Beveiligingsverplichtingen uit de Algemene Verordening Gegevensbescherming (AVG)

Verwerkt u persoonsgegevens? Dan bent u volgens de AVG een zogeheten ‘verwerkersverantwoordelijke’ en dient u zich te houden aan de verplichtingen van de AVG. Zo is onder andere verplicht dat de verwerkingsverantwoordelijke (bijvoorbeeld een verkoper) passende beveiligingsmaatregelen moet nemen om te zorgen dat de persoonsgegevens beschermd zijn tegen ongeoorloofd gebruik. 

Wat zijn beveiligingsmaatregelen in de zin van de AVG?

De AVG spreekt in dit verband over ‘passende’ beveiligingsmaatregelen. De verwerkingsverantwoordelijke dient eerst de risico’s in kaart te brengen. Daarna moet hij maatregelen treffen die deze risico’s kunnen beperken. Dit betekent dat:

• het dus per geval en per verwerkingsverantwoordelijke verschilt welke beveiligingsmaatregelen ‘passend’ zijn; en
• de verwerkingsverantwoordelijke zelf moet bepalen welke beveiligingsmaatregelen nodig zijn.

Bij de beoordeling van de passende beveiligingsmaatregelen moet worden gekeken of er rekening is gehouden met onder andere: de aard, omvang en het doel van de verwerking. 

Boete voor onvoldoende beveiligingsmaatregelen? 

Indien blijkt dat uw beveiliging niet goed op orde is, kunt u als verwerkingsverantwoordelijke een boete opgelegd krijgen van de toezichthouder: de Autoriteit Persoonsgegevens. Benieuwd naar een voorbeeld hiervan uit de praktijk? In een eerder blog hebben wij hier over geschreven. 

Datalek

Als de beveiligingsmaatregelen van een verwerkingsverantwoordelijke niet op orde zijn, kan er een ‘datalek’ ontstaan. Een datalek is bijvoorbeeld een situatie waarin een onbevoegd persoon (zoals een hacker, maar ook personen die geen hacker zijn, maar die ook geen autorisatie hadden) toegang heeft tot persoonsgegevens. De verwerkingsverantwoordelijke is in sommige gevallen verplicht om het datalek te melden bij de betrokkenen (de mensen waarvan de persoonsgegevens gelekt zijn). Voor deze meldplicht gelden specifieke vereisten. In sommige gevallen bestaat er voor een verwerker een informatieplicht. Dit houdt in dat de verwerker de verwerkingsverantwoordelijke tijdig informeert over een datalek. Hierover hebben wij al eens eerder iets geschreven, u kunt dat hier lezen.  

De zaak: een hacker richt schade aan bij een klant van een bedrijf via de bedrijfsmail

In deze zaak heeft een koper een auto gekocht van een autobedrijf. De koper ontving vervolgens betaalinstructies via de bedrijfsmail van het autobedrijf en maakte het bedrag over. Later wordt duidelijk dat de koper het bedrag over heeft gemaakt naar een hacker, die zich de toegang had verschaft tot het bedrijfsmailaccount van het autobedrijf. De koper is van mening dat hij schade heeft geleden, omdat het autobedrijf in strijd met de AVG onvoldoende beveiligingsmaatregelen zou hebbengetroffen om het account van haar bedrijfsmail te beschermen. De koper stapt naar de rechter. De zaak komt uiteindelijk terecht bij het gerechtshof Arnhem-Leeuwarden. Het hof oordeelt in een tussenuitspraak dat het autobedrijf moet bewijzen dat het voldoende beveiligingsmaatregelen heeft genomen. Het autobedrijf levert bewijs aan en het hof geeft hier vervolgens een oordeel over. 

Oordeel hof: verwerkingsverantwoordelijke moet passende beveiligingsmaatregelen ook toe kunnen lichten!

Het autobedrijf moet kunnen aantonen dat het (of de door haar ingeschakelde verwerker) passende maatregelen heeft genomen die aansluiten bij de manier van bedrijfsvoering en bij de daarbij horende verwerking van persoonsgegevens. De omstandigheid dat de hacker toegang had tot het bedrijfsmailaccount betekent niet automatisch dat de maatregelen die het autobedrijf heeft getroffen niet passend waren.  

Het hof stelt vast dat het autobedrijf hoofdzakelijk namen en (e-mail)adressen van klanten verwerkt samen met de gegevens op de factuur, zoals de prijs en het kenteken van het gekochte voertuig. Het autobedrijf stelt dat er een beperkt risico aanwezig is bij de verwerking van persoonsgegevens via haar bedrijfsmailaccount, maar het hof gaat hier niet in mee. Indien voornoemde gegevens in handen komen van onbevoegden bestaat namelijk het risico van identiteitsfraude. Daarom dienen de beveiligingsmaatregelen van het autobedrijf onder andere gericht te zijn op het voorkomen van onbevoegde toegang tot de klantgegevens.

Het autobedrijf legde een rapport van een onafhankelijk ICT-bedrijf over waaruit de passende maatregelen zouden moeten volgen. Zo staat omschreven dat er controlemechanismen zijn ingebouwd die ongeoorloofde toegang tot het e-mailaccount van het autobedrijf detecteren. Echter, het hof benadrukt dat daarmee niet is toegelicht welke maatregelen exact zijn genomen om ongeoorloofde toegang te voorkomen. Daarom heeft het autobedrijf volgens het hof niet bewezen dat haar bedrijfsmailaccount passend was beveiligd conform de AVG. Het autobedrijf is daarom aansprakelijk voor de schade die de koper heeft geleden. 

Wat leert deze zaak ons? 

Als verwerkingsverantwoordelijke moet u niet alleen passende beveiligingsmaatregelen nemen, maar u moet ook kunnen uitleggen waarom die maatregelen passend zijn in uw situatie. Enkel verwijzen naar beloftes van uw verwerker is niet voldoende, u dient aan te tonen dat de beveiligingsmaatregelen aansluiten bij de verhouding tussen verwerking van persoonsgegevens binnen uw bedrijf en de risico’s die daarbij spelen voor de betrokkenen. In onze praktijk hebben wij dagelijks te maken met kwesties met betrekking tot de AVG. Wij hebben ruime ervaring bij het in kaart brengen van gegevensstromen binnen organisaties en het beoordelen van de mogelijke risico’s die zouden kunnen spelen bij de verwerking. Heeft u na het lezen van deze tekst vragen gekregen? Neem gerust contact met ons op.  

Uitspraak: ECLI:NL:GHARL:2025:4556 (en tussenuitspraak: ECLI:NL:GHARL:2024:6812)