privacy-blogreeks-1-1200

In deze blogreeks over privacy ga ik in op de verschillende onderdelen van een goed privacy management framework. Uitgebreide juridische verhandelingen laat ik zoveel mogelijk achterwege. Graag geef ik je een aantal praktische handvatten om te komen tot een verantwoorde omgang met persoonsgegevens.

We zijn aangekomen bij deel zes van de blog serie. Zoals vorige week aangekondigd wordt deze blog weer iets praktischer van aard. Ik ga het hebben over de rol van een Functionaris Gegevensbescherming (FG/DPO), wat een gegevensbeschermingseffectbeoordeling is, hoe zich dit verhoudt met risico analyses en op hoofdlijnen wat de registerplicht inhoudt.

Functionaris Gegevens Bescherming.

De AVG is zodanig opgezet dat organisaties zelf verantwoordelijk (accountable) zijn voor het voldoen aan deze wetgeving. De AVG is een “accountability-based compliance framework”.  Om te zorgen dat organisaties blijvend voldoen aan de eisen in deze wet heeft de wetgever bedacht dat er een zogenaamde DPO kan worden aangesteld. In het Nederlands ook al bekend als Functionaris gegevensbescherming. Er is veel te doen omdat het wordt neergezet als een “verplichting”. Als ik de geluiden uit de markt bij elkaar optel lijkt het wel of de slager op de hoek verplicht een DPO moet gaan aanstellen omdat hij niet alleen mijn naam weet, maar ook nog heeft opgeschreven waar ik woon. (Dat is tenslotte wel zo handig om de gourmetschotels te laten bezorgen). Dit is trouwens best wel opvallend, de noodzaak voor een Functionaris Gegegevensbescherming is namelijk niet nieuw. In de Wet Bescherming Persoonsgegevens (WBP) staat deze ook al. (artikelen 62 tot en met 64).

Er veranderen wel een aantal zaken onder de AVG. (artikelen 37 t/m 39)

In de AVG is de aanstelling van een specifieke functionaris verplicht gesteld in een zeer beperkt aantal gevallen. Er worden drie situaties genoemd waarin het aanstellen van een formele FG verplicht is:

  1. Als de organisatie een overheidsorgaan of instantie is
  2. Als er een verwerking plaatsvindt die neerkomt op, op grote schaal regelmatige en stelselmatige observatie van personen.
  3. Als er in de organisatie op grote schaal bijzondere gegevens worden verwerkt.

In alle andere gevallen is het installeren van de FG functie dus niet verplicht. Wat precies “grote schaal” is wordt niet benoemd, maar er worden wel een aantal soort organisaties benoemt door de  Artikel 29-werkgroep (WP29). Dit zijn ziekenhuizen, openbare vervoerders, verzekeringsmaatschappijen, banken, zoekmachines (ten aanzien van persoonlijke advertenties) en telecom- en internetproviders. De regel voor overheidsorganen kan trouwens ook slaan op partijen die publieke taken uitvoeren, bijvoorbeeld (wederom) openbare vervoerders, leveranciers van NUTS voorzieningen, organisaties in de volkshuisvesting, enz. Voor organisaties die op enige wijze profileren, denk bijvoorbeeld aan klantenpassen, slimme IOT devices (thermostaat), allerlei apps op de telefoon die gezondheid bijhouden, maar ook personal devices als fittbits, is de regel dat zij stelselmatig personen observeren.

Naast deze wettelijke plicht om een FG aan te wijzen is het volgens mij altijd noodzakelijk en wenselijk om binnen een organisatie een verantwoordelijke voor gegevensbescherming aan te stellen. Dit omdat deze functionaris een regiefunctie kan uitoefenen in het compliant worden en blijven aan de AVG. Om te zorgen voor een goede belangenafweging is het in mijn opinie niet optimaal om alle vraagstukken rondom gegevensbescherming neer te leggen bij een CISO/ISO functionaris. Niet alleen bestaat privacy uit veel meer dan uit het beschermen van de gegevens, maar er kan ook een belangenverstrengeling optreden tussen de functie van de CISO en die van een Privacy verantwoordelijke. Binnen het privacy management gaat het voornamelijk over het juist behartigen van de belangen van de betrokkenen (en daar vanuit de optimale business value creëren), binnen security management staan juist de belangen van de organisatie voorop. Als deze functionaris de titel Functionaris Gegevensbescherming krijgt, zelfs als dit volgens de regels niet nodig is, verwachten de Europese regelgevers en toezichthouders wel dat deze functie aan dezelfde eisen voldoet als een “formele” FG. Als de functionaris Privacy Officer, of iets dergelijks wordt genoemd is deze verplichting er niet.

Functionaris Gegevensbescherming (of in het Engels Data Protection Officer)

Een FG moet aan een aantal eisen voldoen rondom kennis, kunde en gedrag. Zijn/haar opdrachtgever krijgt een aantal voorwaarden rondom positionering, aansturing en onafhankelijkheid van de FG. (Met zelfs enige bescherming van onafhankelijkheid, artikel 38.3). De FG krijgt van de WP29 en in artikel 39 AVG een aantal adviestaken toebedeelt; controle op volledigheid van registratie van verwerkingen, adviesrol in PIA’s, advies rol bij het in kaart brengen en juridisch beoordelen van en adviseren over verwerkingen. Voor al deze taken blijft gelden dat de organisatie zelf verantwoordelijk is en dat de FG vanuit de AVG alleen een dwingende (en verplichte) advies rol heeft. Bij de adviesrollen geldt dus ook dat een organisatie, gedocumenteerd, mag afwijken van het advies van de FG. Mijn persoonlijke gedachte hierbij is dan wel weer, waarom iemand aannemen en formeel de rol toewijzen, als er vervolgens niet wordt geacteerd volgens zijn/haar advies.

Daarnaast wordt er van de FG verwacht dat hij/zij als contactpersoon optreed tussen de toezichthouders (de AP) en de organisatie en intern toezicht houdt op de juiste invoering van de AVG binnen de organisatie.

De organisatie die een FG aanstelt moet er echter ook voor zorgen dat de FG wordt betrokken bij alle stappen en fases binnen het tot stand komen van een gegevensverwerking. Er moet binnen de organisatie een (verplichte) raadpleging van de FG zijn. De WP29 raadt aan om dit doormiddel van bedrijfsvoorschriften te institutionaliseren. Van een aangestelde FG wordt ook verwacht dat deze kennis heeft en houdt van de Europese en nationale privacywetgeving, de gegevensverwerkingen en informatiesystemen van de organisatie, de status van informatiebeveiliging en de (technische) vereisten voor gegevensbescherming. (Een kleine tussenstap, maar wij hebben een training die precies op deze kennis noodzaak is toegespitst.)

Voor de kleine organisaties is het niet verplicht een FG zelf in dienst te hebben. Deze functionaris mag ook worden ingehuurd, of worden gedeeld met andere organisaties. In alle gevallen moeten er wel waarborgen worden aangebracht om er voor te zorgen dat er geen belangenverstrengeling is tussen deze functie en de bepalende functie in de verwerking. Dat de FG geen instructies krijgt over de uitvoering van de taken, de FG niet kan worden gesanctioneerd of ontslagen omwille van de uitvoering van de taken en dat de FG rapporteert aan het hoogste management van de verantwoordelijke of de bewerker.

De risico analyse en gegevensbeschermingseffectbeoordeling (PIA).

Ik heb het al een beetje benoemt bij het verschil tussen een CISO en een FG achtige rol maar hier nogmaals: We kennen al een hele tijd allerlei manieren om risico analyses te doen. We hebben IRAM, Sprint, ISO/IEC 31000, ISO/IEC 27005, COSO, en zo kan ik nog wel even doorgaan. Maar wat deze methodes allemaal bindt is dat de risico analyses uitgaan van het risico voor de organisatie. In het kader van de verwerking van persoonsgegevens heel relevant, ook voor deze gegevens moet worden bepaalt wat de gewenste beschikbaarheid, integriteit en vertrouwelijkheidskenmerken moeten zijn. Maar voor elke verwerking van persoonsgegevens moet er ook nog een andere risico analyse worden uitgevoerd, eentje die het risico van de verwerking voor de betrokkene in beeld brengt. We hebben het al eerder benoemd maar uit deze risico analyse komt ook een goede en gedegen beoordeling van subsidiariteit en proportionaliteit. Een goed instrument hiervoor is het uitvoeren van een PIA. De beroepsvereniging van IT auditor, NOREA heeft hier een goede handreiking voor uitgebracht. Dit is echter voor veel verwerking nogal overkill. Daarom kan het in de praktijk handig zijn om een QuickScan PIA te ontwikkelen. Hierin wordt in een aantal korte vragen beoordeelt of het risico voor de betrokkenen dusdanig is dat het gerechtvaardigd is om een gehele PIA uit te voeren. Een PIA is in een aantal gevallen ook verplicht gesteld. Vanuit de AVG als de verwerking tot doel heeft om te profileren, grootschalige verwerking van bijzondere persoonsgegevens beoogt, of de openbare ruimte gaat monitoren (zie ook de regels rondom het aanstellen van een FG). Hiernaast geldt in Nederland nog dat er binnen de rijksoverheid altijd een PIA moet worden uitgevoerd bij een grootschalige vernieuwing of invoering van ICT systemen en het opstellen van nieuwe wetgeving. In de PIA wordt vastgelegd waarom (vanuit welke doelbinding), op welke manier en hoelang er persoonsgegevens verwerkt en bewaard gaan worden. Daarbij moeten de aanwezige risico’s in kaart gebracht en beoordeeld worden. Het is trouwens in een aantal gevallen zelfs verplicht om de PIA met betrokkenen te bespreken. Ik mag trouwens hopen dat de toezichthouders in dit geval een vertegenwoordiging van betrokkenen in sommige gevallen ook goed gaat vinden.

De resultaten van de PIA, waarin ook het advies van een FG moet zijn verwerkt, is de basis voor het nemen van maatregelen.

Registerplicht

Het is van belang zorgvuldig in kaart te brengen welke persoonsgegevens de organisatie verwerkt, bijhoudt, waar deze vandaan komen en met wie deze worden gedeeld. In dit register waarin alle verwerkingen van persoonsgegeven moeten staan is alleen verplicht voor organisaties met meer dan 250 medewerkers, als er stelselmatig (bijzondere) persoonsgegevens worden verwerkt, of als de verwerking een groot risico voor de betrokkenen inhoudt. Als je een register moet gaan bijhouden moeten daar in ieder geval de volgende gegevens in staan:

  • De doeleinden van de verwerking;
  • Met wie de gegevens worden gedeeld;
  • Contactgegevens van de verwerker en bewerkers
  • De beveiligingsmaatregelen
  • De bewaartermijnen
  • De voor de verwerking verantwoordelijke en zijn/haar contactgegevens

Doordat een toestemming ten alle tijden door de betrokkenen op een eenvoudige wijze moet kunnen worden terug getrokken moet er ook ergens een register bestaan van de afgegeven expliciete toestemmingen. Ook moet, als er in de verwerkte persoonsgegevens onnauwkeurigheden zijn geslopen, vanuit dit register alle partijen waarmee de gegevens zijn gedeeld op de hoogte worden gebracht van de fouten. Zodat deze fouten door de andere partijen kunnen worden aangepast in hun eigen register.

Het voordeel van het opstellen van een eigen register is wel dat er voor het geheel aan verwerkingen verantwoordelijkheid kan worden genomen door het hogere management. Voldoet de organisatie ook gelijk aan de verantwoordelijkheidsvereiste uit de AVG. Volgens dit principe dient een bedrijf of organisatie te bewijzen dat ze in overeenstemming met de databeschermingsprincipes handelt.

Als je toch bezig bent, mijn advies zou zijn om in het register ook alle bewerkers en sub bewerkers in een verwerking op  te nemen. Inclusief de overeengekomen “bewerkersovereenkomst”. Dit hoeft trouwens, in tegenstelling tot wat er afgelopen jaar lijkt te zijn gebeurd, geen separate overeenkomst te zijn. De vorm hiervan is niet vastgelegd in de wet. Het kan dus best onderdeel zijn van een algemene overeenkomst tot het uitvoeren van diensten.

De volgende keer

In mijn volgende blog ga ik in op de bewaartermijn, een heikel punt voor veel organisaties: Hoe stel je die vast, en wat voor effect heeft een vastgestelde bewaartermijn op de verwerking?

Jacques Eding is een expert op het gebied van privacy management en informatiebeveiliging. Hij heeft in de afgelopen 25 jaar in verschillende rollen diepgaande kennis opgebouwd op het gebied van informatie risicomanagement, informatiebeveiliging en privacybescherming. Hij heeft binnen verschillende organisaties rollen bekleed zoals auditor, manager, adviseur, CISO, FG/DPO, en coach. Hij staat ingeschreven als EDP Auditor in het beroepsregister van Norea (RE) en is daarnaast gecertificeerd op het gebied van Privacy (CIPP/E), privacy management (CIPM), Security (CISSP), securitymanagement (CISM) en IT audit (CISA). Hij haalt naast het consultancywerk veel energie uit zijn rol als trainer bij cibit academy voor opleidingen op het gebied Security en Risicomanagement. En is geaccrediteerd door (ISC)2 als Trainer voor onder ander de CISSP- en SSCP-certificeringen.

Heeft u een vraag?

Neem contact op