Certificering Het Certificaat bescherming persoonsgegevens Gepubliceerd in Privacy & Informatie, nr. 4 – augustus 2004 G.W. van Blarkom RE privacy auditor bij het College bescherming persoonsgegevens. Inleiding Op dit moment is het College bescherming persoonsgegevens (CBP) in een samenwerkingsverband met de beroepsorganisaties van de register accountants (NIVRA) en van de register EDP-Auditors (NOREA) de voorwaarden aan het definiëren waaronder verwerkingen van persoonsgegevens gecertificeerd kunnen worden. De drie organisaties hebben elk hun belang bij een dergelijk certificaat. Voor het CBP is het van belang in het kader van het willen innemen van een tweede lijnspositie. De beroepsorganisaties hebben op basis van vragen van verantwoordelijken behoefte aan duidelijke richtlijnen op basis waarvan een beoordeling van een verwerking van persoonsgegevens kan worden gegeven. Het project is nu in een eindfase. De benodigde documenten zijn in een dusdanig stadium dat het verantwoord is om de voorwaarden in de praktijk te toetsen aan de bruikbaarheid. Door verschillende organisaties worden privacy-audits uitgevoerd. De resultaten zullen mogelijk leiden tot kleine aanpassingen, waarna alles definitief vastgesteld kan worden. Het project zal worden afgesloten met een uitgebreide publiciteitscampagne. Dit artikel beoogt de lezer een globaal inzicht te geven in het certificeringstraject. 1. Doelstelling certificaat De doelstelling van het certificaat is dat de verantwoordelijke door middel van een verklaring van een onafhankelijke deskundige op basis van een privacy-audit kan aantonen dat hij een passend stelsel van maatregelen en procedures heeft getroffen voor een in overeenstemming met de wet behoorlijke en zorgvuldige verwerking van een benoemde verwerking van persoonsgegevens. Voor de goede orde wordt opgemerkt dat de privacy-audit betrekking heeft op de wijze waarop de verantwoordelijke de verwerkte persoonsgegevens beschermt. Het certificaat heeft over het algemeen geen betrekking op de inhoud van de producten en diensten die de verantwoordelijke levert in relatie tot deze verwerking van persoonsgegevens. Indien binnen het product of de dienst persoonsgegevens zijn opgenomen, geeft het certificaat wel een uitspraak over de rechtmatigheid van die persoonsgegevens. Het certificaat is een vrijwillig certificaat waarin een onafhankelijke deskundige aangeeft dat de verantwoordelijke persoonsgegevens rechtmatig verwerkt. Het belang van het certificaat is dat een organisatie kenbaar kan maken dat aan de gestelde norm wordt voldaan. Als er geen wettelijke verplichting is een certificaat te behalen moet er een andere reden zijn voor de organisatie of persoon om geld en moeite te steken in het verkrijgen van het certificaat. Een vrijwillig certificaat moet dus meerwaarde voor de gecertificeerde hebben. De waarde van het certificaat wordt mede bepaald door het feit dat ‘achter het certificaat’ één of meer organisaties staan met invloed (de accreditatie-instelling en de organisatie die de accreditatie-instelling aanstelt). Het is bij certificering niet toegestaan dat de accreditatieinstelling of de organisatie die de accreditatie-instelling aanstelt, zelf certificaten verleent: zij moet de spelregels vastleggen en toezien op de naleving daarvan (de kwaliteitseisen).
Een certificaat leidt er toe dat bedrijven en organisaties hun interne organisatie aan gaan passen aan de vereisten van het certificaat. Het certificaat is daarmee een middel om het gedrag en de inrichting van organisaties te sturen (zelfregulering). Ongeldige bestaansredenen voor een certificaat kunnen zijn: bescherming tegen optreden door de toezichthouder, het verhullen van ontoelaatbare praktijken of het misleiden van de afnemer. 1.1 Wet bescherming persoonsgegevens (WBP) De WBP biedt een algemeen normatief kader van waaruit de specifieke technische en organisatorische maatregelen voor een organisatie moeten worden afgeleid. Naast deze kaderwet waarin de informationele privacy in algemene zin is geregeld, komen er mogelijk nog normen uit andere wet- en regelgeving. De privacy-auditor betrekt alle relevante wet- en regelgeving, inclusief eventueel relevante door het CBP goedgekeurde gedragscodes, in de beoordeling. Het is de nadrukkelijke bedoeling dat het certificaat ook toegekend kan worden aan die verwerkingen van persoonsgegevens waarvoor de WBP niet (alleen) het wettelijke kader vormt. Bijvoorbeeld de Wet gemeentelijke basisadministratie en de Wet op de geneeskundige behandelingsovereenkomst. 1.2 Toezicht door het CBP Het CBP heeft de wettelijke taak toezicht te houden op de naleving van wetten gericht op de bescherming van de persoonlijke levenssfeer (onder andere de WBP). Het CBP stimuleert zelfregulering van overheid en bedrijfsleven voor een adequate privacybescherming. Het CBP geeft daarmee aan zich te willen opstellen als tweede lijnsorganisatie. Die rol is alleen mogelijk indien de eerste lijn beschikt over kennis van zaken en zich bewust is van de eigen verantwoordelijkheid. Het CBP heeft vanuit die visie de afgelopen jaren een tweetal projecten gestart: § het ontwikkelen van producten in het kader van zelfregulering; § het ontwikkelen van een systeem dat voorziet in de mogelijkheid tot certificering van een verwerking van persoonsgegevens. De WBP gaat uit van de eigen verantwoordelijkheid van overheid en bedrijfsleven voor een adequate privacybescherming en geeft de maatstaven daarvoor aan in een stelsel van rechten en verplichtingen. Een ander uitgangspunt van de WBP is dat de burger primair voor zijn eigen rechten moet opkomen. Die eigen verantwoordelijkheid aan beide kanten wordt door het CBP gevoed door voorlichting, normontwikkeling en stimulering van ‘privacyvriendelijke’ technologieën (Privacy-Enhancing Technologies – PET). Daarbij past het bevorderen van zelfregulering via gedragscodes en de aanstelling van een Functionaris voor de Gegevensbescherming (FG), die in de WBP een prominente plaats heeft gekregen. Via het Samenwerkingsverband Audit Aanpak zijn de instrumenten ontwikkeld waarmee organisaties zelf een ‘privacykwaliteitsbeleid’ kunnen implementeren. Het gebruik van de bevoegdheden tot handhaving via bestuursdwang en dwangsommen komt in deze benadering pas aan de orde indien andere middelen falen of ongeschikt blijken. Het CBP voert in het kader van de handhavingstaak en de aan hem toegekende bevoegdheden bij verantwoordelijken feitenonderzoeken uit. Indien er voor de toezichthouder aanleiding bestaat tot het instellen van een onderzoek, zal dit uitgevoerd worden ongeacht of de onderhavige verwerking van persoonsgegevens gecertificeerd is. Het feit dat een verantwoordelijke een verwerking van persoonsgegevens heeft laten certificeren, betekent dus niet dat daarmee de bevoegdheid van het CBP tot het instellen van een onderzoek vervalt. 1.3 Zelfregulering De voorlichtings- en handhavingstaak van de toenmalige Registratiekamer heeft in 1999 geleid tot het instellen van het Samenwerkingsverband Audit Aanpak. In dit project is, in samenwerking met marktpartijen (accountantsorganisaties, adviesbureaus en beroepsorganisaties) een drietal zelfreguleringproducten ontwikkeld waarmee overheid en
bedrijfsleven, zelfstandig of met behulp van een (externe) adviseur, kunnen nagaan hoe zij er voorstaan bij de implementatie en naleving van de privacywetgeving. Dit project werd begeleid door een Klankbordgroep waarin, naast de leden van het Samenwerkingsverband Audit Aanpak, ook belangenbehartigers van werkgevers, werknemers en consumenten zitting hadden. De ontwikkelde set documenten bestaat uit drie zelfreguleringproducten: − Quickscan doelstelling: snelle positiebepaling ten opzichte van het privacybewustzijn ten behoeve van alle belanghebbenden. − WBP Zelfevaluatie doelstelling: hulpmiddel voor analyse voor intern gebruik, uit te voeren door de verantwoordelijke, al dan niet met behulp van een (externe) deskundige. − Raamwerk Privacy Audit doelstelling: basis voor beoordeling door een onafhankelijke derde met de bedoeling het oordeel openbaar te maken. 1.4 Raad van Deskundigen (RvD) Eén van de vereisten bij een stelsel rond certificering is dat er een college van deskundigen, ook wel een waarborgcommissie genoemd, wordt benoemd. In een dergelijke commissie zijn bij voorkeur alle belanghebbenden vertegenwoordigd. Belanghebbenden zijn werkgeversorganisaties (verantwoordelijke), consumentenorganisaties (betrokkene) en brancheorganisaties. De RvD is het orgaan dat gevraagd en ongevraagd adviseert over de uitvoering van de Overeenkomst, de inhoud van het Accreditatie- en Certificatieschema en ook over de nationale en internationale ontwikkelingen die van invloed zijn op de inhoud en de realisatie van het certificaat. In de RvD hebben zitting vertegenwoordigers van het CBP, de accreditatieinstellingen en de hierboven genoemde belanghebbenden. De rol van het CBP in de RvD is om toe te zien op de volledige naleving van de privacy wet-en regelgeving bij het systeem van certificering. 1.5 Rolverdeling certificering Een certificaat wordt afgegeven door een organisatie of persoon, die gerechtigd is om het certificaat op grond van bepaalde criteria te verlenen. Deze erkende functionaris heeft de deskundigheid die is verkregen op basis van een lidmaatschap of van een gevolgde opleiding. De organisatie die de bevoegdheid heeft organisaties of personen te erkennen die bevoegd zijn tot het verlenen van een certificaat is de accreditatie-instelling. Accreditatie-instellingen worden vaak (internationaal) aangesteld en erkend door overheden of daartoe erkende organisaties. Voor het certificaat zal het CBP de rol van het aanstellen van een accreditatie-instelling vervullen. Als certificatie-instelling voor het certificaat kan alleen de natuurlijke persoon optreden die door een accreditatie-instelling als privacy-auditor is erkend. In eerste instantie zullen NOREA en NIVRA als accreditatie-instelling fungeren. De basis van het certificaat is de erkenning van een natuurlijke persoon tot privacy-auditor. De consequentie hiervan is dat deze functionaris de enige is die het certificaat mag verlenen. Het certificaat wordt dus uitgegeven door de privacy-auditor, diens handtekening is dus verplicht. 1.6 Kwaliteitsaspecten De kwaliteitsaspecten die van toepassing zijn op een privacy-audit staan beschreven in het Raamwerk Privacy Audit. De betekenis van de in de privacy-audit gehanteerde kwaliteitsaspecten luidt als volgt: − Exclusiviteit Uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken van
− −
−
persoonsgegevens; Integriteit De persoonsgegevens moeten in overeenstemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn verdwenen; Continuïteit De persoonsgegevens en de daarvan afgeleide informatie moeten zonder belemmering beschikbaar zijn overeenkomstig daarover gemaakte afspraken en wettelijke voorschriften. Continuïteit wordt gedefinieerd als de ongestoorde voortgang van de gegevensverwerking; Controleerbaarheid De controleerbaarheid is de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en de werking van een object. Tevens omvat het kwaliteitsaspect controleerbaarheid de mate waarin het mogelijk is vast te stellen dat de verwerking van persoonsgegevens in overeenstemming met de eisen ten aanzien van de hiervoor genoemde kwaliteitsaspecten is uitgevoerd. 2. Certificering nader bekeken
Het CBP benoemt door middel van een overeenkomst in het kader van het certificaat één of meer organisaties tot accreditatie-instelling. Na deze aanstelling is de organisatie automatisch lid van de RvD. In deze overeenkomst worden de rechten en plichten van het CBP en de aangestelde accreditatie-instelling vastgelegd. De overeenkomst kent een aantal onlosmakelijk met de overeenkomst verbonden bijlagen: − Accreditatieschema. In het accreditatieschema staan de voorwaarden waaronder een accreditatie-instelling een natuurlijke persoon als privacy-auditor mag erkennen. − Certificatieschema. In het certificatieschema staan onder andere de voorwaarden waaronder een privacy-auditor het certificaat mag verlenen, verlengen, intrekken, ofwel tijdelijk intrekken. − Algemeen reglement toelating privacy-auditors. − Reglement RvD. Het certificaat is een verzamelnaam voor de elementen waaruit de verlening van het certificaat blijkt. De inhoud is opgenomen in het openbare register van gecertificeerde verwerkingen van persoonsgegevens. Een certificaat heeft betrekking op een eenduidig benoemde verwerking van persoonsgegevens. Het keurmerk is de symbolische weergave die door een verantwoordelijke als bewijs van het mogen voeren van het certificaat kan worden gehanteerd. Het keurmerk bestaat uit een logo en de naam van het certificaat en een aanduiding van de onderzochte verwerking van persoonsgegevens. De elementen waaruit het keurmerk van het certificaat bestaat, zijn merkenrechtelijk beschermd. De houder van het keurmerk is een op te richten stichting. Het geven van toestemming voor het gebruik van het certificaat door een verantwoordelijke is voorbehouden aan de privacy-auditor en is gereglementeerd in het accreditatie- en certificatieschema. 2.1 Geldigheid Op het moment dat de verantwoordelijke voor de eerste maal voor een verwerking van persoonsgegevens het certificaat aanvraagt, is de privacy-auditor verplicht een volledig onderzoek uit te voeren. Bij een positieve beoordeling zal de privacy-auditor een certificaat
verlenen met een geldigheidstermijn van één jaar. De geldigheid van het certificaat kan op basis van een uit te voeren controle jaarlijks met één jaar worden verlengd. Het verlengen van het certificaat moet zijn gebaseerd op een uitspraak met een zelfde hoge mate van zekerheid zoals die is gehanteerd bij de eerste afgifte van het certificaat. Er rust een plicht op de verantwoordelijke om de privacy-auditor doorlopend te informeren over wijzigingen binnen een gecertificeerde verwerking van persoonsgegevens. Ook indien er in het afgelopen jaar geen wijzigingen zijn doorgevoerd dient de verantwoordelijke dit te melden. Indien de verantwoordelijke verzuimt wijzigingen te melden, vervalt het certificaat. Tijdens de periode waarin een verantwoordelijke het certificaat voert kan zich een situatie voordoen waarin het CBP besluit een ambtshalve onderzoek naar deze verwerking in te stellen. Een mogelijke uitkomst van dat onderzoek kan zijn dat de verwerking van persoonsgegevens onrechtmatig is. Het is onwenselijk dat de verantwoordelijke vanaf dat moment het certificaat nog voert. In de tekst betreffende de geldigheid wordt, naast de vaste einddatum, een clausule opgenomen dat het certificaat zijn geldigheid verliest zodra het CBP heeft vastgesteld dat de persoonsgegevens niet langer in overeenstemming met de wet worden verwerkt. Dit feit zal door het CBP aan de verantwoordelijke privacy-auditor worden gemeld. Deze zal vervolgens de nodige stappen ondernemen om het certificaat uit het register van gecertificeerde verwerkingen van persoonsgegevens te verwijderen. Niet uitgesloten moet worden dat privacy-auditor bij zijn werkzaamheden stuit op een situatie die door de toezichthouder als onrechtmatig zou worden beoordeeld. In voorkomende situaties zal de privacy-auditor dit niet aan het CBP melden. Vanzelfsprekend is dit wel een situatie waarin geen certificaat verleend kan worden. De verantwoordelijke wordt via de rapportage op de onrechtmatigheid gewezen. 2.2 Openbare registers Ter controle op rechtmatig gebruik worden twee openbare registers gebruikt. Er wordt een openbaar register ingericht met daarin de noodzakelijke persoonsgegevens van de erkende privacy-auditors. De accreditatie-instellingen zijn verantwoordelijk voor de juistheid, tijdigheid en volledigheid van dit register betreffende de privacy-auditors die door hen erkend zijn. Daarnaast wordt er een openbaar register ingericht met daarin de gegevens over de certificaten, de oordelen en de toelichtingen daarop. Het register is ingericht op basis van het meldingsnummer. Het nummer van het certificaat is gelijk aan dat meldingsnummer. Tenslotte wordt er vanuit dit register verwezen naar het openbare register van meldingen bij het CBP. De privacy-auditors zijn verantwoordelijk voor de juistheid, tijdigheid en volledigheid van dit register betreffende de certificaten die door hen verleend, verlengd, ingetrokken of tijdelijk ingetrokken zijn. 3.
Uitgangspunten van de privacy-audit
Een verwerking van persoonsgegevens die als gevolg van het Vrijstellingsbesluit WBP vrijgesteld is van melden, moet in het kader van certificering worden gemeld. De melding moet geschieden bij het CBP, ook indien er voor die organisatie een FG is benoemd. Momenteel betreft het object van onderzoek één verwerking van persoonsgegevens zoals deze door de verantwoordelijke aan het CBP is gemeld. De afbakening wordt dus door de verantwoordelijke zelf opgesteld. Het is aan de privacy-auditor om vast te stellen dat de aangetroffen verwerking van persoonsgegevens rechtmatig is en binnen die grenzen blijft. Deze afbakening moet voorkomen dat een organisatie bijvoorbeeld zijn personeelsinformatie systeem laat certificeren en het aldus verkregen certificaat, bijvoorbeeld in commerciële uitingen, betrekking laat hebben
op verwerkingen van persoonsgegevens betreffende zijn klanten. Indien een verantwoordelijke meerdere verwerkingen van persoonsgegevens onder één melding bij het CBP heeft gemeld, zal de privacy-audit op al deze verwerkingen betrekking hebben. 3.1 Relatie met de bewerker In het certificatieschema is, naar analogie van de WBP, steeds uitgegaan van een beoordeling van een verwerking van persoonsgegevens direct onder het gezag van de verantwoordelijke. De verantwoordelijke kan voor (een deel van) de te certificeren verwerking van persoonsgegevens een bewerker inschakelen. Dit betekent dat één of meer delen van de verwerking niet onder de directe verantwoordelijkheid van de verantwoordelijke worden uitgevoerd. De wet eist dat de verantwoordelijke er zorg voor moet dragen dat de bewerker voldoende waarborgen biedt voor beveiliging van de verwerkte persoonsgegevens en dat hij daarop moet toezien. Dit leidt ertoe dat de verantwoordelijke voor de verwerking als geheel de verantwoordelijkheid blijft dragen, ook al is de verwerking (voor een deel) ondergebracht bij een bewerker. Zoals gezegd wordt in het kader van het certificaat één benoemde verwerking van persoonsgegevens onderzocht. Het onderzoek betreft de gehele verwerking. In het geval van een gedeeltelijke uitbesteding van de werkzaamheden, moet het onderzoek dus betrekking hebben op zowel de omgeving van de verantwoordelijke als op die delen van de omgeving bij de bewerker waar de verwerking van de betreffende persoonsgegevens plaatsvindt. 3.2 Inhoud van het onderzoek Alle negen verwerkingseisen zoals beschreven in het Raamwerk Privacy Audit zijn van toepassing op de privacy-audit: V.1 Voornemen en melden V.2 Transparantie V.3 Doelbinding V.4 Rechtmatige grondslag V.5 Kwaliteit V.6 Rechten van de betrokkene V.7 Beveiliging V.8 Verwerking door een bewerker V.9 Gegevensverkeer met landen buiten de EU. De eisen V.1 t/m V.7 zijn ongeconditioneerd van toepassing. Verwerkingseis V.7 ‘Beveiliging’ is nader beschreven in Achtergrondstudies & Verkenningen nummer 23 ‘Beveiliging van persoonsgegevens’. Wat betreft V.8 en V.9 wordt door de privacy-auditor onderzocht of er in de te onderzoeken verwerking van persoonsgegevens sprake is van een bewerker en/of van gegevensverkeer met landen buiten de EU. Daarna kunnen mogelijk V.8 en/of V.9 buitengesloten worden van het onderzoek. Slot De privacywet- en regelgeving bestaat niet uit een normatief kader dat direct te vertalen is naar meetbare normen. Een begrip als ‘onverenigbaar gebruik’, ‘niet bovenmatig’, ‘ondubbelzinnige of uitdrukkelijke toestemming’ of ‘passende maatregelen’ is niet zodanig omschreven dat een incident, deficiëntie of non-conformiteit direct en zonder enige vorm van discussie vastgesteld kan worden. Men kan niet stellen dat ‘een bank maximaal tien persoonsgegevens mag verzamelen’ of dat een ‘hangslot nooit passend kan zijn’. De beoordeling van de aangetroffen
feitelijke situatie zal veel inlevingsvermogen van de privacy-auditor vragen. Het CBP, NIVRA en NOREA hebben hoge verwachtingen van het certificaat. Voor het CBP geldt dat het zich beter kan oriënteren op de tweedelijns positie die het wil innemen. De beroepsorganisaties NIVRA en NOREA hebben op basis van vragen van verantwoordelijken behoefte aan duidelijke richtlijnen op basis waarvan een beoordeling van een verwerking van persoonsgegevens kan worden gegeven. Het samenwerkingsverband ontvangt regelmatig signalen dat brancheorganisaties het certificaat verplicht willen stellen voor hun leden. Het CBP, NIVRA en NOREA zijn ervan overtuigd dat dit certificaat een belangrijke rol zal spelen in het vertrouwen dat betrokkenen mogen hebben in organisaties die hun persoonsgegevens verwerken.