eerste lid, van de richtlijn. Het voorschrift komt overeen met het huidige artikel 8 van de Wet persoonsregistraties. Hierin wordt bepaald dat de houder met het oog op de beveiliging de "nodige" voorzieningen van technische en organisatorische aard moet treffen. "Nodige" en "passende" hebben in dit verband dezelfde betekenis. Voorts kan worden gewezen op de toelichting op artikel 138a van het Wetboek van Strafrecht inzake computervredebreuk, ingevoerd bij de wet van 23 december 1992 (Stb. 1993, 33). Hier wordt uitvoerig op dit begrip ingegaan in relatie tot het begrip "enige beveiliging" zoals dit toen is opgenomen in het Wetboek van Strafrecht. "Nodige" of "passende" beveiliging verwijst naar een relatie tussen de beveiliging en hetgeen wordt beveiligd, terwijl "enige" beveiliging een dergelijke relatie niet vereist. Verder kan op het terrein van de gegevensbescherming nog gewezen worden op artikel 12 van de Wet op het Centraal Bureau en de Centrale Commissie voor Statistiek waarin wordt bepaald dat het CBS "passende maatregelen" moet treffen om herkenning van afzonderlijke personen te voorkomen. Uit de wetsgeschiedenis blijkt dat dit artikel beoogt het CBS een zekere ruimte toe te kennen om het niveau van beveiliging te bepalen; deze is afhankelijk van de aard van het bestand. Ten slotte is artikel 11.3, eerste lid, van de recent totstandgekomen Telecommunicatiewet van belang. Hierin is terzake van de beveiliging van telecommunicatiegegevens een bepaling opgenomen die vrijwel identiek is aan artikel 13 van het onderhavige wetsvoorstel. Deze bepaling is eveneens gebaseerd op een Europese richtlijn. (II, nr. 13, blz. 9)

Technische en organisatorische maatregelen cumulatief
Technische en organisatorische maatregelen dienen cumulatief te worden getroffen ( II, nr. 3, blz. 99)

Artikel 13 verplicht de technische en organisatorische maatregelen te treffen die nodig zijn om de verwerking van persoonsgegevens te laten verlopen in overeenstemming met de regels van de wet. Naar de mate waarin de computerprogrammatuur zodanig is ingericht dat het feitelijk onmogelijk is om persoonsgegevens anders dan in overeenstemming met de regels van de wet te verwerken, wordt de controle op het gedrag van individuele ondergeschikten minder nodig. (brief van de Minister aan de Voorzitter van de Tweede Kamer, II, nr. 9, blz. 4)

PET
AMENDEMENT VAN DE LEDEN SCHELTEMA-DE NIE EN
WAGENAAR

De ondergetekenden stellen het volgende amendement voor:
Aan artikel 13 wordt een volzin toegevoegd, luidende: De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Toelichting:
De beveiligingsverplichting die in dit artikel is opgenomen strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. Juridische normen zullen moeten worden vertaald in de feitelijke inrichting en verdere ontwikkeling van informatiesystemen. Steeds meer zullen 'privacy enhancing technologies' (PET) daarvoor onmisbaar zijn. Door te eisen dat de inrichting van systemen mede gericht moet zijn op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens, wordt bewerkstelligd dat in plaats van een voortdurende controle op individuele gevallen van onrechtmatig gegevensgebruik het accent meer gelegd kan worden op de structuur van informatiesystemen. (II, nr. 22 - motie Scheltema-De Nie en Wagenaar).

"Maatregelen" (zie hiervoor) bijvoorbeeld bij e-commerce
Onder het begrip 'gegevensverwerking' valt blijkens artikel 1, onder b, ook het vergaren van persoonsgegevens. De maatregelen dienen derhalve er mede toe te strekken niet meer persoonsgegevens te verzamelen dan voor de doeleinden nodig zijn. Wanneer bijvoorbeeld digitaal (cash) wordt betaald, is het niet nodig iemands identiteit te kennen voor het leveren van een dienst. Deze bepaling impliceert in beginsel anonieme elektronische handel, tenzij de betrokkene toestemming geeft voor verwerking van zijn gegevens. Uitzonderingen zijn denkbaar met het oog op fraudebestrijding. (brief van de Minister aan de Voorzitter van de Tweede Kamer, II, nr. 9, blz. 4)

VOORBEELDEN
CD-ROM

Artikel 13 legt op de verantwoordelijke de plicht om bij voorbeeld bij ontsluiting van een openbaar register via Internet of CD-ROM, de gegevens adequaat te beveiligen tegen enige vorm van onrechtmatige verwerking. Dit omvat mede een vorm van verstrekking die inherent zou zijn aan een dergelijk onverenigbaar gebruik. Zo is het telefoonboek in digitale vorm, bij voorbeeld op CD-ROM, voor het publiek beschikbaar. Daarop kan op personen worden gezocht. Er zijn evenwel beveiligingen aangebracht tegen het zoeken op telefoonnummer. Zo kunnen verder uit de kadastrale registratie gegevens worden verstrekt omtrent de eigenaar van een bepaald erf. Het zou evenwel onverenigbaar zijn met het doel van deze registratie wanneer een eventuele, digitaal ter beschikking staande versie van de registratie, tot gevolg zou hebben dat ieder zonder bijzondere inspanning daarop zoekfuncties zou kunnen loslaten die bij voorbeeld een lijst zouden opleveren van alle personen die een pand in eigendom hebben boven een bepaalde waarde. Een laatste voorbeeld is het handelsregister. Het zou niet verenigbaar zijn met het doel van dit register wanneer de gegevens beschikbaar zouden worden gesteld in zodanige vorm dat bij voorbeeld ten aanzien van bepaalde personen zou kunnen worden nagegaan bij hoeveel rechtspersonen zij zijn betrokken. Een voorbeeld is artikel 30, derde lid, van de Handelsregisterwet, waarin de verstrekking van overzichten van [] gegevens gerangschikt naar individuele natuurlijke personen aan beperkingen is onderworpen. Voor de opsporing van strafbare feiten geldt een bijzondere bevoegdheid voor de (hulp)officier van justitie. Wanneer voor andere openbare registers vergelijkbare bevoegdheden nodig zijn, dan behoeven de desbetreffende opsporingsorganen daartoe een afzonderlijke wettelijke basis (II, nr. 3, blz. 24/25).

Beveiliging d.m.v. IT-maatregelen
Software is een belangrijk instrument tot beveiliging. Dit wetsvoorstel geeft de normen die mede met behulp van software dienen te worden gehandhaafd. Klassieke technische beveiligingsmaatregelen omvatten mede de fysieke afscherming van de randapparatuur die toegang geeft tot de te beveiligen gegevens. Daarnaast zijn er de modernere informatietechnologische maatregelen zoals beveiliging met een 'password' en door middel van encryptie. Grotere bedrijven zullen een eigen beveiligingsafdeling hebben. Kleinere bedrijven zullen beveiligingsexpertise van buitenaf inhuren. Wat betreft encryptie zijn de initiatieven vermeldenswaard van de Europese Commissie om te komen tot een min of meer uniform systeem van vertrouwenstussenpersonen (trusted third parties) binnen de Europese Unie.(II, nr. 3, blz. 99)

 
 
 
 
JURISPRUDENTIE
 
Gebrekkige beveiliging ziekenhuis in strijd met artikel 8 EVRM
Door gebrekkige beveiliging is ongeautoriseerd het medische dossier van collega ingezien. Het Europese HvRM oordeelt dat het gebrek aan beveiliging van medische gegevens in een ziekenhuis een inbreuk is op artikel 8 EVRM. In het ziekenhuis was geen beperking van wie toegang had tot de medische dossiers en controle achteraf was moeilijk.
EHRM 17 juli 2008, 20511/03
 
Het horen van personen per videoconferentie
Het CBP adviseert positief over het horen van personen per videoconferentie mits de Minister van Justitie in het ontwerpbesluit duidelijk aangeeft of de videoconferentie wordt bewaard en op welke wijze het systeem van videoconferentie wordt beveiligd.
CBP 1 juli 2005, z2005-00495
 
Proportionaliteit beveiligingsmaatregelen en aard van de te beschermen gegevens
Een zorgverzekeraar wil gebruikers van bepaalde medicijnen op de hoogte stellen over wijzigingen in het voorschrijfbeleid van die middelen. Hoe gevoeliger de gegevens zijn die verwerkt worden, hoe zwaarder de eisen zijn die gesteld worden aan de beveiliging daarvan.
CBP 20 december 2004, z2004-00546
 
Medische keuringen i.v.m. erfelijkheidsgegevens
Op grond van artikel 21, vierde lid Wbp. mogen verzekeraars erfelijkheidsgegeven niet verder verwerken met betrekking tot anderen dan de aspirant-verzekerde zelf. Op grond van artikel 13 Wbp dienen verzekeraars maatregelen te treffen die verdere verwerking van de erfelijkheidsgegevens m.b.t. anderen redelijkerwijs onmogelijk maakt. De Wmk geeft hier nadere invulling aan.
CBP 6 september 2002, z2002-00280