privacy-blogreeks-1-1200

In deze blogreeks over privacy ga ik in op de verschillende onderdelen van een goed privacy management framework. Uitgebreide juridische verhandelingen laat ik zoveel mogelijk achterwege. Graag geef ik je een aantal praktische handvatten om te komen tot een verantwoorde omgang met persoonsgegevens.

Het eerste deel ging over persoonsgegevens: Wat is nu eigenlijk een persoonsgegeven en waarom zijn er specifieke regels bedacht voor die gegevens?

In het tweede deel van de blogreeks wordt de term ‘verwerken’ uitgediept. Wanneer ben ik nu aan het verwerken en wanneer ook niet. Is er onderscheid te maken in soorten verwerkingen? Ik zal ook ingaan op de verplichting om verwerkingen te registreren en hoe deze registratie kan worden opgezet.

Wettelijke definities verwerking

Maar eerst toch weer een stukje wetgeving. In het kader van persoonsgegevens komen we daar nu eenmaal niet onderuit. Het goede nieuws hiervan is trouwens wel weer dat er hele nieuwe samenwerkingsverbanden tot stand komen tussen juridische, ICT, Risicomanagement en procesmanagement afdelingen.

Ook hier weer aandacht voor zowel de WBP als de AVG. Ik start weer met de Nederlandse wetgeving. Deze is tenslotte nog steeds relevant.

We beginnen weer met Artikel 1 uit de WBP, dit keer het tweede lid. Hierin staat de definitie van verwerken als volgt:

verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

Dit geeft een uitgebreide definitie van handelingen, maar het komt er in het kort op neer dat alles wat je kan doen met gegevens onder de definitie van verwerken valt. Hiernaast geeft de Nederlandse wetgever ook nog een definitie van de term bestand in het derde lid van Artikel 1:

bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

Hierin is het woordje gestructureerd iets wat direct opvalt. Dus elke vorm van structuur brengen geeft in de relevantie van deze wet een bestand, zolang het toegankelijk is, en meer bevat dat de gegevens van 1 persoon. Dus gechargeerd, het op een grote (ongestructureerde) hoop gooien van visitekaartjes zou in het kader van deze wet niet direct een verwerking hoeven te zijn.

Beide definities zijn van belang omdat in het eerste echte wetsartikel van de WBP (Artikel 2) wordt bepaald wanneer de WBP van toepassing is.

Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Dit artikel geeft in combinatie met de twee definities aan wanneer de WBP van toepassing is. Dus op alle programma’s, databases, Excel lijstjes, tekstbestanden, etc waar gestructureerde gegevens in staan van een identificeerbare persoon. Maar ook alle rolodexen, fysieke (papieren)dossiers, smoelenboekjes, Enterprise directory’s, enzovoort, enzovoort.

Aantal voorbeelden uit de dagelijkse praktijk. Zoals in het vorige blog al besproken, een foto kan in context een bijzonder persoonsgegeven zijn. Het maken van een smoelenboek is daarmee een verwerking van bijzondere persoonsgegevens geworden. Immers, we hebben persoonsgegevens, en we structureren het ook nog eens. In een volgend blog kom ik op dit voorbeeld terug, want dit is ook in het kader van grondslag een bijzondere verwerking. Het tweede voorbeeld. Het in een groot bestand bijhouden van contactgegevens van klanten is een verwerking. De vorm van het bestand maakt dan niet meer zo veel uit. Gelukkig heeft onze wetgever wel bedacht dat het moeten voldoen aan deze wetgeving voor een huishouden met een adresboekje een behoorlijk zwaar middel zou zijn. Dit is één van de uitzonderingen in het artikel, de andere hebben betrekking op specifieke verwerkingen in het kader van de BPR, de politie, justitie en inlichtingendiensten, de krijgsmacht en de kieswet. En in artikel 3 nog een uitsluiting voor journalistieke, artistieke of literaire doeleinden.

Nog een nog een paar voorbeelden van verwerkingen die vallen de WBP, het door een klant van een winkel laten invullen van een antwoordstrookje, het op een website registreren van gegevens voor een event, het in een directory op een server zetten van een verzameling cv’s.

Terug naar de definitie van verwerken, ook in de AVG is de definitie van verwerking opgenomen (artikel 4 lid 2);

„verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Zoals te zien zijn er voornamelijk taalkundige verschillen tussen deze definitie uit de AVG en de definitie in de WBP (zal wel iets te maken hebben met de Vlaamse vertaling..). Hiernaast noemt de AVG in de definitie dat het al dan niet via een geautomatiseerd procedé kan lopen. Iets wat in de WBP pas in het artikel over de toepassing en reikwijdte aan bod komt. In de Memorie van toelichting komt ook expliciet tot uitdrukking dat de beginselen van gegevensbescherming technologie onafhankelijk zijn. En ook moeten worden ingevoerd als het een handmatige verwerking betreft. Het gaat om de bescherming van de verwerkte persoonsgegevens.

De AVG benoemt ook nog wat een bestand is (artikel 4 lid 6);

„bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid

Voor de toepasbaarheid van de AVG is ook weer artikel 2 van belang op hoofdlijnen is dit artikel hetzelfde als het artikel in de WBP. Met als verschil dat het woordje wet is vervangen door verordening.

Verwerken in de praktijk

Er worden in de wet dus niet rechtstreeks verschillen gemaakt tussen verwerkingen. In een later blog kom in nog terug op hoe verschillende soorten van persoonsgegevens verschillend behandeld moeten worden. Gelukkig is er bijvoorbeeld een verschil tussen hoe om moet worden gegaan met mijn medische gegevens en mijn naam.

Maar voor dit blog waar we kijken naar de algemene definitie van verwerken is er dus geen verschil.

Aan de verwerkingen worden een flink aantal eisen gesteld. Hierbij moet je denken aan eisen als behoorlijke en zorgvuldige verwerking, juiste grondslag, doelbinding, bewaartermijn, minimalisatie, beveiliging. Op elke eis kom ik in een later blog terug. Om deze eisen te kunnen koppelen aan de verwerkingen is het dus van belang dat we weten welke verwerkingen eigenlijk plaatsvinden in een organisatie. Het zal je niet verbazen dat, als we al meer dan een kwart eeuw bezig zijn met het op orde brengen van iets basaals als een configuratie management database, een overzicht van waar allemaal in bedrijven persoonsgegevens verzameld, bewerkt en opgeslagen worden niet altijd volledig inzichtelijk is. Toch is dit ook vanuit de WBP en de AVG een verplichting. Er moet een register zijn van verwerkingen. Onder de WBP (artikel 27) moeten verwerkingen (uitzonderingen daargelaten) zelfs worden gemeld aan de AP.

Bij nieuwe verwerkingen bestaat de mogelijkheid om bij de start aan te haken door middel van een verkorte Privacy Impact Analyse (PIA, en in de AVG vertaald als gegevensbeschermingseffectbeoordeling). Er is in de AVG een verplichting gesteld aan het uitvoeren van een PIA, als “gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen“ en bij het gebruik van nieuwe technologieën. Dit is binnen een organisatie goed te vertalen in, we doen bij aanvang van het ontwerpen van een nieuw bedrijfsproces, of een nieuw IT-systeem altijd een snelle toets of er in het proces of systeem ergens persoonsgegevens worden gebruikt.

Maar dit helpt niet bij de al bestaande verwerkingen. Hier voor komt het neer op “ouderwets” onderzoek. Vanuit het bedrijfsproces (top down) of vanuit het IT-systeem (bottom up) op zoek gaan naar die informatiestromen waar mogelijk iets van persoonsgegevens in verwerkt wordt. Het resultaat is de start van een register. Na deze stap moet dit alleen nog aangevuld worden met welk proces en/of welk systeem persoonsgegevens verwerkt. En als je slim bent ook de link tussen deze twee. Er bestaan in een aantal software(privacy management) tools die je kunnen helpen bij de administratie van het register.

Voor het onderzoek kunnen een aantal functionarissen in het bedrijf je goed helpen. Vanuit de informatie kant de Informatiemanagers, de (enterprise) architecten, en de functioneel beheerders. Vanuit de business kant, de procesmanagers, de compliancemanagers. En natuurlijk ook de business verantwoordelijke. Zij kunnen tenslotte worden aangesproken op hun verantwoordelijkheid voor de verwerking van gegevens ten behoeve van hun bedrijfsprocessen. Denk trouwens bij navragen ook aan afdelingen die meestal niet direct in het primaire bedrijfsproces zitten (marketing, sales, HR, etc.)

De uitvraag kan worden gedaan met behulp van vragenlijsten of aan de hand van interviews. En natuurlijk door een deel deskresearch aan de hand van beschrijvingen van processen en systemen.

Het register moet ook formeel worden vastgesteld. En is onderdeel van de verplicht gestelde documentatie voor verwerkingen.

De volgende keer

De volgende stap is voor de verwerkingen te onderzoeken of er wel voldoende basis is om de persoonsgegevens te verzamelen en verwerken. Eerst zal ik de moraal van privacy behandelen, daarna de meer “technische” zaken zoals of het doel niet op een andere wijze in te vullen is. We raken dan doelbinding, grondslagen voor verwerking en de begrippen proportionaliteit en subsidiariteit. Maar dat bewaar ik tot het volgende blog.

Jacques Eding

Heeft u een vraag?

Neem contact op