EDPB en EDPS over Cybersecurity Act 2: balans tussen veiligheid en grondrechten centraal

De toezichthouders benadrukken dat cybersecurity en gegevensbescherming nauw met elkaar verweven zijn. Enerzijds beschermt cybersecurity persoonsgegevens tegen misbruik, maar anderzijds kunnen beveiligingsmaatregelen zelf een inbreuk vormen op privacyrechten. Daarom moeten maatregelen niet alleen effectief zijn, maar ook voldoen aan de beginselen van noodzakelijkheid en proportionaliteit .

Versterkte rol voor ENISA

De voorstellen geven ENISA (European Union Agency for Cybersecurity) een centralere rol als operationele hub en kenniscentrum. De EDPB en EDPS steunen deze ontwikkeling, maar waarschuwen voor mogelijke grootschalige verwerking van persoonsgegevens. Zij pleiten voor:

• duidelijke wettelijke grondslagen,
• expliciete afbakening van taken,
• en sterke waarborgen bij gegevensverwerking.

Eén meldpunt voor datalekken: minder lasten, zelfde bescherming

Een opvallend positief punt is het voorstel voor een single-entry point voor incidentmeldingen. Dit moet organisaties ontlasten door meldplichten te harmoniseren, zonder afbreuk te doen aan de bescherming van betrokkenen. Tegelijkertijd benadrukken de toezichthouders dat deze systemen zelf ook veilig moeten zijn vanwege de gevoeligheid van de gegevens.

Certificering en AVG: behoefte aan duidelijkheid

De nieuwe cybersecuritycertificering kan helpen bij het aantonen van AVG-compliance, maar de relatie tussen beide regimes is nog onvoldoende uitgewerkt. De EDPB en EDPS pleiten voor:

• betere afstemming met GDPR-certificering,
• en verplichte consultatie van privacytoezichthouders bij nieuwe schema’s.

Nieuwe risico’s: supply chains en ransomware

De voorstellen besteden expliciet aandacht aan:

• ICT supply chain risico’s, inclusief geopolitieke afhankelijkheden,
• en ransomware-aanvallen, waarbij meer rapportageverplichtingen worden voorzien.

Deze ontwikkelingen vergroten de noodzaak om ook bij cybersecuritybeleid structureel rekening te houden met gegevensbescherming.

Conclusie

De opinie maakt duidelijk dat de Europese inzet op cybersecurity verder professionaliseert, maar dat dit alleen houdbaar is als privacy by design en fundamentele rechten integraal worden meegenomen. Voor organisaties betekent dit dat compliance niet langer sectoraal kan worden benaderd: cybersecurity en privacy moeten samen worden ontworpen en uitgevoerd.