Instrumenten voor privacy-compliance
Waarom zijn er ook alweer privacyregels. Dat zou je bijna uit het oog verliezen als je de stortvloed ziet aan informatie over privacyregulering: deze regels zijn er niet alleen voor consumenten, waarvan wij in Europa vinden dat zij tegen misbruik, inbreuk op privacy of big data beschermd moeten worden. Zij beogen alle privépersonen te beschermen, ook als die privépersoon in de een of andere functie een rechtspersoon vertegenwoordigt. Dat per 1 januari jl. de meldplicht (WMD) van kracht is geworden en dat sinds kort bekend is hoe de Europese privacyverordening (EPV) gaat luiden, die in mei 2018 van kracht wordt, is op vele andere plaatsen te lezen. In deze bijdrage gaat het om methoden en instrumenten om privacybeleid aan te pakken.
Kies een benadering
Misschien is je eerste zorg: hoe overtuig ik mijn organisatie dat ze iets (of misschien zelfs: veel) aan privacy moet doen. Is het zo erg dat er helemaal geen overzicht is van de verwerkingen die in de organisatie plaatsvinden? Of zijn er twijfels over de beveiliging van gegevens. Misschien is er in de organisatie nog onvoldoende awareness, en delf je met aandacht of geld vragen voor privacy-compliance steeds het onderspit. Misschien speelt voor een ander meer de vraag of je organisatie zelf alles kan doen om compliant te worden of dat je een externe moet inschakelen. Weer ande-ren vragen zich af hoe ze iedereen in de organisatie die te maken heeft met verwerkingen van persoonsgegevens op een goede manier kunnen betrekken bij de aanpak en de uitvoering van het privacybeleid. Hieronder gaat het dan ook over 3 uitdagingen: bewustzijn creëren, waar begin je met privacy-compliance en de governance van compliance.
Bewustzijn creëren voor privacy compliance in je organisatie
Mijn ervaring is dat je niet te snel moet dreigen met de torenhoge boetes. Dreigen met boetes werkt vaak zelfs averechts als je commitment vraagt. Echte commitment krijg je met inhoudelijke argumenten. Als die inhoudelijke argumenten aansluiten bij de behoefte van je organisatie is dat nog beter.
Een organisatie die nog weinig aan privacy heeft gedaan beseft waarschijnlijk nog niet welke voordelen kunnen worden behaald met het inregelen van de verplichtingen op grond van de Wbp. Hoe kan jouw organisatie een competitive advantage behalen?
Is jouw organisatie meer geïnteresseerd in bescherming van haar eigen bedrijfsgegevens dan in de persoonsgegevens die er worden verwerkt? Dan stem je je advisering daarop af: je kunt bedrijfsgegevens zeer goed parallel aan de persoonsgegevens beschermen. Zeker aspecten als security, gebruik van eigen apparaten en usb-sticks in de organisatie en de inrichting van het document management systeem. Je hebt voor beide systemen vaak met dezelfde wederpartij te maken en het regelen van het gebruik van eigen devices staat in eenzelfde reglement of gedragscode.
Het privacybeleid van een organisatie zal zijn afgestemd op de exposure die de organisatie heeft; worden vaak gevoelige persoonsgegevens verwerkt of is de verwerking daarvan zelfs een onderdeel van de business case van de organisatie dan is voortvarendheid geboden. Denk ook aan het risico dat een klant contractueel IT-audits bij je heeft bedongen of aan audits van inspecties of toezichthouders: deze risico’s dienen bij de inrichting van je systemen te worden ingeregeld, met waarschijnlijk dezelfde teams van eenzelfde samenstelling.
Het privacybeleid is een signaal voor de eigen organisatie en de buitenwereld dat bepaalde waarden sterk worden uitgedragen.
Het hebben van een in principe werkend systeem voor de naleving van privacyregulering helpt de organisatie zich te verweren tegen de toezichthouder, bijvoorbeeld in geval van een datalek.
Denk tenslotte aan de imagokansen die het oplevert als je in je relatiemanagement (en dus niet alleen bij je klanten maar bij al je zakelijke contacten, ook leveranciers) in elektronische communicatie om toestemming vraagt of customer audits durft toe te laten; ook dat zijn immers contactmomenten. Hoe zorgvuldig komt het over als je organisatie de zaken gewoon goed voor elkaar heeft? Dit geldt niet in de laatste plaats voor de privacyregulering door ICT-bedrijven. ICT-bedrijven kunnen overigens ook afnemers van hun software een enorme waarde bewijzen door hen correct en vooral proactief te adviseren over ieders rol bij de verwerking van persoonsgegevens.
Waar begin je als je je organisatie privacy-compliant wil maken?
Je begint de privacyregulering van je organi-satie op de punten waar er het minst aan gedaan is; de belangrijkste risico’s eerst.
De functionaris gegevensbescherming
Sinds de wetswijziging van 1 januari 2016 is je eerste punt van aandacht de aanwijzing van een functionaris gegevensbescherming (FG). De FG heeft een zelfstandige positie binnen de onderneming en heeft een rechtstreekse lijn met de leiding van de organisatie. Deze FG kan een van de juristen zijn, zoals hoofd juridische zaken, maar ook een IT’er of iemand van buiten de organisatie. Deze FG kan ook tevens de Privacy Officer (PO) zijn aan wie de verantwoordelijkheden van de FG zijn toebedeeld.
Grootste risico’s
Organisaties waarbij de verwerking van persoonsgegevens onderdeel is van hun businessmodel (bijv. telecomproviders) moeten op alle fronten tegelijk aan het werk en beginnen met een Privacy Impact Assessment. Deze wordt trouwens verplicht zodra de EPV in volle omvang van kracht is. Stel dat er sinds 1 januari jl. nog niet veel aan het voorkomen van datalekken is gedaan, dan moet met de FG worden afgestemd wat het eerste moet gebeuren: werken aan het opzetten van een goede privacy-administratie; denk aan de bewijspositie van de onderneming bij datalekken of het formuleren van het vereiste minimale security level in contracten met IT- leveranciers.
Teamwork
Ook kan je punt zijn: ik kan als jurist niet goed beoordelen waar ik op moet letten bij gegevensverwerkingen waar meerdere (IT-) partijen bij betrokken zijn. Wie heeft nu welke rollen en verantwoordelijkheden, wat gebeurt er nu precies met die gegevens in het hele proces? Deze situatie vraagt om IT-inbreng: iemand die je dit uitlegt, waarna jullie samen de Wbp vereisten langs lopen. Het kan raadzaam zijn om een vast multidisciplinair projectteam te vormen: juristen en IT-ers die het door de FG opgezette beleid uitrollen.
De verschillende lagen van privacy compliance
Stel je weet wel ongeveer welke kennis en ervaring in de organisatie beschikbaar is om de privacy-compliance goed op orde te brengen, maar hoe stel je iedereen goed op en hoe kom je tot een zeker gevoel ‘in control’ te zijn ten aanzien van privacy? De nieuwe EPV stelt al de eis dat er een systeem voor gegevensbescherming moet zijn. De wet bepaalt dat er een FG moet worden aangesteld. Deze stippelt in grote lijnen de privacy-governance uit. Het is de taak van de te benoemen FG om ervoor te zorgen dat dit beleid is of wordt afgestemd met de directie, dat het is of wordt geïmplementeerd en dat ieder zijn of haar rol daarbinnen vervult.
Privacybeleid:
Een goede privacy governance houdt in dat iedereen in de organisatie weet wat zijn of haar rol is in het geheel van privacy-compliance, dus er is een charter met daarin het privacybeleid beschikbaar. De FG zet de hoofdlijnen van deze governance neer voor de organisatie. Het privacyteam dat hierna wordt genoemd rolt het uit. De privacygerelateerde rollen zijn beschreven, en de delegatie daarvan binnen de organisatie evenals de verplichtingen van verschillende sleutelfunctionarissen, om bijvoorbeeld nieuw gebruik van bestaande bewerkingen intern te melden om te laten toetsen. (Zie schema hieronder)
Leiding ziet het belang van privacybescherming:
De leiding van de organisatie is uiteindelijk verantwoordelijk voor privacy; idealiter is de leiding ervan doordrongen dat bescherming van persoonsgegevens belangrijk is en dat de aandacht voor privacybescherming op het niveau van het topmanagement om meer gaat dan alleen datasecurity. Als het topmanagement de kansen inziet van een goede naleving van privacyregulering kan de organisatie zelfs een voorsprong halen op haar concurrenten (competitive advantage). Het eerste aanspreekpunt van de leiding voor privacy-gerelateerde onderwerpen is de FG.
Midlevel:
Het privacybeleid ten aanzien van verwerkingen, datalekken, etc wordt binnen de organisatie uitgevoerd door een combinatie van juristen en IT’ers, telkens aangevuld met medewerkers van de verschillende afdelingen waar verwerkingen van persoonsgegevens plaatsvinden. Deze teams kennen de moge-lijkheden en onmogelijkheden van de Wbp. Zij voeren het privacybeleid uit in opdracht en volgens de instructies van de FG/Privacy Officer. Het uitrollen van beleid kost tijd. Denk alleen al aan de privacyadministratie. Daarom raden we aan om met het uitrollen van het beleid niet te wachten tot de EPV verplicht wordt. Ook is van belang dat de privacyteams op de hoogte zijn van veranderingen in de organisatie waardoor de dataverwerkingen veranderen.
Operationeel niveau:
Op het niveau van de afdelingen moet iedereen op de hoogte worden gebracht van de privacyregels die van toepassing zijn op de werkzaamheden. Het is niet ongebruikelijk dat de afdelingen zelf de beschrijvingen maken van de bewerkingen, die vervolgens door de juristen worden getoetst. De afdelingen moeten checken of het gebruik van de data plaatsvindt en blijft plaatsvinden in overeenstemming met de goedgekeurde beschrijving. Wat geoorloofd gebruik is van de persoonsgegevens in hun werkprocessen moet hen dan ook bekend zijn. Dat houdt minimaal in dat trainingen moeten worden gehouden, maar nog beter is het om werkprocessen zodanig in te richten dat de privacycheck plaatsvindt voordat de gegevens worden gebruikt voor een ander doel.
De FG bewaakt dat het systeem blijft werken, zorgt voor de naleving van interne en externe regels op het gebied van privacy, zorgt voor draaiboeken voor calamiteiten en dergelijke. Deze functionaris is ook het eerste aanspreekpunt voor de toezichthouder, de Autoriteit Persoonsgegevens, bijvoorbeeld bij de verplichte melding als er een datalek wordt geconstateerd (en is degene die de informatievoorziening verzorgt aan degenen van wie de data zijn gelekt). De tekst van de brief of mailing wordt wel afgestemd met de jurist in verband met de juridische exposure.
Praktische informatie:
De recent vastgestelde tekst van de Europese Privacy Verordening (ook wel genoemd de Algemene Verordening Gegevensbescherming AVG) is hier te vinden (Klik op de afbeelding->).
De Verordening is in werking getreden op 25 mei 2016, maar er is een overgangsperiode van twee jaar. Gedurende deze overgangs- periode gelden bijvoorbeeld de sancties en de boetebedragen nog niet. Ook blijft de Wbp van kracht. Op 25 mei 2018 treedt de verordening in werking en is de Wbp op te gelden. De verordening is bedoeld om een level playing field te bewerkstelligen in Europa, maar er zijn landen die uitzonderingen hebben bedongen. Tegelijkertijd is ook een Richtlijn vastgesteld die betrekking heeft op de
verwerking van persoonsgegevens door de autoriteiten met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten en betreffende het vrije verkeer van die gegevens. (klik op de afbeelding->).
De Europese Privacy Verordening helpt organisaties bij de invulling van de vele regels. De EPV schrijft namelijk voor dat er systematisch wordt geïmplementeerd (art. 25 EPV, lid 1 en 2).
Privacy by Design (gegevensbescherming door het opzetten van een systeem) betekent dat de organisatie in een vroeg stadium nadenkt over:
Het goede/juiste (minimale) gebruik van persoonsgegevens in een organisatie.
De noodzakelijkheid van het gebruik van deze gegevens.
De bescherming van de gegevens en betrokken personen.
Het voorschrift van Privacy by Default (gegevensbescherming door standaard- instellingen) houdt in dat de organisatie passende organisatorische en technische maatregelen treft om ervoor te zorgen dat de organisatie alleen gegevens verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Dat betekent dat bijvoorbeeld bij het aanschaffen van databases of de inrichting van een IT-systeem direct maatregelen worden genomen om ervoor te zorgen dat de hoeveelheid ver-werkte gegevens en de bewaartermijn daarvan zijn afgestemd op het doel waarvoor de gegevens worden bijgehouden. Met name moet ervoor worden gezorgd dat de gegevens niet aan een onbeperkt aantal mensen ter beschikking worden gesteld.
De maatregelen moeten voldoen aan de stand van de techniek op het moment van de implementatie.
Privacy by Design en by Default zijn de twee hoofdprincipes voor privacy compliance in iedere organisatie. De EPV bevat de verdere voorschriften waarmee deze principes worden geïmplementeerd.
Rol van de externe accountant bij privacy
Ook de externe accountant houdt in zekere zin controle op de naleving van de privacyregelgeving van organisaties. De externe accountant heeft de verplichting om in het kader van de jaarrekeningcontrole een redelijke mate van zekerheid te verkrijgen dat de financiële overzichten geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude en fouten. De accountant moet daarbij rekening houden met de op de organisatie van toepassing zijnde wet- en regelgeving, waaronder de Wbp en binnenkort de EPV. De werkzaamheden die de accountant hiervoor moet uitvoeren, zijn afhankelijk van de vraag of hij een vermoeden heeft of hoort te hebben van niet-naleving van de regels.
Meer over Liance Legal of Bernadette van Leeuwen, klik hier