Een van de verplichtingen die op verwerkingsverantwoordelijken rusten is het nemen van passende technische en organisatorische maatregelen om aan te kunnen tonen dat zij verwerkingen uitvoeren die in overeenstemming zijn met de GDPR.
Maar wat zijn nu precies passende technische en organisatorische maatregelen?
In deze korte blog zal summier worden ingegaan wat deze maatregelen kunnen zijn, en aan welke voorwaarden ze dienen te voldoen.
Passende technische en organisatorische maatregelen
Met passende maatregelen wordt bedoeld maatregelen die rekening houden met de huidige stand van de technologie in de markt, en die toelaten de verwerking(en) die men uitvoert of van plan is uit te voeren optimaal te beveiligen.
De EDPB gebruikt hiervoor het begrip “state of the art”.
Het zijn dus maatregelen die continue evolueren, en op geregelde tijdstippen moeten worden herbekeken om te kijken of ze nog voldoen in de context van de technologische evolutie.
Dit betekent dat een technologie die bijvoorbeeld 3 jaar geleden nog werd bestempeld als “state of the art” dit anno 2025 misschien helemaal niet meer is.
Deze maatregelen zijn niet enkel van toepassing op de technische keuzes die worden gemaakt, maar ook op de organisatorische maatregelen die worden genomen.
Immers het ontbreken van de nodige passende organisatorische maatregelen kan een genomen passende technische maatregel teniet doen.
Beide set van maatregelen zijn dus complementair.
Bijvoorbeeld de versleuteling met een bepaalde software tool van attachments bij het versturen van e-mails heeft enkel optimaal effect wanneer de maatregel ook effectief door de medewerkers wordt nageleefd. Wanneer medewerkers hun attachments niet versleutelen met de tool, dan zal de maatregel om attachments bij e-mails te versleutelen geen effect hebben.
Op welke systemen is dit van toepassing?
De verplichting van de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen geldt zowel voor nieuwe systemen als reeds bestaande en nog in gebruik zijnde systemen, de zgn. legacy systemen.
M.a.w. dus ook oude (computer)systemen, zoals mainframes, mini computers vallen onder de toepassing van het nemen van passende maatregelen, en moeten dus voldoen aan de GDPR.
Implementatiekosten
Soms wordt er geargumenteerd dat de implementatiekosten te hoog zijn voor de nodige maatregelen.
Echter de EDPB stelt in haar richtlijnen dat de kost voor de implementatie van deze passende technische en organisatorische maatregelen wel in overweging mogen worden genomen bij de implementatie van gegevensbescherming bij ontwerp, maar dat het geen reden mag zijn om het niet te implementeren.
Verwerkingsverantwoordelijken hebben immers nog steeds de verplichting om de basisprincipes inzake persoonsgegevensverwerking na te leven, en dit onafhankelijk van de kostprijs van de genomen maatregelen.
De kostenfactor vereist immers niet dat verwerkingsverantwoordelijken een onevenwichtige hoeveelheid geld moeten spenderen terwijl er maatregelen beschikbaar zijn die, gelet op het specifieke geval, even efficiënt en effectief zijn.
Bloep, 1 september 2025.