Toezicht

Toezicht: achteraf of vooraf?

Het voldoen aan de Privacywetgeving (“Privacy Compliance”) is voor een organisatie om meerdere redenen belangrijk.

  • Onrechtmatige verwerking of verwijtbare fouten maken bij een datalek kan een hoge boete (tot €810.000 of 10% van de jaaromzet) opleveren.
  • Ook kan een datalek het vertrouwen van klanten zodanig schaden dat de bedrijfscontinuïteit in gevaar komt of bestuurders moeten opstappen.
  • Daarnaast kunnen Betrokkenen materiële, financiële en emotionele schade ondervinden als een verwerkende organisatie onzorgvuldig omgaat met hun persoonlijke gegevens (zoals bijvoorbeeld bankrekeningnummers en inloggegevens).

Toezicht op de naleving van Privacy-wetgeving maakt dit risico kleiner voor zowel Betrokkenen als Verwerker.

“De” nationale toezichthouder op het gebied van privacy is in Nederland de Autoriteit Persoonsgegevens (AP, voorheen CBP, zie ook de pagina Wetgeving). De AP kan een onderzoek instellen naar vermeende privacy-misstanden in een organisatie, bijvoorbeeld aan de hand van meldingen. Blijkt er iets mis te zijn dan kan zij een bestuurlijke boete opleggen. Dit is toezicht “achteraf”.

Toezicht “vooraf” is wenselijker omdat het schade door misstanden voorkomt. Het zou voor de AP niet te doen zijn preventief elk proces rond elke dataverzameling in elke organisatie volledig uit te pluizen en te monitoren. Daarom kiezen de nationale toezichthouders voor een andere aanpak.

Idealiter is er in elke organisatie die een aanmerkelijke hoeveelheid Persoonlijke Informatie (PI) verwerkt, een Privacy Officer (PO) aangesteld. Deze is verantwoordelijk voor de Privacy Compliance. De PO regelt de processen in de organisatie zo in dat deze voldoen aan de wetgeving en verzamelt daar ook bewijs van. Wil de AP weten of een organisatie aan de wetgeving voldoet, dan hoeft de organisatie slechts het verzamelde bewijsmateriaal aan te leveren. De AP hoeft dan, zo nodig, alleen nog een steekproef te nemen om te checken of het bewijsmateriaal ook betrouwbaar is. Een PO rapporteert regelmatig aan de eigen organisatie over de stand van zaken rond privacy, zodat het risico voor de organisatie beheersbaar is geworden.

Functionaris Gegevensbescherming

Een PO kan zich bij de AP officieel laten inschrijven als Functionaris Gegevensbescherming (FG). In dat geval stelt de AP zich iets terughoudender op dan bij een organisatie zonder FG. Een FG heeft een controlebevoegdheid die hij in onafhankelijkheid moet kunnen uitoefenen. Hij heeft dezelfde rechtsbescherming als een lid van de Ondernemingsraad. Taken van de FG zijn toezicht houden; inventarisaties van gegevensverwerkingen maken; meldingen van gegevensverwerkingen bijhouden; vragen en klachten van mensen binnen en buiten de organisatie afhandelen; interne regelingen ontwikkelen; adviseren over technologie en beveiliging (privacy by design) en input leveren bij het opstellen of aanpassen van een gedragscode.

Audits, PIA’s en PA’s

Het palet aan toezichtinstrumenten omvat minimaal:

  • Privacy Assessments (PA). Doel van een PA is ontdekken waar er licht schijnt tussen de gordijnen van de wettelijke eisen en voorschriften, en de werkelijkheid. Op basis hiervan kan dan een verbeterplan opgesteld worden.
  • Privacy Impact Assessments (PIA). Wanneer er een wijziging wordt voorgesteld in doel, werkwijze of middelen van een bedrijfsproces dient ook de impact op de privacy-compliancy ingeschat te worden. Maatregelen vooraf zijn vaak makkelijker en goedkoper uit te voeren dan reparatieacties achteraf. Overigens kan een wetswijziging ook de aanleiding zijn voor een PIA.
  • Audits. Een Audit is een “officieel momentje”. Het lijkt een beetje op een examen: met een positief afgesloten Privacy-Audit bewijs je aan de buitenwereld dat je voldoet aan de wetgeving. Een externe audit wordt dan ook afgenomen door een onafhankelijke Auditor, vaak een Register EDP auditor (RE), Register Informaticus (RI), Register Accountant (RA) of een Certified Information Security Auditor (CISA). Meestal wordt ruim voor die tijd eerst een een interne audit uitgevoerd, een soort proefexamen. Hiermee komen de laatste zwakke plekken boven tafel zodat deze nog aangepakt kunnen worden.
  • Peer Reviews, waarbij je gestructureerd elkaar de maat neemt, kunnen ook een nuttig leerinstrument zijn. In omgevingen waarin bedrijfsgeheimen en concurrentie-motieven minder spelen, zoals bij de overheid, is het zoeken naar een vergelijkbare organisatie die ook mee wil werken een optie. Anderzijds kun je juist op nieuwe ideeën gebracht worden als je ziet hoe een organisatie uit een compleet andere branche de zaken aanpakt.

Bovenstaande instrumenten zijn nog steeds een beetje “hollen of stilstaan”. Een doorlopend privacy programma (zie de pagina Organisatie) maakt dat de organisatie vloeiender en permanenter kan inspelen op wijzigingen in wet- en regelgeving, apparatuur, processen, organisatieinrichting en organisatiedoelstellingen.

Security Audits versus Privacy Audits

Information Security (IS) heeft als doel de vertrouwelijkheid, integriteit en beschikbaarheid te garanderen (zie ook de pagina Techniek). Om dit te garanderen worden in een Security Audit de fysieke, technische en administratieve veiligheidswaarborgen tegen het licht gehouden, vaak op basis van een algemeen erkende standaard (bijvoorbeeld ISO 27001 en ISO 27002).

Het zou een misvatting zijn om te veronderstellen dat een positieve IS-audit dus betekent dat de organisatie privacy compliant is. Hoewel beide raakvlakken hebben, zijn er ook stevige verschillen aan te wijzen:

  • IS gaat over ALLE data, Privacy alleen over Persoonlijke Informatie.
  • Bij IS label je informatie anders dan bij Privacy. Labels bij IS zijn gekoppeld aan een te garanderen veiligheidsniveau en kunnen bijvoorbeeld (Openbaar, Gevoelig, Vertrouwelijk, Geheim) zijn. Een Privacy labeling is gekoppeld aan de wetgeving, labelt alleen PI en kan zijn (Publiekelijk Bekend, Normaal, Bijzonder). Informatie met het Privacy-label “Normaal” en Informatie met het Privacy-label “Bijzonder” kan allebei vallen onder het IS-regime dat hoort bij het label “Vertrouwelijk”. Andersom kan zelfs het IS-label “Geheim” niet maken dat een organisatie bepaalde PI met het label “Bijzonder”, zoals geloof en ras, ineens wel mag verwerken als dat volgens de wet niet mag.
  • Het begrippenkader is anders, terwijl soms dezelfde woorden worden gebruikt. “Integriteit” bijvoorbeeld is in de IS wereld scherp omschreven en betekent dat de data correct is en alleen kan worden aangepast door geautoriseerd personeel. “Integriteit” in de privacy-wereld heeft een juridische connotatie en betekent eerder iets als “Moreel juist”, in de zin dat iets wettelijk toegestaan kan zijn, maar dat het dan nog niet moreel juist hoeft te zijn.
  • Een IS-audit dekt administratieve processen en procedures voor zover zij betrekking hebben op de informatieveiligheid. Denk daarbij aan scheiding der taken, Identity en Access Management, et cetera. Een privacy-audit besteed ook aandacht aan processen die niet met informatieveiligheid te maken hebben, maar die wel ingeregeld moeten zijn, zoals privacy notices, klokkenluidersregelingen, voorzieningen voor transparantie (data subjects die hun gegevens opvragen, wijzigen of willen verwijderen) en regelingen voor de meldplicht datalekken.
  • Data is het Nieuwe Goud. Kenteken-gegevens bij een trajectcontrole blijken ook handig voor bijtellingscontrole bij de Belastingdienst. Inloggegevens voor toegangsbeheer blijken ook handig voor controle op werktijden van medewerkers. Locatiegegevens van navigatie-apps (kerkbezoek?) blijken ook handig bij het bepalen of iemand een stichting met een specifieke geloofsovertuiging zou willen steunen. Kortom, “function creep” ligt op de loer. De toepasselijkheid van wetgeving en standaarden zijn bij een IS-audit een tamelijk vaststaand gegeven en met welk doel de gegevens verwerkt worden is geen issue. Bij een Privacy-audit zijn de randvoorwaarden en richtlijnen minder eenduidig en aan verandering onderhevig, terwijl de vraag naar het (door function creep mogelijk veranderde) doel van de verwerking juist een centrale plaats inneemt. Wie waarom gegevens verwerkt, onder welke (recente) wet- en regelgeving dat geschiedt en of het daarmee (nog steeds) rechtmatig is valt niet onder een standaard IS-Audit.

Het is dan ook noodzakelijk om NAAST Security Audits OOK Privacy Audits uit te voeren. Voor zover in een Privacy Audit aangetoond moet worden dat de beveiliging van PI “adequaat” is, zijn de resultaten van de Security Audit uiteraard als bewijsmateriaal aan te voeren.

Tools

Op de pagina Tools voor de FG/PO vind je een aantal (links naar) handige hulpmiddelen.

 

Laat commentaar achter