Wat zijn de praktische gevolgen van het arrest in zaak C340/21 voor de voor de verantwoordelijken voor de verwerking van persoonsgegevens?
Volgens het arrest van het EHvJ ligt de bewijslast bij de voor de verwerkingsverantwoordelijke om aan te tonen dat de genomen beveiligingsmaatregelen passend waren. Dit betekent dat ondernemingen nu verplicht zijn om de effectiviteit van hun gegevensbeschermingsmaatregelen ten tijde van de cyberaanval aan te tonen.
Tot nu toe
Zodra iemand het bedrijfsnetwerk was binnengedrongen door middel van een cyberaanval en zo toegang had gekregen tot de te beschermen gegevens, werd aangenomen dat het management de verplichting om te zorgen voor gegevensbeveiliging overeenkomstig art. 5 AVG had geschonden en daarom aansprakelijk was voor schade overeenkomstig art. 82 AVG.
In dit geval werd dus zonder verder onderzoek aangenomen dat de genomen maatregelen ontoereikend waren in het geval van een cyberaanval waarbij de gegevensbescherming werd geschonden.
In principe was deze aanpak duidelijk nadelig voor de voor de verantwoordelijke.
Toekomstig, naar aanleiding van het arrest van het EHvJ
In zaak C-340/21 oordeelde het EHvJ dat de lokale rechter moet bepalen of de ten tijde van de aanval genomen maatregelen in beginsel toereikend waren. De verantwoordelijke moet bewijzen dat de ten tijde van de aanslag genomen maatregelen in beginsel voldoende waren.
Hoewel deze benadering voordelig is voor de verantwoordelijke partij, leidt ze in eerste instantie tot enkele nieuwe uitdagingen.
Hoe kan de verantwoordelijke bewijzen dat de genomen maatregelen ten tijde van de cyberaanval afdoende waren?
Naar mijn mening kan de verantwoordelijke dat alleen als hij de volgende documentatie kan overleggen van een tijdstip vóór de cyberaanval:
- Een grondige en gedocumenteerde risicobeoordeling van de verwerkingen.
- Technische en organisatorische maatregelen (TOM) die zijn afgestemd op het risico ten tijde van de aanval.
- Gedocumenteerd bewijs dat de maatregelen in de TOM op het moment van de aanval daadwerkelijk zijn geïmplementeerd.
- Bewijs dat de verwerkers zijn geaudit, waarbij ook is gewezen op en navraag is gedaan naar de naleving van de geïmplementeerde beveiligingsmaatregelen.
Het is belangrijk dat deze documentatie ook beschikbaar is als het bedrijfsnetwerk niet beschikbaar is!