Privacy als multidisciplinair vraagstuk 22 | TIEM 2.0 – 41
Privacy als multidisciplinair vraagstuk
Door het toenemende belang van privacy worden steeds meer organisaties voor de vraag gesteld wat privacy voor hun organisatie betekent. Het gaat daarbij om compliance en informatiebeveiligingsvraagstukken. In dit artikel gaan wij op zoek naar antwoorden op vragen als: waar sta ik, waar wil ik naar toe en hoe moet ik daar komen? Hiertoe hebben wij het MPV-model ontwikkeld. door: Theo Bosselaers, Carolien Jobse en Sander Gellaerts
Nu steeds meer organisaties zich bewust worden van privacyvraagstukken rijst voor vele van hen de vraag wat regels rondom privacy (hierna: privacyregelgeving) voor hen betekent. Overtreding van privacyregelgeving kan verschillende consequenties hebben. De toezichthouder, College bescherming persoonsgegevens (Cbp), kan boetes opleggen, wat tevens kan leiden tot imagoschade. In het ergste geval vindt strafrechtelijke vervolging plaats. Goed omgaan met privacyregelgeving is daarom niet alleen van belang voor degene wiens persoonsgegevens worden verwerkt, maar ook voor de organisatie die ze verwerkt. Privacy is – zoals de toelichting op de Wet bescherming persoonsgegevens stelt - ‘in eerste aanleg een vraag van professionele ethiek van personen belast met de informatiebeveiliging’. Het aanpassen van de organisatie aan de privacyregelgeving vraagt vaak veranderingen die van invloed zijn op de gehele organisatie. Een klein voorbeeld om dit toe te lichten: De wet vereist een goede technische informatiebeveiliging. Wanneer binnen de organi satie de wachtwoorden op memoblokjes worden geschreven die voor iedere bezoeker van de organisatie zichtbaar zijn, kan de bezoeker met deze gegevens inloggen en bij de persoonsgegevens komen, waardoor de technische beveiliging wordt omzeild en daarmee geen nut heeft. Van de personeelsleden wordt dan ook verwacht dat zij de wijze waarop zij met wachtwoorden omgaan veranderen, zodat dit niet kan gebeuren en de technische beveiliging niet door organisatorische tekortkomingen wordt omzeild. Privacy als professionaliseringsvraagstuk Het management dat zich bewust is van de privacyregelgeving, zal zich afvragen in welke mate de
Privacy als multidisciplinair vraagstuk
organisatie voldoet aan de gestelde eisen. Daarbij spelen vragen als: ‘Wat betekent privacy voor mijn organisatie’, ‘Waar staat mijn organisatie nu’, ‘Waar moeten wij naar toe’ en vooral: ‘Hoe komen wij daar’ een belangrijke rol. Voor dit soort volwassenheidsvraagstukken wordt regelmatig gebruik gemaakt van een groeifasenmodel, waarmee de organisatie kan bepalen waar zij staat (huidige situatie), naar welk niveau zij toe wil of moet groeien (gewenste situatie) en last but not least welke (globale) stappen daarvoor moeten worden gezet (hoe komen wij daar). Door aansluiting te zoeken bij modellen die zich richten op het inrichten en vormgeven van organisaties, zijn wij tot een model gekomen dat kan worden ingezet bij privacyvraagstukken.¹ Bij het vormgeven of veranderen van organisaties spelen meerdere aspecten een rol. In ons model onderscheiden wij vier aandachtsgebieden: Regelgeving & werkprocessen, Externe relaties, Besturing & beheersing van de organisatie en Cultuur. Deze aspecten staan niet op zichzelf, maar vormen communicerende vaten die samen een organisatie maken tot wat zij is. Wij zijn dan ook van mening dat privacyregelgeving alleen goed geïmplementeerd kan worden in een organisatie als al deze aandachtsgebieden worden meegenomen. Een Privacy volwassenheidsmodel Het (vereenvoudigde) MPV-model (figuur 1) kan organisaties helpen bij het beantwoorden van de eerder gestelde vragen. Per aandachtsgebied worden vijf fasen onderscheiden in toenemende mate van ‘volwassenheid’. Per aandachtsgebied en per fase zal bepaald moeten worden of voldaan wordt aan de daar gestelde voorwaarden om vast te stellen wat de huidige situatie is. In het MPV-model zijn per aandachtsgebied per fase de te behalen resultaten (eindnormen) opgenomen. Voor beantwoording van de vraag waar de organisatie naar toe wil, moet – net als bij het vaststellen van de huidige situatie – het MPV-model opnieuw worden doorlopen, maar dan met de vraag of de organisatie wil en/of moet voldoen aan de gestelde eindnormen gelet op het eigen ambi-
TIEM 2.0 – 41
|
23
Fasen/ Aandachtsgebieden 1
2
3
4
5
A. Regelgeving & werkprocessen
Passief bekend
Begrijpen
Inventariseren consequenties en gevolgen
Inrichten en implementeren
Werkprocessen en regelgeving op elkaar blijven afstemmen
B. Externe relaties
Passief volgen
Inventariseren externe afhankelijkheden
Vaststellen aanpassingen externe afspraken
Onderhandelen en vastleggen
Actief sturen op externe relaties
C. Besturing, beheersing Issue-gedreven Beheersen (issues) (inclusief risicomanagement) & globale opzet risicoanalyse
Uitvoeren 1e globale risicoanalyse en aanpassing besturingsmodel
Aanpassen besturingsmodel, beloningsmodel en risicomanagement
Proactief aanpassen besturing & beloningsmodel inclusief jaarlijkse risicoaudit
D. Cultuur
Positieve perceptie
Installeren
Institutionaliseren
Passief
Begrijpen
Figuur 1: Privacy volwassenheidsmodel
tieniveau of de geldende privacyregelgeving. Het verschil tussen beide (huidige situatie en gewenste situatie) geeft antwoord op de vraag waar verbetering wenselijk dan wel noodzakelijk is. De betrouwbaarheid van deze analyse is mede afhankelijk van de mate waarin deze analyse zelf volledig, juist en betrouwbaar is uitgevoerd. Wij maken zelf onder andere gebruik van een vragenlijst bij het bepalen van de huidige en gewenste situatie. Aandachtsgebieden en fasen In het eerste aandachtsgebied (A) wordt gekeken naar de privacyregelgeving die van toepassing is op de organisatie. Bij privacy gaat het daarbij om de Wet bescherming persoonsgegevens (Wbp) en andere van toepassing zijnde privacyregelgeving. Daarna wordt gekeken of deze regelgeving gevolgen heeft voor de werkprocessen binnen de organisatie en hoe deze processen eventueel aangepast moeten worden. Zo vloeit volgens de toezichthouder (Cbp) uit artikel 13 Wbp de eis voort dat gegevens niet toegankelijk mogen zijn voor onbevoegde personen. Dit heeft tot gevolg dat een organisatie een autorisatie- en authenticatiebeleid zal moeten hebben. In het tweede aandachtsgebied (B) staan de externe relaties van de organisatie centraal. Het gaat hierbij zowel om leveranciers als om klanten. In dit aandachtsgebied wordt gekeken of afspraken zijn gemaakt tussen de organisatie en de externe relaties over uitwisseling van persoonsgegevens. Het gaat daarbij om het verkrijgen en/of verstrekken van gegevens. Dergelijke afspraken kunnen onder andere worden gemaakt in contracten en Service Level Agreements (SLA’s).
24 | TIEM 2.0 – 41
Het derde aandachtsgebied (C) behandelt de besturing en beheersing en kijkt naar de wijze waarop de organisatie wordt aangestuurd en in welke mate het management de werkprocessen met bijbehorende risico’s beheerst. Een zorginstelling die geen privacybeleid heeft geformuleerd en geïmplementeerd voor de wijze waarop essentiële gegevens gecontroleerd moeten worden, kan bijvoorbeeld geconfronteerd worden met de consequentie dat de verkeerde medicijnen worden verstrekt. Het hebben van een dergelijk beleid is echter geen garantie dat dit niet meer kan gebeuren. Door een gebrek aan handhaving van het privacybeleid kunnen vergelijkbare vervelende situaties ontstaan. Tot slot wordt in het laatste aandachtsgebied (D) de cultuur belicht. De werkcultuur dient in overeenstemming te zijn met het doel van de privacyregelgeving. Maatregelen om risico’s te beperken zullen in de praktijk vooral effectief zijn wanneer de organisatiecultuur aansluit bij de maatregelen (of andersom). Een maatregel kan bestaan uit het veranderen van de werkprocessen. Deze nieuwe manier van werken moet dan wel door de medewerkers worden gedragen. Zij moeten begrijpen waarom op een bepaalde manier wordt gewerkt en ook daadwerkelijk zo willen handelen. Wanneer bijvoorbeeld technisch gezien een goed autorisatiebeleid is ingericht, maar mensen papieren en gegevens gewoon laten rondslingeren, voldoet de organisatie nog steeds niet aan de privacyregelgeving. Betekenis van het model Wanneer de organisatie alle fasen voor alle aandachtsgebieden heeft doorlopen, begrijpt zij de
Privacy als multidisciplinair vraagstuk
privacyregelgeving in haar volle omvang, handelt zij ernaar en blijft zij ernaar handelen. Dit betekent dat de processen vanuit het oogpunt van privacyregelgeving zijn geoptimaliseerd, waardoor betrouwbaarheid van informatie wordt vergroot en de kans op fouten of geschillen met derden of andere betrokkenen wordt verkleind. Het is niet noodzakelijk dat elke organisatie zich op alle onderdelen in de laatste fase bevindt. Niet alle organisaties zullen het behalen van de laatste fase noodzakelijk achten. Een aanknopingspunt voor het bepalen in welke fase een organisatie zich zou moeten bevinden, biedt de privacyregelgeving zelf.² Zo wordt onderscheid gemaakt tussen verschillende situaties (bijvoorbeeld op basis van risicoklassenindeling, classificatie ‘bewerker’ of ‘verantwoordelijke’), waardoor ook de vereiste volwassenheid per situatie kan verschillen. Daarnaast kan het vanuit bedrijfskundig oogpunt van belang zijn voor de bewerker om aan een bepaald volwassenheidsniveau te voldoen. De bewerker voert veelal diensten voor de verantwoordelijke uit, waardoor de bewerker er verstandig aan doet om de privacyregelgeving te implementeren en tegemoet te komen aan de eisen vanuit de markt. Kenmerkend voor een volwassenheidsmodel is dat iedere fase wordt doorlopen alvorens men naar de volgende fase gaat. Het is voorstelbaar dat een organisatie bijvoorbeeld fase één heeft afgerond en bezig is met fase twee, maar tegelijkertijd delen van fase drie, vier en vijf heeft afgerond. Het vaststellen in welke mate de organisatie voldoet aan deze laatste fasen geeft de organisatie inzicht in wat er bij komt kijken om alle fasen af te ronden. Een organisatie kan daarmee zijn als een puber die soms volwassen lijkt, zelf denkt dat hij het is, maar het nog niet is. Toepassing in de praktijk: een casus De plaatsbepaling in het volwassenheidsmodel wordt toegelicht aan de hand van een casus. In dit voorbeeld wordt stil gestaan bij de vraag in welke fase naar volwassenheid de organisatie zich bevindt (I), zich zou moeten bevinden gezien bestaande weten regelgeving en het ambitieniveau van de organisatie (II). Tot slot wordt gekeken naar de vraag hoe de gewenste situatie bereikt kan worden (III).
Privacy als multidisciplinair vraagstuk
Het aanpassen van de organisatie aan de privacyregelgeving vraagt vaak veranderingen die van invloed zijn op de gehele organisatie
Een organisatie van verzorgingshuizen met een hoofdkantoor en veel vestigingen wil de werkprocessen aanpassen aan de eisen die gesteld worden aan het gebruik maken van elektronische dossiers. In het verleden is op geen enkele wijze specifiek aandacht besteed aan regels omtrent het verwerken van persoonsgegevens met behulp van een elektronisch dossier. De organisatie heeft geen medewerker die specifiek verantwoordelijk is voor de informatiebeveiliging en toeziet op naleving van privacyregelgeving door werknemers. Door het bijhouden van vakliteratuur beseft de organisatie dat privacyregelgeving relevant is voor verzorgingshuizen. Het gebruik van memoblokjes als geheugensteun voor gebruikersnaam en wachtwoord is echter gemeengoed. Werknemers hebben rechtstreeks contact met de familie van wie ondermeer persoonsgegevens in het systeem worden verwerkt. Een deel van het in stand houden van de informatievoorziening en voeren van de administratie is uitbesteed aan derden. Na klachten van families van wie persoonsgegevens worden verwerkt, wordt gekeken naar de situatie. De organisatie heeft onderzocht in hoeverre de privacyregelgeving wordt nageleefd. Daarnaast zijn risico’s onderzocht, zoals: kunnen onbevoegde personen gegevens wijzigen? (I)
In welke fase van volwassenheid bevindt de organisatie zich (huidige situatie)? Om de volwassenheid van de organisatie te kunnen bepalen, moet een aantal vragen beantwoord worden.
TIEM 2.0 – 41
|
25
(II) Naar aanleiding van het onderzoek blijkt dat de organisatie zich voor een deel al in de volgende fase 2 bevindt, zoals uit onderstaande analyse zal blijken. In deze fase gaat het om de onderwerpen: regelgeving, externe relaties, besturing en beheersing en cultuur. Regelgeving. Wat betreft de regelgeving wordt in deze fase vastgesteld of de organisatie alle eisen die voortvloeien uit privacyregelgeving, volledig begrijpt. Vastgesteld moet worden of de organisatie werkt met persoonsgegevens en met welk doel deze verwerkt worden. Daarnaast moet worden vastgesteld of het gaat om ‘normale’ of bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gedefinieerd in artikel 16 Wbp. Dit onderscheid is van belang om de risicoklasse die het Cbp toekent aan de verwerking van persoonsgegevens, te kunnen bepalen. Voor de bepaling van de risicoklasse moet tevens gekeken worden naar de omvang van de verwerkte persoonsgegevens. Het Cbp onderscheidt daarbij de volgende risicoklassen: risicoklasse 0 (publiek niveau), risicoklasse I (basisniveau), risicoklasse II (verhoogd risico), risicoklasse III (hoog risico). Bij risicoklasse 0 gaat het om de verwerking van ’normale’ persoonsgegevens (niet-bijzondere). De volgende risicoklasse (I) ziet toe op de omvang van het aantal ‘normale gegevens’. Bij risicoklasse II gaat het om een grote groep normale persoonsgegevens of een kleine groep bijzondere persoonsgegevens. Bij de laatste risicoklasse (III) gaat het om een grote groep bijzondere persoonsgegevens. Denk in dit laatste geval onder andere aan een persoonlijk medisch dossier. Voor de organisatie uit onze casus staat de vraag centraal of alle eisen die voortvloeien uit de privacywet- en regelgeving, in voldoende mate worden begrepen. Dat betekent in de praktijk dat de medewerkers kunnen reageren op deze eisen. De mate waarin de medewerkers de wet- en regelgeving begrijpen, kan worden geïnventariseerd door situaties te bespreken. In onze casus verwerkt de organisatie onder andere medische gegevens van cliënten waarbij het aannemelijk is dat dit een groot aantal bijzondere persoonsgegevens betreft. Aangezien de organisatie de vakliteratuur bijhoudt, zijn medewerkers zich
26 | TIEM 2.0 – 41
De werkcultuur dient in overeenstemming te zijn met het doel van de privacyregelgeving
ervan bewust dat privacyregelgeving een rol speelt. Informatievoorziening en administratie zijn uitbesteed aan derden en zolang er geen klachten komen, laat men het hierbij. Dat betekent dat fase 2 nog niet volledig is afgerond, aangezien niet is vastgesteld of zij verantwoordelijke of bewerker zijn en in welke risicoklasse de verwerking van persoonsgegevens valt. Externe relaties. Er wordt geïnventariseerd op welke wijze de organisatie afhankelijk is van externe relaties. Dat betekent dat bekend is welke producten en/of diensten die van derden worden afgenomen, onderhevig zijn aan de privacyregelgeving, of de bijbehorende afspraken aangepast zouden moeten worden en welke personen hiervoor verantwoordelijk zijn. Voor deze inventarisatie is dus kennis van privacyregelgeving noodzakelijk. Doordat de informatievoorziening en het voeren van de administratie is uitbesteed aan een leverancier en hier ook met medische gegevens wordt gewerkt, is de organisatie voor de naleving van de privacyregelgeving afhankelijk van deze leverancier. Nu zij echter pas reageert na klachten en zij ook niet weet of de leverancier voldoet aan de privacyregelgeving, voldoet zij in onvoldoende mate aan de eisen die gesteld worden aan fase 2 van het aandachtsgebied ‘externe relaties’. Besturing, beheersing. De aandachtspunten met betrekking tot privacyregelgeving worden gestructureerd en beheerst afgehandeld. Daarnaast wordt een globaal ontwerp gemaakt van een periodiek uit te voeren risicoanalyse.
Privacy als multidisciplinair vraagstuk
Voor de organisatie uit de casus staat de vraag centraal of zij de aandachtspunten gestructureerd afhandelt en in hoeverre een risicoanalyse globaal is opgezet. Gezien de handelswijze bij klachten van families kan men aannemen dat dergelijke klachten niet gestructureerd worden afgehandeld. Tevens is nog geen globale opzet van een risicoanalyse gemaakt. Om volledig te voldoen aan deze fase dienen de aandachtspunten gestructureerd te worden afgehandeld en een globale risicoanalyse te worden opgezet. Het opzetten van een risicoanalyse vereist inzet van alle relevante disciplines als ict, interne controle & kwaliteit, verpleging, administratie. Ze kunnen starten met een situatieanalyse waarin de mogelijke relevante risico’s worden geïdentificeerd, inclusief bijbehorende maatregelen. Cultuur. De vraag wordt gesteld in hoeverre de medewerkers belang hechten aan het daadwerkelijk uitvoeren van de privacyregelgeving. De vraag staat centraal of iedereen zich bewust is van en bekend met de gevolgen van de regelgeving voor zijn gedrag. Aangezien de organisatie de vakliteratuur bijhoudt, zijn medewerkers zich ervan bewust dat privacyregelgeving een rol speelt bij het uitvoeren van hun werk. Doordat medewerkers de kennis omtrent privacyregelgeving niet in voldoende mate vertalen naar hun gedrag, is fase 2 nog niet afgerond. Immers, memoblokjes worden veelvuldig gebruikt voor wachtwoorden en alleen als een familie klaagt, wordt actie ondernomen.
Kenmerkend voor een volwassenheidsmodel is dat iedere fase wordt doorlopen alvorens men naar de volgende fase gaat Privacy als multidisciplinair vraagstuk
Geconcludeerd kan worden dat de organisatie uit onze casus fase 1 in haar geheel heeft afgerond en fase 2 voor een deel. In welke fase van volwassenheid zou mijn organisatie zich moeten bevinden? Het model zal opnieuw moeten worden doorlopen om te bepalen welke plaats een organisatie zou moeten innemen in het volwassenheidsmodel. Om de gewenste mate van volwassenheid te bepalen, wordt gekeken naar de doelstellingen die de organisatie heeft, en waar de organisatie moet staan gezien de huidige privacyregelgeving. Voor nu constateren wij dat het gaat om een verzorgingshuis waar medische persoonsgegevens worden verwerkt. Deze gegevens vallen onder risicoklasse III. De gegevens worden verwerkt met het doel zorg te kunnen verlenen aan de cliënt. Het verzorgingshuis is daarmee verantwoordelijke in de zin van de Wbp. Wanneer gekeken wordt naar de eisen waaraan het verzorgingshuis dient te voldoen, dan is de gewenste situatie zeer waarschijnlijk het behalen van fase 5. Uiteraard zal de eerste stap zijn fase 2 af te ronden. Vervolgens zal aangevangen moeten worden met de realisatie van fase 3. De eerste stap hierbij is te inventariseren wat nog gedaan moet worden om fase 2 af te ronden. Gevolgd door het bepalen hoe de organisatie eruit ziet als fase 3 – en daarna fase 4 en 5 – is gerealiseerd. Op dat moment is goed zichtbaar welke aspecten veranderd moeten worden, in welke volgorde en op welke wijze dit het beste kan gebeuren en op welke termijn dit te realiseren is (haalbaarheid). Met het laatste aspect, de haalbaarheid, moet terdege rekening gehouden worden. Zeker als het betekent dat het gedrag van mensen aangepast moet worden. Immers wat de organisatie doet, het verplegen van mensen, moet wel blijven doorgaan. (III) Hoe bereik je in deze case fase 3? Voor de aandachtsgebieden regelgeving, besturing & beheersing dient in fase 3 een risicoanalyse gemaakt te worden waarbij wordt vastgesteld of en zo ja welke maatregelen de organisatie moet nemen om bepaalde risico’s af te dekken. Voor de organisatie uit de casus is het van groot belang inzicht te krijgen in alle relevante risico’s. Bij
TIEM 2.0 – 41
|
27
het inventariseren van de risico’s spelen de volgende vragen een rol: zijn de consequenties en gevolgen van de privacyregels voor de interne organisatie geïnventariseerd en zijn de bijbehorende maatregelen vastgesteld? Hierbij moet zij zich voor het aandachtsgebied externe relatie richten op het bepalen van de aanpassingen in de relatie met derden en dit eveneens vertalen naar maatregelen en consequenties voor onder andere de interne organisatie. In fase 3 heerst er een cultuur met een positieve perceptie ten opzichte van privacyregelgeving. Dit betekent in de praktijk dat de medewerkers de noodzaak voelen en bereid zijn om hun gedrag aan te passen. Dit is in feite een verandermanagementvraagstuk waarbij ondermeer de volgende vragen van belang zijn: is er voldoende noodzaak tot verandering, zijn er voldoende stimuli, wordt de gedragsverandering ondersteund door het beloningsbeleid en de strategie van de organisatie? In onze casus blijkt nergens dat medewerkers op eigen initiatief bezig zijn met de vraag hoe zij de privacyregelgeving kunnen naleven. Het kunnen realiseren van deze stap is een voorwaarde voor het daadwerkelijk kunnen naleven van de privacyregelgeving. Geconcludeerd kan worden dat binnen deze organisatie meer kennis moet komen over de privacyregelgeving en de wijze waarop deze in de organisatie geïmplementeerd dient te worden. Bijvoorbeeld door het organiseren van een online cursus. Pas wanneer de kennis daarvan op het juiste niveau is, kan een gedegen risicoanalyse worden uitgevoerd. Hierna wordt bepaald of en zo ja welke maatregelen getroffen moeten worden. Deze maatregelen kunnen dan via een stappenplan in de organisatie worden ingevoerd. We gaan in dit artikel niet verder in op het opstellen van een stappenplan. Indien het verschil tussen de huidige en gewenste situatie van enige omvang is, zal het stappenplan, net als andere wijzigingen in de organisatie, een programma zijn met een aanzienlijke veranderkundige component. Privacy bestaat nu eenmaal uit meer dan wettelijke bepalingen die afgevinkt kunnen worden op de lijst van compliancy.
28 | TIEM 2.0 – 41
Over de auteurs:
Drs. T.R.J. Bosselaers is werkzaam als senior consultant bij Mitopics, mr. drs. C.M. Jobse als jurist bij Corvers Procurement Services en mr. S.L. Gellaerts is als promovendus verbonden aan de Universiteit van Tilburg.
Samenvatting Privacyregelgeving wordt steeds belangrijker en speelt om die reden een steeds belangrijkere rol in organisaties. De gevolgen van privacyregelgeving zijn voor een organisatie niet altijd eenvoudig waarneembaar. Om organisaties te helpen de antwoorden op deze in beginsel multidisciplinaire vraagstukken te vinden hebben wij een volwassenheidsmodel (MPV-model) ontwikkeld. In dit model worden vier aandachtsgebieden onderscheiden. Door het volwassenheidsmodel te doorlopen en de huidige en gewenste situatie te vergelijken, wordt duidelijk of een organisatie qua ambitieniveau aan de privacyregelgeving voldoet. Indien blijkt dat de organisatie daar niet aan voldoet, reikt het model een aantal handvatten aan om tot een stappenplan te komen waarin tevens is aangegeven wat de hoogste prioriteit heeft. 1 Voor een nadere toelichting en achtergronden bij dit model verwijzen wij graag naar eerder geplaatst artikel in Privacy &Informatie (2010, p. 219-224). 2 De Wet bescherming persoonsgegevens werkt met begrippen als verantwoordelijke en bewerkers om aan te geven wie en in welke mate verantwoordelijk is voor de verwerking van persoonsgegevens. Voor organisaties is het derhalve van groot belang om te weten of men verantwoordelijke of bewerker is.
Privacy als multidisciplinair vraagstuk