Inhoudsopgave
- Juridisch kader
- Modelbepalingen
- Handvatten voor het opstellen van de wettekst en toelichting
- Voorbeelden en literatuur
Juridisch kader
Artikel 5, eerste lid, onder f, AVG legt het beginsel vast dat persoonsgegevens passend moeten worden beveiligd. Dat betekent dat persoonsgegevens moeten worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (zie ook overweging 39 en 78 AVG). De AVG biedt ruimte om in nationale wetgeving aanvullende regels te stellen over de beveiliging van persoonsgegevens. Deze pagina geeft handvatten om te bepalen of zulke aanvullende maatregelen nodig zijn en, zo ja, hoe zij kunnen worden vormgegeven.
AVG-verplichting
De verwerkingsverantwoordelijke en de verwerker zijn verantwoordelijk voor de rechtmatige en zorgvuldige omgang met persoonsgegevens. Dit betekent dat zij passende technische en organisatorische maatregelen moeten treffen om een op het risico afgestemd beveiligingsniveau te waarborgen in overeenstemming met de AVG (art. 32, eerste lid, AVG jo. art. 24, eerste lid, AVG).
Technische maatregelen zijn maatregelen die gebruikmaken van techniek, zoals authenticatie, encryptie, firewalls en logging.
Organisatorische maatregelen hebben betrekking op de inrichting van de organisatie, zoals beleid, protocollen, risicoanalyses, audits, toegangsbeheer, trainingen en (geheimhoudings) overeenkomsten (zie ter illustratie het model DPIA Rijksdienst, p. 56). Bij zowel de toets gegevensbescherming (beleidsfase wetgeving) als de uitvoerings-DPIA treffen zowel de regelgeving als de ICT waarborgen in de vorm van technische en organisatorische maatregelen om risico’s aan te pakken. Bij de uitvoerings-DPIA zal meer in detail worden gekeken naar de concrete situaties. In toelichtingen bij regelgeving wordt ICT ook vaak al als waarborg genoemd (zie ook artikel 35, lid 7, onder d, AVG).
Bij de beoordeling van het beveiligingsniveau wordt met name gekeken naar risico’s die voortkomen uit (accidentele) vernietiging, verlies of wijziging van persoonsgegevens, en uit ongeoorloofde toegang tot of verstrekking van die gegevens (art. 32, tweede lid, AVG). De AVG schrijft niet voor welke concrete maatregelen moeten worden getroffen of welk beveiligingsniveau exact moet worden bereikt.
Wat passend is, hangt af van verschillende factoren, zoals de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en verwerkingsdoeleinden. Ook de waarschijnlijkheid en ernst van de risico’s voor de rechten en vrijheden van betrokkenen spelen hierbij een rol.
Het begrip passend impliceert een evenwicht tussen risico’s en maatregelen: hoe groter de risico’s, hoe zwaarder de beveiliging moet zijn. Daarbij geldt dat de maatregelen, gelet op de beschikbare technologie en uitvoeringskosten, redelijk zijn (overwegingen 83 en 94 AVG en ECLI:EU:C:2023:986, r.o. 30).
Modelbepalingen
- Model 1
[Bij of krachtens algemene maatregel van bestuur / Bij ministeriële regeling] worden (nadere) regels gesteld over de beveiliging van de [persoonsgegevens / gegevensverwerking / registratie / systemen en voorzieningen] (, bedoelde in artikel X)(, waaronder regels over Y en Z). - Model 2
Bij ministeriële regeling wordt bepaald volgens welke technische standaarden de gegevensverwerking (, bedoeld in artikel X,) plaatsvindt. - Model 3
Ter beveiliging tegen verlies of onrechtmatige verwerking van de persoonsgegevens (, bedoeld in artikel X), treft [partij A] in ieder geval de volgende maatregelen:
maatregel Y;
maatregel Z; en
enz. - Model 4
[Bij of krachtens algemene maatregel van bestuur / Bij ministeriële regeling] worden regels gesteld ter waarborging van de persoonlijke levenssfeer. Daarbij wordt in ieder geval geregeld:- op welke wijze de verwerking, bedoeld in artikel X, plaatsvindt;
- op welke wijze door passende technische en organisatorische maatregelen deze gegevens worden beveiligd tegen verlies of onrechtmatige verwerking;
- welke gegevens, aan welke personen of instanties, voor welk doel en op welke wijze kunnen worden verstrekt;
- op welke wijze wordt gewaarborgd dat de verwerkte persoonsgegevens slechts worden verwerkt voor het doel waarvoor ze zijn verzameld of voor zover het verwerken met dat doel verenigbaar is, alsmede hoe daarop wordt toegezien.
Handvatten voor het opstellen van de wettekst en toelichting
Beveiligingsmaatregelen wel of niet wettelijk regelen?
- De AP adviseert om terughoudend te zijn met het wettelijk vastleggen van specifieke beveiligingsmaatregelen. In de meeste gevallen volstaat het algemene vereiste van passende beveiliging van de AVG en is het niet nodig om concrete maatregelen in regelgeving op te nemen. Alleen in bijzondere gevallen, bijvoorbeeld wanneer partijen veilig moeten kunnen samenwerken, kan het vastleggen van specifieke maatregelen wenselijk zijn (z2024-000192, p. 5). Bij voorkeur kunnen bij amvb en anders bij ministeriële regeling voor specifieke sectoren (bv. zorg of overheid) nadere regels worden gesteld over de invulling van deze maatregelen.
- Nationale regels over de beveiliging van persoonsgegevens moeten een duidelijke meerwaarde hebben ten opzichte van de AVG (z2020-00154, p. 2). Het enkel herhalen dat passende technische en organisatorische maatregelen moeten worden getroffen, biedt die meerwaarde niet. Bovendien is dit in strijd met het overschrijfverbod (art. 288 VWEU en Aanwijzing 9.9) (z2024-022430, p. 4, z2024-020600, p. 2 en 2024-022430, p. 4).
- Beoordeel de meerwaarde niet alleen ten opzichte van de AVG, maar ook ten opzichte van nationale wetgeving, zoals de Wet beveiliging netwerk- en informatiesystemen (z2022-2177, p. 3; z2022-05547, p. 2; z2024-020600, p. 2).
Hoe beveiligingsmaatregelen regelen?
- Formuleer benodigde beveiligingsmaatregelen voldoende concreet. Een open norm als “op een deugdelijke wijze beveiligen” voegt volgens de AP weinig toe aan de AVG. Als zo’n norm niet verder kan worden uitgewerkt, adviseert de AP om deze te schrappen. Hetzelfde geldt voor de toelichting: termen als “voldoende beveiligen” zijn te vaag (z2018-19847, p. 2 en z2019-15241, p. 4).
- Ga na of maatregelen genoemd in art. 32, eerste lid, AVG passend zijn voor de voorgestelde regelgeving (z2017-10698, p. 3). Welke waarborgen zijn genomen om deze risico’s te beperken? (Waarom) zijn deze waarborgen passend? Voorbeelden van te nemen maatregelen zijn (privacy by design): het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en beveiligingskenmerken creëren en verbeteren etc.
- Ga na of in de wet- en regelgeving alle afwegingen uit de AVG zijn meegenomen. Volgen hieruit (nog) risico’s voor betrokkenen? Kunnen er na de genomen waarborgen nog restrisico’s worden geïdentificeerd?
- Hanteer zwaardere beveiligingseisen bij de verwerking van bijzondere categorieën van persoonsgegevens en strafrechtelijke gegevens (z2023-02938, p. 4), en wanneer persoonsgegevens door de overheid worden gedeeld met private partijen (z2020-21452).
- Zorg dat duidelijk is welke partij verplicht is om de beveiligingsmaatregelen te treffen (z2017-07789, p. 7).
- Kijk naar bestaande beveiligingsvoorschriften in de regeling en probeer deze waar mogelijk te bundelen in één artikel (z2020-5362, p. 4).
- Het is mogelijk gebruik te maken van normalisatie en certificatie (Zie Ar. 3.10, z2018-05537, p. 7). Denk hierbij aan de NEN- en ISO-normen, zoals 27001 en 27701. Het verplicht stellen van een dergelijk norm kan bijdragen aan naleving van privacy by design en inzage- en correctierecht (z2020-06034, p. 2). Wees daarbij terughoudend met het vastleggen van specifieke beveiligingseisen, omdat de beveiliging te allen tijde state of the art moet zijn (z2022-2286, p. 2). Een norm kan wel goed worden geformuleerd als minimumeis (z2023-02815, p. 3). Zie ook de Baseline Informatiebeveiliging Overheid (BIO) als basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Zie verder: onderdeel H, art. 23, derde alinea in de memorie van toelichting bij de Verzamelwet gegevensbescherming.
- Informatiebeveiliging ontwikkelt zich snel en vraagt om maatwerk. Daarom is het doorgaans verstandig om de maatregelen niet in de wet zelf, maar op een lager niveau te regelen. Sta bij het opnemen van een delegatiegrondslag bewust stil bij de vraag of deze facultatief of dwingend moet worden geformuleerd (z2019-27972, p. 15 en z2024-014437, p. 2).
- Onderbouw in de toelichting in ieder geval:
- wat de meerwaarde is van aanvullend nationale regels ten opzichte van de AVG (z2020-00154, p. 2 en z2024-000192, p. 5);
- op welke wijze persoonsgegevens worden verwerkt en hoe daarbij wordt voldaan aan art. 5, eerste lid, onder f, AVG (z2021-2117, p. 3);
- waarom de gekozen waarborgen passend zijn, met specifieke aandacht voor de relevante beveiligingsrisico’s (z2018-01637, p. 3 en 2023-226557, p. 4).
Voorbeelden en literatuur
Voorbeelden van wet- en regelgeving waarin beveiligingsmaatregelen worden voorgeschreven
- Artt. 1:23g en 1:23h Algemene Douanewet; art. 1:4a t/m 1:4c Algemeen douanebesluit;
- Artt. 7.1.2.2, 7.2.5, 7.2.8 en 7.4.0 Jeugdwet; art. 7.2.2. Besluit Jeugdwet; art. 6 Regeling Jeugdwet
- Art. 3d Kadasterwet
- Art. 10 Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg; art. 4 Regeling gebruik burgerservicenummer in de zorg
- Art. 1.10 Wet basisregistratie personen, artt. 3 en 6 Besluit basisregistratie personen; artt. 2 en 3 Regeling basisregistratie personen
- Art. 7 Wet beveiliging netwerk- en informatiesystemen; art. 3a Besluit beveiliging netwerk- en informatiesystemen
- Art. 3 Wet coördinatie terrorismebestrijding en nationale veiligheid; art. 3 Besluit coördinatie terrorismebestrijding en nationale veiligheid
- Art. 5 Wet inzake bloedvoorziening; Art. 14 Regeling voorschriften bloedvoorziening.
- Art. 30a Wet kwaliteit, klachten en geschillen zorg; artt. 4.1, 4.4 en 4.8 Uitvoeringsbesluit Wkkgz; art. 7a t/m 7d Uitvoeringsregeling Wkkgz
- Art. 3.1 Wet elektronische gegevensuitwisseling in de zorg
- Art. 9.1.2 Wet langdurige zorg; artt. 7.6, 7.8, 7.9 Regeling langdurige zorg
- Artt. 27ja, 30v, 31m Wet op de kansspelen; artt. 20 en 24 Besluit werving, reclame en verslavingspreventie kansspelen; art. 26 Regeling werving, reclame en verslavingspreventie kansspelen; art. 3.27 Regeling kansspelen op afstand
- Art. 9.6a Wet studiefinanciering 2000; art. 4a.3 Regeling studiefinanciering 2000
- Art. 7 Wet register onderwijsdeelnemers; artt. 3, 5 en 22 Regeling register onderwijsdeelnemers
- art. 5.22 Besluit SUWI; art. 6.4 Regeling SUWI
- Art. 107a Vreemdelingenwet 2000; art. 8.36 Vreemdelingenbesluit 2000; art. 7.1b Voorschrift Vreemdelingen 2000
Aandachtspunten vanuit de AP en Raad van State
- Bij het samenbrengen van veel (bijzondere) persoonsgegevens en andere vertrouwelijke gegevens adviseert de Afdeling om in de toelichting diepgaand in te gaan op de waarborgen ten aanzien van de cybersecurity en op de wijze waarop het toezicht hierop wordt georganiseerd (W06.20.0354/III).
- Bij een delegatiegrondslag adviseert de Afdeling om in de toelichting in te gaan op welke termijn regelgeving door partijen zal worden geïmplementeerd en welke investeringen daarmee zijn gemoeid (W13.21.0187/III).
- Het voorstel bevat geen nadere waarborgen over de toegang tot de systemen waarin de gegevensverwerkingen zullen worden opgeslagen en verder geen nadere regels stelt aangaande de beveiliging van de gegevens. De vraag doet zich voor of voor de casusoverleggen speciale digitale systemen worden gebruikt en zo ja waarom het voorliggende voorstel dan niet in vergelijkbare bepalingen voorziet. In de WGS zijn hierover nadere regels en eveneens grondslagen opgenomen om nadere uitwerking daarvan bij algemene maatregel van bestuur te regelen (W16.21.0056/II).
- De Afdeling vraagt zich af of het loslaten van specifieke authenticatie-eisen voor interne gebruikers betekent dat voor die gebruikers eventueel met een lager betrouwbaarheidsniveau voor authenticatie genoegen kan worden genomen. Indien die vraag bevestigend wordt beantwoord, rijst de vraag wat de rechtvaardiging daarvoor is. Gelet op de vertrouwelijkheid van de gegevens is het immers van belang dat voldoende gewaarborgd is dat uitsluitend bevoegde personen toegang tot het digitale systeem hebben. Dan ligt het namelijk in de rede ligt dat voor interne gebruikers eenzelfde betrouwbaarheidsniveau van toepassing is als voor externe gebruikers (W16.20.0245/II).
- De Afdeling merkt op dat in het algemeen ten aanzien van de bescherming van de geregistreerde gegevens verwacht mag worden dat er, indien adequate technische maatregelen worden getroffen om die gegevens te beschermen, minder risico’s bestaan ten aanzien van de dataveiligheid van die gegevens dan het geval is bij online kansspelen. De geregistreerde gegevens hoeven bijvoorbeeld niet via internet te worden verstuurd zoals wel het geval is bij online kansspelen. Daarnaast zijn gedetailleerde bepalingen en kwaliteitseisen ten aanzien van de beveiliging van geregistreerde persoonsgegevens vastgesteld (W16.20.0229/II).
- De AP vraagt aandacht voor het belang dat de AVG erkent van archivering, maar wel eist dat ook passende technische en organisatorische maatregelen worden getroffen om de inachtneming van het beginsel van gegevensminimalisatie te garanderen. Voor zover de doeleinden van de Archiefwet kunnen worden verwezenlijkt zonder dat identificatie van betrokkenen nog langer mogelijk is, moet dit in beginsel technisch en organisatorisch ook zo worden ingericht. Uit de toelichting blijkt niet dat is onderkend dat in de context van verplichte archivering door de overheid de Archiefwet ook het kader is waarbinnen deze passende maatregelen moeten worden getroffen (z2020-00153, p. 2).
- De AP signaleert dat de nadere regels inzake het toezicht op de beveiliging in het geheel ontbreken (z2019-18174, p. 3).
- De AP adviseert expliciet in het wetsvoorstel aan te geven dat voor de gegevens als technische maatregel anonimisering dan wel pseudonimisering wordt toegepast (z2018-5647, p. 6).
Zie voor meer informatie:
- A.G. Awesta, De grondslagen van de cyberspace, met name hoofdstuk 3 (2020).
- J.A. Hofman, De beveiliging van persoonsgegevens, met name hoofdstuk 6 (2022).
- H.R. Kranenborg en L.F.M. Verhey, De Algemene verordening gegevensbescherming in Europees & Nederlands perspectief, paragraaf 9.3, 11.2 (2024)
- Themapagina AP over beveiligen
- Data Protection Impact Assessment (Beleidskompas)
Laatst gewijzigd op: 12-5-2026