Artikel
Uitbesteding bij financiële ondernemingen Wet- & regelgeving en de IT-auditor (deel 2 – Wbp)
Jeroen van Puijenbroek
Aan uitbesteding kleven risico’s. Daarom worden op grond van wet- en regelgeving eisen gesteld aan uitbesteding bij financiële ondernemingen. In het eerste 1 deel van dit artikel is ingegaan op de Wet financieel
toezicht (Wft), de eisen die de Wft stelt aan uitbesteding door financiële ondernemingen en de rol die de IT-auditor kan spelen ten aanzien van de naleving van de Wft. Nu komt aan bod wat de Wet bescherming persoons-
B
ij werkzaamheden die door financiële ondernemingen worden uitbesteed en die onder de definitie van artikel 1 Wfti vallen, zal veelal sprake zijn van verwerking van persoonsgegevens. Dit betekent dat naast de Wft ook de Wbp van toepassing is en dat moet worden voldaan aan de daaruit voortvloeiende eisen. Daarom wordt in dit tweede deel van het artikel ingegaan op de uitgangspunten en structuur van de Wbp, de Wbp en uitbesteding en zal per fase van het uitbestedingproces worden aangegeven met welke bepalingen uit de Wbp de IT-auditor rekening moet houden.
gegevens (Wbp) voor IT-auditor betekent.
Uitgangspunten en structuur Wbp Uitgangspunten De Wbp is op 1 september 2001 in werking getreden en stelt eisen aan de wijze waarop organisaties mogen omgaan met persoonsgegevens. De Wbp is van toepassing op ‘de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens alsmede niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen’. Hierbij zijn persoonsgegevens gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon (de betrokkene). Onder verwerking wordt iedere handeling met betrekking tot een persoonsgegeven verstaan, vanaf het moment van verzamelen tot en met het verwijderen en vernietigen. De Wbp is dus bijvoorbeeld niet alleen van toepassing op alle gegevens die over een specifieke klant zijn opgenomen in het CRM-systeem (Customer Relationship Management), maar ook op de aantekeningen van de accountmanager die nog in het CRM-systeem moeten worden opgenomen, net als het papieren dossier zolang dit een ‘gestructureerd geheel’ vormt (bijvoorbeeld op naam is gearchiveerd). Het uitgangspunt van de Wbp is dat er, met uitzondering van de verwerking van bijzondere gegevens (zie hierna onder ‘Structuur’), geen verbod is op de verwerking van persoonsgegevens. Persoonsgegevens mogen worden verwerkt, zolang wordt voldaan aan de voorwaarden die de wet stelt aan een rechtmatige verwerking. mr. drs. J.P.M. (Jeroen) van Puijenbroek RE werkt als senior auditor bij de Audit Rabobank Groep van Rabobank Nederland. Van Puijenbroek is voornamelijk werkzaam op het gebied van het ontwikkelen en (mede)uitvoeren van compliance audits. De auteur heeft het artikel op persoonlijke titel geschreven.
Structuur De inhoudelijke regels die van toepassing zijn op de verwerking van persoonsgegevens, zijn onder te verdelen in drie groepen (‘lagen’) met wettelijke bepalingen2, te weten:
20 | de EDP-Auditor nummer 4 | 2008
• eerste laag: de algemene bepalingen; • tweede laag: de specifieke bepalingen over het verwerken van bijzondere gegevens; • derde laag: de specifieke bepalingen over doorgifte van gegevens naar niet-EU-landen. Afhankelijk van de precieze vorm van het verwerken en de soort gegevens kunnen tegelijkertijd verschillende groepen met bepalingen uit de Wbp van toepassing zijn. Daarbij zijn de algemene bepalingen altijd van toepassing en andere bepalingen alleen in bepaalde gevallen. Voor het verwerken van gezondheidsgegevens (= bijzonder gegeven) zijn zowel de algemene bepalingen (laag 1) als de bepalingen met betrekking tot bijzondere gegevens (laag 2) van toepassing. In figuur 1 zijn de wettelijke bepalingen per laag weergegeven.
Hierna wordt kort ingegaan op een aantal bepalingen van de in figuur 1 weergegeven lagen. In de paragraaf ‘Wbp en fase uitbesteding’ van dit artikel wordt uitgebreider ingegaan op de diverse bepalingen. Eerste laag: algemene bepalingen Persoonsgegevens mogen slechts worden verwerkt als daarbij wordt voldaan aan de voorwaarden die de Wbp stelt aan een rechtmatige verwerking. Als algemeen uitgangspunt geldt daarbij dat persoonsgegevens in overeenstemming met de wet (niet alleen de Wbp, maar alle relevante wet- en regelgeving) én op een behoorlijke en zorgvuldige wijze moeten worden verwerkt. Bij het beoordelen van een rechtmatige gegevensverwerking spelen de door de verantwoordelijke (lees: financiële onderneming) geformuleerde doeleinden voor de gegevens-
Figuur 1 Lagen Wbp
21 | de EDP-Auditor nummer 4 | 2008
verwerking een cruciale rol. De verplichting tot specificatie van het doel van de gegevensverwerking is neergelegd in artikel 7 Wbp. Die bepaling eist: ‘Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven, gerechtvaardigde doeleinden verzameld’. De limitatief opgenomen verwerkingsgronden in artikel 8 Wbp zijn een invulling van welke doeleinden gerechtvaardigd zijn. Het doelbindingsbeginsel verbiedt verwerkingen van persoonsgegevens die onverenigbaar zijn met de doeleinden waarvoor de gegevens zijn verkregen. De geformuleerde doeleinden bepalen ook welke gegevens mogen worden verwerkt (terzake dienend en niet bovenmatig) en hoe lang deze mogen worden bewaard. In figuur 2 is de relatie tussen het voor het verzamelen omschreven doel en de andere algemene bepalingen weergegeven. Een andere algemene bepaling is de meldingsplicht. Met uitzonderingen van de gegevensverwerkingen die voldoen aan de eisen van het Vrijstellingsbesluit Wbpii dienen alle
gegevensverwerkingen vóór de aanvang van de gegevensverwerkingen te worden gemeld bij bij het College Bescherming Persoonsgegevens (CBP, de nationale toezichthouder). De melding bestaat onder meer uit de doeleinden, categorieën van betrokkenen en categorieën van gegevens en categorieën van ontvangers.3 De gegevensverwerkingen in het kader van de financiële dienstverlening zijn in principe meldingsplichtig. De door de financiële ondernemingen gedane meldingen zijn te raadplegen in het openbare meldingenregister op de website van het CBP (www.cbpweb.nl). Tweede laag: specifieke bepalingen over verwerken bijzondere gegevens Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Verder zijn bijzondere persoonsgegevens strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk hande-
Figuur 2 Spilfunctie artikel 7 Wpb (welbepaald doel) binnen hoofdstuk 2 Wbp
22 | de EDP-Auditor nummer 4 | 2008
len waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod). Het verwerken van deze persoonsgegevens is in principe verboden, tenzij wordt voldaan aan een van de in de Wbp opgenomen uitzonderingsgronden. Een verzekeringsmaatschappij mag bijvoorbeeld gezondheidsgegevens verwerken, voor zover dat noodzakelijk is voor: • het beoordelen van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of • de uitvoering van de verzekeringsovereenkomst. Derde laag: specifieke bepalingen over doorgifte naar niet-EU-land Persoonsgegevens mogen slechts worden doorgegeven naar een land buiten de EU, de zogenaamde derde landen,iii indien dat land een passend beschermingsniveau biedt. Voor een aantal landen heeft de Europese Commissie (EC) besloten dat een passend beschermingsniveau aanwezig is. De scope van zo’n besluit kan per land verschillen.4 Deze landen zijn Argentinië, Canada, Guernsey, Isle of Man, Verenigde Staten (voor zover de ontvangende partij de Safe Harbor Principles heeft onderschreven) en Zwitserland. Wanneer een land onvoldoende bescherming van persoonsgegevens biedt, is het gegevensverkeer niet uitgesloten, maar onderworpen aan aanvullende regels. Er kan worden voldaan aan een van de in de Wbp opgenomen uitzonderingsgronden (bijvoorbeeld ondubbelzinnige toestemming van de betrokkene of noodzakelijk voor de uitoefening van een overeenkomst). Indien de uitzonderingsgronden niet van toepassing zijn, dan zal er een vergunning moeten worden aangevraagd bij de minister van Justitie voor de doorgifte van persoonsgegevens. In de paragraaf ‘Wbp en fasen uitbesteding’ van dit artikel wordt ingegaan op de diverse bepalingen uit figuur 1. Op de bepaling ‘informatieverstrekking aan de betrokkene’ wordt niet verder ingegaan, omdat het uitbesteden van gegevensverwerkingen voor deze bepaling niet leidt tot aanvullende verplichtingen voor de financiële onderneming. Naast de zojuist genoemde bepalingen zijn er in de Wbp ook bepalingen opgenomen over toezicht en sancties (hoofdstukken 9 en 10 Wbp). Deze blijven buiten beschouwing in dit artikel. Gedragscode Organisaties kunnen de (deels) open normen uit de Wbp in een gedragscode verder invullen en het CBP verzoeken te verklaren dat de daarin opgenomen regels, gelet op de bijzondere kenmerken van de sector waarin deze organisaties werkzaam zijn, een juiste uitwerking vormen van de Wbp of van andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens (hoofdstuk 3 Wbp). De Gedragscode Verwerking Persoonsgegevens Financiële instellingen (hierna kortweg: gedragscode) van de Nederlandse Vereniging van Banken (NVB) en het Verbond van Verzekeraars (VvV) bevat een dergelijke nadere uitwerking.
De gedragscode draagt bij aan een grotere doorzichtigheid van het gebruik van persoonsgegevens in de financiële sector. De gedragscode is in 2003 door het CBP goedgekeurd en heeft een geldigheidsduur van vijf jaar. Medio 2008 is door het NVB en de VvV een gemoderniseerde tekst van de gedragscode naar het CBP gestuurd ter goedkeuring.
Wbp en uitbesteding Relatie verantwoordelijke – bewerker De verantwoordelijke is op grond van de Wbp degene die het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt; in deze context is dat de financiële onderneming. De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. De serviceorganisatie verwerkt derhalve gegevens ten behoeve van de financiële onderneming, dat wil zeggen overeenkomstig diens instructie en diens (uitdrukkelijke) verantwoordelijkheid. Het is daarom de financiële onderneming die de doeleinden van de verwerking bij de serviceorganisatie bepaalt en beslist over het gebruik van de persoonsgegevens bij de serviceorganisatie. In geval van uitbesteding van (een deel van) de gegevensverwerking wordt veelal aangenomen dat de serviceorganisatie bewerker is in de zin van de Wbp. Wanneer de ontvangende partij zelf kan beslissen wat zij met de persoonsgegevens doet, is er geen sprake van gegevensverwerking door een bewerker maar van gegevensverstrekking aan een andere verantwoordelijke. Eerste laag: algemene bepalingen Naast de zojuist besproken definitie van bewerker zijn in de Wbp alleen in de eerste laag (Algemene bepalingen) expliciete eisen opgenomen ten aanzien van de bewerker, de serviceorganisatie: • artikel 12 Wbp: ‘Een ieder die handelt onder het gezag van … de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke’ en ‘deze personen …zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen’; • artikel 14 Wbp bepaalt dat ‘Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen.’ Dat wil niet zeggen dat de overige bepalingen (uit de lagen 1, 2 en 3), die rusten op financiële ondernemingen, niet van toepassing zijn op de serviceorganisatie. Zie daarvoor de volgende paragraaf ‘Wbp en fasen uitbesteding’. Toepassingsbereik Wbp Uitbesteding, oftewel outsourcing, moet niet worden verward met offshoring. Offshoring is het verplaatsen van
23 | de EDP-Auditor nummer 4 | 2008
bedrijfsactiviteiten naar lagelonenlanden of tax heavens. Dit kan plaatsvinden binnen de onderneming of door middel van uitbesteding. India is een land waar veel bedrijven hun IT-activiteiten aan uitbesteden. Maar er worden ook bedrijfsactiviteiten verplaatst (‘geoffshored’) naar diverse landen die onlangs zijn toegetreden tot de Europese Unie, zoals Polen en Hongarije.5 In dit artikel beperk ik mij tot uitbesteding. De Wbp is zowel van toepassing op uitbesteding naar in Nederland als in het buitenland gevestigde serviceorganisaties. De Wbp is namelijk van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van de verantwoordelijke in Nederland. Hieruit volgt dat het niet relevant is of de gegevensverwerking zelf daadwerkelijk plaatsvindt in Nederland. Het criterium is of er een vestiging van de verantwoordelijke in Nederland is en of er in het kader van de activiteiten van die vestiging persoonsgegevens worden verwerkt. Op het door de financiële onderneming verplaatste deel van haar IT-activiteiten naar het buitenland is, voor zover er tot individuele personen te herleiden gegevens worden verwerkt, de Wbp dus onverkort van toepassing. De daar verwerkte gegevens vinden immers plaats in het kader van bancaire activiteiten in Nederland.
Dat betekent dat die verwerkingen wat betreft de privacybescherming onder het Nederlandse recht vallen.6
Wbp en fasen uitbesteding In figuur 3 zijn de fasen van het uitbestedingproces weergegeven, met per fase de belangrijkste op te leveren producten. Voor meer informatie over de verschillende fasen van het uitbestedingproces wordt verwezen naar het eerder gepubliceerde artikel. Analysefase De eisen die de Wbp stelt aan de analysefase hebben betrekking op doelbinding, rechtmatige grondslag, kwaliteit en verbod verwerking bijzondere gegevens. Doelbinding en grondslag Persoonsgegevens worden voor een vooraf bepaald doel verzameld en kunnen vervolgens voor dat doel worden verwerkt. De doeleinden, waarvoor de van en over de klant verkregen persoonsgegevens in het kader van de financiële dienstverlening worden verwerkt, zijn opgenomen in de door de financiële onderneming gedane melding bij het CBP. Deze doeleinden zijn veelal afgeleid van de eerder besproken sectorale gedragscode. De doeleinden uit de gedragscode zijn:
Figuur 3 Fasen uitbestedingsproces
24 | de EDP-Auditor nummer 4 | 2008
1) het beoordelen en accepteren van (potentiële) cliënten, het aangaan en uitvoeren van overeenkomsten met een betrokkene en het afwikkelen van het betalingsverkeer; 2) het verrichten van analyses van persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden; 3) het uitvoeren van (gerichte) marketingactiviteiten om een relatie met een betrokkene tot stand te brengen en/of met een cliënt in stand te houden dan wel uit te breiden; 4) het waarborgen van de veiligheid en integriteit van de sector, daaronder mede begrepen het bestrijden, voorkomen en opsporen van (pogingen tot) (strafbare) gedragingen die gericht zijn tegen de branche waar een financiële instelling deel van uitmaakt, de groep waartoe een financiële instelling behoort, de financiële instelling zelf, haar cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwingssystemen; en 5) het voldoen aan wettelijke verplichtingen. Daarnaast zullen bij de meeste financiële ondernemingen de doeleinden ook nog apart in de algemene voorwaarden en/of in een privacystatement zijn opgenomen. Het verzamelen en vervolgens verder verwerken mag alleen wanneer de grondslag daarvoor in de Wbp kan worden gevonden. Hierbij kan worden gedacht aan de situatie dat het verwerken van persoonsgegevens noodzakelijk is in het kader van c.q. voortvloeit uit een overeenkomst met de klant, met toestemming van de betrokkene plaatsvindt, of noodzakelijk is voor het gerechtvaardigde belang van de financiële onderneming (bijvoorbeeld het verwerken van persoonsgegevens ten behoeve van direct marketing). De verwerking van de persoonsgegevens door de serviceorganisatie moet binnen de doelstelling én de grondslag vallen van de financiële onderneming die de gegevensverwerking uitbesteedt. De IT-auditor dient dit, in deze fase in een quality assurance-rol (QA-rol), vast te stellen. Zolang de financiële onderneming een rechtmatige grondslag heeft voor de verwerking, is het niet relevant of zij de gegevensverwerking zelf uitvoert, dan wel dat zij de verwerking uitbesteedt aan een serviceorganisatie. Kwaliteit De verwerking van persoonsgegevens moet voldoen aan kwaliteitseisen. Kwaliteit in de zin van de Wbp betekent niet alleen dat de gegevens juist en nauwkeurig zijn maar (vooral) ook dat de persoonsgegevens toereikend, ter zake dienend en niet bovenmatig zijn, gelet op de doeleinden waarvoor ze werden verzameld of vervolgens worden verwerkt. In het kader van de uitbesteding van werkzaamheden betekent dit dat aan de serviceorganisatie niet méér persoonsgegevens mogen worden verstrekt door de financiële onderneming dan strikt noodzakelijk is voor de uitvoering van de aan haar uitbestede taak. Hierna volgen enkele voorbeelden. Medewerkers van een callcenter die voor een financiële onderneming klanten telefonisch benaderen (zogenaamde out-
bound calls), hoeven geen inzage te hebben in de totale klantenportefeuille (afgenomen producten/diensten, saldistanden, kredietlimieten, et cetera) van de te bellen leads. Er kan worden volstaan met beperkte autorisatie op het betreffende productiesysteem. Bij een telefonische actie waarbij bestaande klanten met een doorlopende reisverzekering worden benaderd, om tegen aantrekkelijke voorwaarden het product ‘doorlopende annuleringsverzekering’ af te nemen, hoeven deze callcentermedewerkers bijvoorbeeld slechts rechten te hebben op een (deel van) het verzekeringssysteem en niet tot bijvoorbeeld betaal-, spaar- en/of hypotheeksystemen. De IT-auditor stelt, in deze fase in een QA-rol, vast of de financiële organisatie niet méér gegevens wil gaan verstrekken aan de serviceorganisatie dan nodig is voor de uit te besteden werkzaamheden (‘verstrekken’ houdt in dit geval ook in ‘ter beschikking stellen’). Verbod verwerking bijzondere gegevens Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Verder zijn bijzondere persoonsgegevens strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod). Het verwerken van deze persoonsgegevens is in principe verboden, tenzij wordt voldaan aan een van de in de Wbp opgenomen uitzonderingsgronden. Een verzekeringsmaatschappij mag bijvoorbeeld gezondheidsgegevens verwerken voor zover dat noodzakelijk is voor: • het beoordelen van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of • de uitvoering van de verzekeringsovereenkomst. Net als voor de rechtmatige grondslag is het niet van belang of de financiële onderneming zelf de bijzondere persoonsgegevens verwerkt of dit laat doen door een serviceorganisatie. Van belang is dat voor de financiële onderneming ten minste een van de uitzonderingsgronden op het verbod van het verwerken van bijzondere persoonsgegevens van toepassing is. Aan de serviceorganisatie worden in het geval van verwerking van bijzondere gegevens wel zwaardere beveiligingsmaatregelen vereist (zie ook hierna in de ‘Contractfase’). Selectiefase Uitbesteding van gegevensverwerkingen vindt veelal plaats naar een in het buitenland gevestigde serviceorganisatie. De Wbp stelt in die gevallen niet alleen eisen aan de serviceorganisatie, maar ook aan het land waar de serviceorganisatie is gevestigd. Hierbij dient in de selectiefase rekening te worden gehouden. Persoonsgegevens mogen in principe slechts worden doorgegeven naar een land buiten de EU, indien dat land een passend beschermingsniveau biedt. Wanneer de serviceorganisatie in een land is gevestigd dat onvoldoende bescherming van persoonsgegevens biedt, zal er een vergunning moeten worden aangevraagd bij de minister van Justitie voor de doorgifte van persoonsgegevens.iv
25 | de EDP-Auditor nummer 4 | 2008
Het aanvragen van een dergelijke vergunning loopt via het CBP. Aan de vergunning worden nadere voorschriften verbonden die nodig zijn om de bescherming van de persoonlijke levenssfeer en de uitoefening van de daarmee verband houdende rechten te waarborgen. Deze waarborgen kunnen voortvloeien uit passende contractuele bepalingen die de financiële onderneming opneemt in een overeenkomst met de buitenlandse serviceorganisatie. De Europese Commissie heeft modelcontracten (standard contractual clauses) goedgekeurd, die voldoende waarborgen bieden. Een van deze beschikkingen heeft betrekking op de doorgifte tussen een verantwoordelijke, gevestigd binnen de Europese Unie (EU), en een bewerker, gevestigd buiten de EU.7 Voor een rechtmatige gegevensverwerking zal de vergunning moeten zijn verleend, voordat met de transitiefase wordt begonnen. De IT-auditor stelt, in deze fase in een QA-rol, vast of de vergunning (tijdig) is aangevraagd. Bij het aanvragen van een vergunning moet rekening worden gehouden met het feit dat de termijn van acht weken veelal niet wordt gehaald, die ligt eerder tegen de zes maanden.8 Contractfase De serviceorganisatie heeft een eigen verantwoordelijkheid om te voldoen aan de Wbp. In de meeste bewerkercontracten is een algemene passage opgenomen in de trant van: ‘Leverancier zal persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met toepasselijke weten regelgeving inzake de bescherming van persoonsgegevens alsmede de toepasselijke privacyreglementen van de financiële onderneming X verwerken.’ Op grond van de Wbp dient echter een aantal onderwerpen expliciet in de overeenkomst te zijn opgenomen en daarnaast wordt geadviseerd een aantal andere onderwerpen nader te beschrijven. Deze worden nu beschreven. Beveiliging/geheimhouding De financiële onderneming die een serviceorganisatie inschakelt, moet er voor zorgen dat de serviceorganisatie passende technische en organisatorische beveiligingsmaatregelen treft ter beveiliging van de persoonsgegevens. Om te voorkomen dat de serviceorganisatie een andere betekenis geeft aan ‘passend’, met alle nadelige gevolgen van dien, wordt geadviseerd dat de financiële onderneming in de overeenkomst of in een bijlage invulling geeft aan wat zij onder passend verstaat. Hierbij kan worden gedacht aan het classificeren van de gegevensverwerking en het aan de hand hiervan opnemen van een overzicht van verwachte technische en organisatorische maatregelen op basis van, bijvoorbeeld, de in de Code voor informatiebeveiliging of de Achtergrondstudies en verkenningen 23 van het CBP.9 Naast de verplichting passende beveiligingsmaatregelen te treffen, dient in de overeenkomst ook te worden opgenomen dat de financiële onderneming het recht heeft het overeengekomen beveiligingsniveau op naleving te (laten) controleren, dan wel dat de serviceorganisatie wordt verplicht dat zij
een onafhankelijke deskundige (bijvoorbeeld een IT-auditor) een audit laat uitvoeren naar de naleving van de in de overeenkomst overeengekomen beveiligingseisen. Voorts dient in het kader van de vertrouwelijkheid in de overeenkomst te worden opgenomen dat de door de serviceorganisatie in te zetten medewerkers de geheimhoudingsplicht uit de Wbp onderschrijven. Doelbinding Geadviseerd wordt om in de overeenkomst op te nemen dat de serviceorganisatie de persoonsgegevens uitsluitend mag verwerken ten behoeve van de door de financiële onderneming vastgestelde doeleinden en de gegevens niet voor eigen gebruik mag verwerken. Bewaartermijn Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden. Geadviseerd wordt om in de overeenkomst op te nemen dat de serviceorganisatie de persoonsgegevens niet langer onder zich houdt dan voor het uitvoeren van de overeengekomen verplichtingen redelijkerwijs noodzakelijk is. Daarnaast is het advies de persoonsgegevens, inclusief gemaakte kopieën, onmiddellijk na volledige nakoming van genoemde verplichtingen, terug te geven aan de financiële onderneming, dan wel, na verkregen toestemming, te vernietigen. Rechten betrokkene De betrokkene heeft het recht op inzage, verwijdering, verbetering, et cetera van de over hem verwerkte persoonsgegevens. Voor de betrokkene verandert er niets door het uitbesteden van de gegevensverwerking. Hij dient zijn verzoek gewoon in bij de verantwoordelijke, de financiële onderneming, en deze geleidt het verzoek door naar de serviceorganisatie. Om te voorkomen dat de serviceorganisatie niet wil meewerken of dit beschouwt als aanvullende dienstverlening (lees: hier extra inkomsten voor wil hebben) wordt geadviseerd om in het contract op te nemen dat de serviceorganisatie mee moet werken aan het uitvoeren van een verzoek tot inzage, verwijdering, verbetering, et cetera en dat dit behoort tot de reguliere werkzaamheden. Het is verstandig om hier een periode aan te verbinden. De financiële onderneming dient immers binnen vier weken een volledig overzicht van de verwerkte persoonsgegevens aan de betrokkene mede te delen. Onderaannemerschap Serviceorganisaties besteden soms delen van hun eigen werkzaamheden weer uit aan andere serviceorganisaties (‘onderaannemerschap’). Om in control te blijven op de uitbestede werkzaamheden, is het advies dat de financiële onderneming dit in het contract regelt. Hierbij kan worden gedacht om in het contract op te nemen dat de serviceorganisatie niet zonder toestemming van de financiële onderneming een andere serviceorganisatie mag inschakelen. Of dat in het contract wordt opgenomen dat de serviceorganisatie verplicht is,
26 | de EDP-Auditor nummer 4 | 2008
indien zij een andere serviceorganisatie inschakelt, schriftelijk vast te leggen dat alle op haar rustende verplichtingen (zoals op het gebied van beveiliging, geheimhouding, doelbinding, et cetera) onverkort gelden voor de ingeschakelde, andere serviceorganisaties en dat de uitbestedende serviceorganisatie de naleving hierop aantoonbaar controleert. Transitiefase In de transitiefase gaan de systemen en middelen over van de financiële ondernemingen naar de serviceorganisatie. Na de overgang is op grond van de Wbpv voor de IT-auditor een rol weggelegd in bijvoorbeeld het beoordelen of de persoonsgegevens nog steeds betrouwbaar zijn en of de autorisaties goed zijn ingeregeld. Wat de IT-auditor allemaal precies kan/ moet controleren, is afhankelijk van wat er allemaal overgaat naar de serviceorganisatie. Worden bijvoorbeeld de ‘dozen’ en de personeelsleden integraal verplaatst naar de serviceorganisatie, of vindt er ‘alleen’ een dataconversie plaats naar een bestaande applicatie/netwerkcombinatie bij de serviceorganisatie, of worden de gegevens geconverteerd naar een nieuwe applicatie? De verantwoordelijke heeft vóór de aanvang van de gegevensverwerking, deze destijds gemeld bij het CBP. Naast de doeleinden, categorieën van betrokkenen en categorieën van gegevens die daarop betrekking hebben, zijn onder meer ook de categorieën van ontvangers gemeld bij het CBP. Nu de financiële onderneming (een deel van) deze gegevensverwerking uitbesteedt, kan het zijn dat de melding bij het CBP dient te worden aangepast. De bewerker is een categorie van ontvangers. In het meldingsprogramma van het CBP bestaat de mogelijkheid om elke individuele bewerker met naam en toenaam op te nemen. De financiële onderneming heeft ook de mogelijkheid om te kiezen voor een algemene omschrijving bij ontvangers. De ING Bank vermeldt bijvoorbeeld expliciet ‘bewerkers’ als categorie van ontvangers, Fortis Bank geeft een beperkte lijst van bewerkers (met naam genoemd) en de Rabobank en de ABN AMRO Bank hanteren beide dezelfde ruime omschrijving van een categorie van ontvangers waar bewerkers onder vallen. Namelijk, ‘Personen en instanties die betrokken zijn bij de financiële dienstverlening, waaronder onderdelen van de groep en andere financiële instellingen wereldwijd’.10 Wanneer de financiële onderneming bij de initiële melding hierop niet of mogelijk onvolledig (denk aan Fortis Bank) heeft geanticipeerd, dient zij, binnen een jaar na de overgang van de verwerking naar de serviceorganisatie, de wijziging door te geven aan het CBP. Bij een compliance audit van de uitbestede gegevensverwerking dient de IT-auditor te controleren of in de melding bij het CBP de serviceorganisatie op de een of andere manier als ontvanger is opgenomen. Wanneer dit niet het geval is, wordt geadviseerd om, gezien de onderhoudbaarheid, aan te bevelen dat de serviceorganisatie c.q. bewerker als categorie van ontvanger wordt opgenomen (in meer of mindere mate expliciet) in de te wijzigen melding.
Contractmanagement Ten aanzien van deze fase hebben de normen uit de Wbp betrekking op het beoordelen van de uitbestede werkzaamheden. Hiervoor is al aangegeven dat de financiële onderneming moet toezien op de naleving van de beveiligingsmaatregelen. Van de financiële onderneming wordt niet verlangd dat zij de informatiesystemen van de serviceorganisatie fysiek of technisch controleert. Afhankelijk van wat is overeengekomen met de serviceorganisatie, zal het toezien zich manifesteren in: 1) het uitvoeren van een audit naar de naleving van het overeengekomen beveiligingsniveau, hetgeen kan worden gedaan door de eigen IT-auditors van de financiële onderneming, of door in opdracht van de financiële onderneming ingehuurde externe IT-auditors; 2) het steunen op een door een onafhankelijke partij uitgebrachte TPM (third party mededeling) naar de naleving van het overeengekomen beveiligingsniveau, in opdracht van de bewerker (serviceorganisatie). Hierbij dient te worden opgemerkt dat niet zonder meer kan worden gesteund op de in het kader van SOX uitgebrachte SAS 70-verklaringen. In tegenstelling tot veel andere TPM’s is een SAS70-verklaring duidelijk niet gebaseerd op een vooraf bepaald vast normenkader. De serviceorganisatie heeft als opdrachtgever van een SAS 70-onderzoek in theorie een zeer grote vrijheid in het bepalen welke onderdelen (beheersmaatregelen) van de eigen organisatie onderzocht gaan worden. Vervolgens geeft een onafhankelijke accountant een SAS 70-verklaring bij deze beschreven beheersmaatregelen. Vanuit het oogpunt van de financiële onderneming is deze vrijheid een risico, want uiteindelijk is zij de gebruiker van de SAS 70-verklaring. Het feit dat een onderneming geen invloed heeft op de te beoordelen beheersmaatregelen, kan ertoe leiden dat een SAS70-verklaring minder bruikbaar wordt. De vraag rijst in hoeverre de onderneming met het verkrijgen van een SAS70-verklaring feitelijk ‘in control’ is over de uitbestede activiteit.11 De IT-auditor dient te beoordelen of, en zo ja op welke wijze de financiële onderneming heeft gecontroleerd dat het overeengekomen niveau van beveiliging door de serviceorganisatie wordt nageleefd. Conclusie Audits naar rechtmatige gegevensverwerkingen in geval van uitbesteding door een financiële onderneming zijn compliance audits waarbij de open normen van de Wbp door de IT-auditor moeten worden geïnterpreteerd. Deze open normen zijn deels ingevuld door de Gedragscode Verwerking Persoonsgegevens Financiële instellingen, eigen privacyreglementen van financiële ondernemingen, uitspraken van het CBP en jurisprudentie. Echter, voor een groot aantal bepalingen geldt dat er nog ruimte is voor interpretatie. Dit betekent dat de IT-auditor juridisch onderlegd moet zijn of in zijn auditteam over juridische kennis moet kunnen beschikken. ■
27 | de EDP-Auditor nummer 4 | 2008
Literatuurverwijzingen
Noten i Uitbesteden (art. 1 lid 1. Wft): het door een financiële onderneming verlenen van een opdracht aan een derde tot het ten behoeve van die
1 Puijenbroek, J.P.M. van, Uitbesteding bij financiële ondernemingen; Wet- & regelgeving en de IT-auditor (deel 1 – Wft), de EDP-Auditor, jaargang 17, 2008, nr. 1.
financiële onderneming verrichten van werkzaamheden: a) die deel uitmaken van of voortvloeien uit het uitoefenen van haar
2 Gardeniers, H.J.M en E. Schreuders, De Wet bescherming persoonsgegevens, in: S. M. Huydecoper, Wet bescherming persoonsgegevens en ICT –
bedrijf of het verlenen van financiële diensten; of b) die deel uitmaken van de wezenlijke bedrijfsprocessen ter onder-
Monografieën Recht en Informatietechnologie (deel 4), Sdu Uitgevers, Den Haag, 2006, p. 25.
steuning daarvan. ii In het Vrijstellingsbesluit Wbp zijn 42 veelvoorkomende soorten gege-
3 Zie ook: J.P.M. van Puijenbroek, De Wbp en personeelsverwerkingen -
vensverwerkingen (onder meer sollicitatie, personeelsadministratie,
Een ondergeschoven kindje bij Compliance onderzoeken, de EDP-
salarisadministratie, debiteuren en crediteuren, et cetera) opgenomen,
Auditor, jaargang 14, 2005, nr. 5.
waarvan het bestaan in het algemeen mag worden verondersteld en die daarom niet te hoeven worden gemeld. Per soort verwerking worden in
4 Puijenbroek, J.P.M. van, ‘Gegevensverkeer met landen buiten de Europese Unie’ uit: Cuijpers, C.M.K., e.a., Privacy concerns; het delen van
het Vrijstellingsbesluit eisen gesteld aan de doeleinden van de gegevens,
persoonsgegevens bij fusies overnames en binnen concerns, Elsevier,
de verwerkte gegevens, de betrokkenen, de ontvangers en de bewaar-
2003. 5 Jongen, H.D.J., Offshoring – enkele aandachtspunten, Computerrecht,
termijn van de gegevens. iii Derde landen zijn alle landen buiten de Europese Unie met uitzondering van de landen van de Europese Economische Ruimte (EER). Naast de landen die lid zijn van de Europese Unie zijn dat Noorwegen,
2005, 31, p. 197 – 201. 6 Puijenbroek, J.P.M. van, Verstrekking van persoonsgegevens in het bedrijfsleven, in: S. M. Huydecoper, Wet bescherming persoonsgegevens
Liechtenstein en IJsland. Deze landen hebben zich verplicht Richtlijn
en ICT – Monografieën Recht en Informatietechnologie (deel 4), Sdu
95/94/EG te implementeren in nationale wetgeving.
Uitgevers, Den Haag, 2006, p. 89.
iv Voor het verplaatsen van bedrijfsactiviteiten is geen van de in artikel 77
7 Beschikking 2001/497/EG, PbEG 2001 L 181/19: deze beschikking heeft
lid 1 Wbp opgenomen uitzonderingsgronden van toepassing. De rede-
betrekking op de doorgiften tussen twee verantwoordelijken waarvan
nen voor uitbesteding zijn van bedrijfseconomische aard, wat niet onder
er een binnen en een buiten de EU is gevestigd.
een van de uitzonderingsgronden valt.
Beschikking 2002/16/EG, PbEG 2002 L6/52 (waar in de Wbp wordt
v In tegenstelling tot het in deel I van dit artikel vermelde, is het hier vermelde ook van toepassing op grond van de Wft.
gesproken van bewerker spreken de Europese Richtlijn en de daarop gebaseerde beschikkingen van verwerker): deze beschikking heeft betrekking op de doorgifte tussen een verantwoordelijke, gevestigd binnen de EU, en een bewerker, gevestigd buiten de EU. Beschikking 2004/915/EG, PbEG 2004 L385/74: Deze beschikking heeft betrekking over een door het bedrijfsleven opgesteld modelcontract voor de doorgifte tussen twee verantwoordelijken, waarvan er één gevestigd is in een land binnen de EU en de andere partij buiten de EU gevestigd is. 8 Terstegge, J., Binding corporate rule, the data transfer solution, Data Protection Law & Policy, 2005-6. 9 Blarkom, G.W. van en J.J. Borking, Beveiling Persoonsgegevens, Achtergrondstudies en Verkenningen 23, Registratiekamer, Den Haag, april 2001. 10 Zie voor de volledige meldingen het meldingenregister op de website van het CBP (www.cbpweb.nl) onder openbare registers. Meldingsnummers: ING Bank (1067019), Fortis Bank (1289790), ABN AMRO Bank (1045168) en Rabobank (1029654). 11 Overhand H.C. en N.P.A.H. Lamb, Outsourcing en SAS70, is beheersing van risico’s mogelijk?, Bank en effectenbedrijf, april 2006, p. 16.
28 | de EDP-Auditor nummer 4 | 2008
VOLG NU EEN OPLEIDING BIJ ELSEVIER FINANCIËLE EDUCATIE De
kennispartner
voor de
financieel en fiscaal
professional
Elsevier Financiële Educatie is dé kennispartner voor u als financieel en fiscaal professional. Reeds jaren bieden we hoogwaardige examengerichte beroepsopleidingen aan vanuit een uitgebreide marktkennis en een heldere visie op de toekomst. Onze cursussen vormen voor u de beste weg naar officiële diploma’s. Onze diensten kenmerken zich door actualiteit, praktijkgerichtheid én persoonlijke aandacht. Onze missie: continu werken aan de optimale performance van u als financieel en fiscaal professional. ONZE OPLEIDINGEN Naast opleidingen op het gebied van financiële planning, hypotheken en pensioenen, verzorgt Elsevier Financiële Educatie ook opleidingen
VRAAG VANDAAG UW OPLEIDINGSBROCHURE AAN VOOR:
op het gebied van loonadministratie, belas-
!!Financieel adviseur
tingen en accountancy.
!!Hypotheekadviseur
SLAGINGSPERCENTAGE
!!Pensioenadviseur
Onze slagingspercentages zijn al jaren signi-
!!Fiscaal adviseur
ficant hoger dan het landelijk gemiddelde;
!!Accountant voor veel cursisten dé reden om te kiezen
!!Loonadministrateur
voor een opleiding bij Elsevier Financiële
!!Permanente Educatie
Educatie. Wij nodigen u uit om vandaag nog kennis met ons te maken.
TEL.: 020 515 9360 E-MAIL:
[email protected]
Bekijk ons aanbod via www.efe.nl