Het Europees privacyrecht in beweging
Het Europees privacyrecht in beweging Overzicht van actuele ontwikkelingen en mogelijke consequenties voor werkzaamheden van IT-auditors
februari 2013
Mr. dr. A.W. Duthler Drs. A.J. Biesheuvel RA RE
Grafische vormgeving: Bert Arts BNO
NOREA de beroepsorganisatie van IT-auditors Bezoekadres Antonio Vivaldistraat 2-8 1083 HP Amsterdam Postadres Postbus 7984 1008 AD Amsterdam
[email protected] www.norea.nl tel +31 (0)20 3010380 fax + 31 (0)20 3010302 Deze uitgave is ontwikkeld in samenwerking met: Duthler Associates Adviseurs voor Bestuur, Recht en ICT Frankenslag 137 2582 HH ’s-Gravenhage www.duthler.nl tel +31 (0)70 3922209 e-mail
[email protected] © 2013 Duthler Associates Uitgegeven door: Uitgeverij Kluwer Deventer - 2013 www.kluwer.nl Deze uitgave wordt uitgegeven onder de Creative Commons licentie Naamsvermelding-GeenAfgeleide-Werken-NietCommercieel 2.0 Nederland (http://creativecommons.org/licenses/by-nc-nd/2.0/nl/deed.nl). De volledige tekst van deze licentie is te vinden op http://creativecommons.org/licenses/by-nc-nd/2.0/nl/legalcode.
VOORWOORD
Deze publicatie is het vierde deel in de serie ‘IT-recht’, die door de NOREA wordt uitgegeven in samenwerking met Duthler Associates en Kluwer. De publicatiereeks wordt tot stand gebracht in het kader van het NOREA productplan onder auspiciën van de Vaktechnische Commissie. De publicatie behandelt ‘Het Europees Privacyrecht in beweging’, waarmee met name wordt gedoeld op de gevolgen van de voorgestelde Europese verordening voor de gegevensbescherming (General Data Protection Regulation) in vergelijking met de huidige Wet bescherming persoonsgegevens (Wbp). In de beroepspraktijk van IT-auditors zijn adequate informatiebeveiliging en bescherming van persoonsgegevens belangrijke aandachtspunten. Daarom is door NOREA bijgedragen aan de ontwikkeling van het Raamwerk Privacy Audit en het keurmerk ‘Privacy Audit Proof’. Door IT-auditors wordt de toepassing van een stelselmatige risicoanalyse, de Privacy Impact Assessment (PIA), aanbevolen als een belangrijk instrument voor bedrijven en organisaties. In het nieuwe regeerakkoord is de PIA zelfs benoemd tot ‘standaard’ bij de bouw van systemen en het aanleggen van databestanden. Ook in dat perspectief is de informatie over de juridische context en de actuele ontwikkeling daarbij van belang. Waar mogelijk wordt in deze handreiking ook ingegaan op de consequenties voor de werkzaamheden van IT-auditors. Dank gaat uit naar een ieder die betrokken is geweest bij de totstandkoming van deze uitgave, in het bijzonder de samenstellers mr. dr. Anne-Wil Duthler en André Biesheuvel. Het bestuur hoopt met deze uitgave haar leden van dienst te zijn. Het NOREA-bestuur
V
INHOUDSOPGAVE
Voorwoord / V 1
Inleiding / 1
1.1
Introductie / 1
1.2
Leeswijzer / 2
2
De rol van de IT-auditor / 5
3
Wat is privacy? / 7
4
Korte introductie huidig privacyrecht / 9
4.1
Beginselen Wbp / 9
4.2
Begrippen Wbp / 10
4.3
Verwerkingen / 11
4.4
Toestemming / 11
4.5
Privacytoets / 12
4.6
Beveiliging / 13
4.7
Rechten, reikwijdte en toezicht / 13
5
Kernelementen van de privacyverordening / 15
5.1
Inleiding / 15
5.2
Kernbepalingen van de voorgestelde verordening / 16
5.2.1
Beginselen en begrippen / 16
5.2.2
Enkele kernbepalingen uitgelicht / 19
6
Meldplicht datalekken / 25
7
Privacy by design en privacy by default en de PIA / 27
8
Functionaris gegevensbescherming / 33
9
Sancties bij niet naleven privacyregels / 37
VII
Inhoudsopgave
10
Privacybeleid / 39
11
Relatie van de privacyverordening met de regels van goed bestuur of good governance / 41
12
Slot en betekenis verordening voor IT auditors / 43
Index / 45
VIII
HOOFDSTUK 1
Inleiding
1.1
Introductie
Op 25 januari 2012 presenteerde de Europese Commissie (EC) haar voorstel voor een algemene verordening gegevensbescherming.1 Ook presenteerde zij op die dag een voorstel voor een richtlijn gegevensbescherming in het kader van de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten.2 Beide voorstellen moeten met elkaar in samenhang worden gezien en vormen samen het nieuwe (aankomend) rechtskader voor de bescherming van persoonsgegevens binnen de Europese Unie (EU). Aangezien de richtlijn specifiek ziet op het justitieel en politieel werkterrein zullen we deze slechts marginaal behandelen. In deze publicatie staat de algemene verordening die rechtstreeks in alle lidstaten van kracht zal worden, centraal.3 IT-auditors hebben bijna altijd te maken gehad met het privacybeschermingsrecht. IT-auditing is een specialisatie die ziet op de beheersing en de beoordeling van de kwaliteit van geautomatiseerde informatievoorziening. Informatievoorziening gaat zo goed als altijd gepaard met het verwerken van persoonsgegevens. De IT-auditor zal dus alert moeten zijn of de voor de verwerking van persoonsgegevens geldende wet- en regelgeving op deugdelijke wijze wordt nageleefd. Een belangrijk verschil met de huidige Europese privacyrichtlijn, die door Nederland is geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp), is dat er minder ruimte is voor de toepassing van de criteria proportionaliteit en subsidiariteit en dat de werkingssfeer breder is. Met dat laatste wordt hier bedoeld dat deze verordening ook relevant wordt voor raden van bestuur, raden van toezicht en raden van commissarissen, en niet in de laatste plaats accountants. Vanwege de hoogte van de boetes die kunnen worden opgelegd in geval de verordening niet wordt
1.
2.
3.
Voorstel voor een verordening van het Europees parlement en de raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, COM (2012) 11 final. Voorstel voor een richtlijn van het Europees parlement en de raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, COM (2012) 10 final. In tegenstelling tot een richtlijn heeft een verordening rechtstreekse werking en hoeft deze niet eerst te worden omgezet naar nationale wetgeving.
1
1.2
Hoofdstuk 1 / Inleiding
nageleefd, vormen de risico’s van niet naleven verslaggevingsrisico’s. Een boete van 2% van de wereldwijde jaaromzet kan van invloed zijn op het getrouw beeld van de jaarrekening en is daarmee van belang voor de verantwoordelijkheid van bestuurders en toezichthouders, alsmede van de accountant die belast is met de controle van de verantwoording en het opstellen van de verklaring bij de jaarrekening. Verder wordt in tegenstelling tot de geldende richtlijn en de Wbp in de voorgestelde privacyverordening het treffen van procedures en maatregelen expliciet voorgeschreven. Zo wordt op diverse plekken in de privacyverordening gesproken over te nemen procedures en maatregelen, en mechanismen. De aard van deze publicatie is vooral informerend. Nagegaan wordt wat de consequenties zijn voor de operationele praktijk van degenen die verantwoordelijk zijn voor de verwerking van persoonsgegevens en de controle daarop door IT-auditors. In deze uitgave krijgen IT-auditors praktische aandachtspunten en handreikingen4 aangereikt zodat zij in staat zijn tijdig tekortkomingen op het gebied van naleving van privacywet- en regelgeving te onderkennen. Er wordt geen juridische kennis of kennis op het gebied van privacybescherming voorondersteld. Voor de juridische fijnproevers worden in voetnoten verwijzingen opgenomen naar relevante wetgeving en literatuur. Dit boekje is ontwikkeld op initiatief van NOREA, de beroepsorganisatie van gekwalificeerde IT-auditors in Nederland. Het is samengesteld door Duthler Associates, adviseurs voor recht, bestuur en ICT en specialisten in het privacyrecht. 1.2
Leeswijzer
In deze publicatie worden de belangrijkste onderwerpen van de voorgestelde Europese privacyverordening (hierna: ‘privacyverordening’) besproken en wordt nagegaan welke betekenis deze hebben voor de praktijk en in het bijzonder voor IT-auditors. Voordat daarmee wordt begonnen, wordt in hoofdstuk 4 eerst nog de rol van de IT-auditor beschreven en wordt in hoofdstuk 5 kort ingegaan op de vraag wat privacy nu eigenlijk is. In hoofdstuk 6 worden de belangrijkste kenmerken van de geldende Wet bescherming persoonsgegevens (Wbp) besproken. De Wbp bepaalt voor een groot deel het geldende privacyrecht en vanuit dit geldende privacyrecht is het makkelijker de vernieuwingen en wijzigingen die de voorgestelde privacyverordening met zich mee brengt te beschrijven en te beoordelen. Daarna wordt in hoofdstuk 7 en verder ingegaan op de meest in het oog springende veranderingen die de voorgestelde privacyverordening met zich meebrengt. In hoofdstuk 7 wordt uiteengezet wat de aanleiding is voor de nieuwe verordening. Wat zijn de kernelementen en in hoeverre is er sprake van nieuwe rechten en verplichtingen? Er wordt bijvoorbeeld ingegaan op de praktische uitwerking van de informatie- en documentatieplicht als kernelement en het recht om vergeten te 4.
2
Onder de verwijzing: ‘Voor de IT-auditor’. Let hierbij op dat deze ‘voors’ vooral illustratief zijn en niet (altijd) volledig.
Hoofdstuk 1 / Inleiding
1.2
worden als nieuw recht. Na dit hoofdstuk komen in de hoofdstukken 8 en 9 enkele van de meer ingrijpende vernieuwingen – zoals de meldplicht datalekken, privacy by design en by default en de privacy impact assessment aan de orde. Vervolgens worden in hoofdstuk 10 de rol en positie van de functionaris gegevensbescherming behandeld en worden in hoofdstuk 11 de mogelijke sancties bij het niet-naleven van de privacyregels besproken. Hoofdstuk 12 behandelt de noodzaak en verplichting van een intern privacybeleid en in hoofdstuk 13 wordt de relatie van de voorgestelde privacyverordening besproken met good governance of ook wel goed bestuur. In hoofdstuk 14 wordt de betekenis van de voorgestelde verordening voor IT-auditors nog een keer samengevat. Deze publicatie is geen kookboek voor IT-Auditors of voor de verantwoordelijke hoe om te gaan met de voorgestelde privacyverordening. Het geeft wel een goede indruk van de inhoud en betekenis van de verordening voor de praktijk. Het bevat aandachtspunten en handreikingen voor de toepassing en controle op naleving van de verordening. Niet nagegaan is of en hoe de Europese privacyverordening bijvoorbeeld intervenieert met andere wet- en regelgeving, zoals die voor het financiële toezicht en of met andere nationale of internationale wetgeving. Dat laatste is vooral voor corporate families (betreffende bedrijfsrelaties zoals moeder- en dochtermaatschappijen) van belang.
3
HOOFDSTUK 2
De rol van de IT-auditor
Bedrijven en instellingen merken dat ze voor hun informatievoorziening in toenemende mate afhankelijk zijn van betrokkenen. Betrokkenen bepalen meer en meer zelf wie wanneer voor welke doeleinden toegang krijgt tot hun gegevens. Wij spreken in dit verband van empowerment van de betrokkenen. Informatiesystemen zijn essentieel voor de bedrijfsvoering en de informatievoorziening. Een IT-auditor is degene die een deskundig en onafhankelijk oordeel kan vellen over de kwaliteit van de informatievoorziening en de betrouwbaarheid ervan. Tot zijn opdracht kan tevens het toetsen van de kwaliteit van de naleving van de privacyregels behoren. Bedrijven en instellingen zullen op basis van zijn oordeel maatregelen treffen om de kwaliteit van de naleving van wet- en regelgeving – in casu de privacywetgeving – te verbeteren. Dit niet in de laatste plaats vanwege het risico op boetes en imagoschade die het gevolg kunnen zijn van het niet naleven van de privacyregels. De naleving van wet- en regelgeving wordt getoetst aan de hand van voorhanden procedures, maatregelen en mechanismen. De IT-auditor beoordeelt het gehanteerde normenkader, vraagt inzage in deze procedures en maatregelen en houdt deze ‘tegen het licht’. Hij gaat na of ze voldoende zijn om te kunnen voldoen aan de vereisten uit de wet- en regelgeving. De bestaande wet- en regelgeving (voornamelijk de Wbp) bevat met name de rechten van betrokkenen en verplichtingen van verantwoordelijken. De verdere uitwerking hiervan wordt aan degenen die de regels moeten naleven overgelaten. Dit verandert in de voorgestelde privacyverordening. Daarin wordt het treffen van procedures, maatregelen en mechanismen die nodig zijn om aan de rechten en verplichtingen te kunnen voldoen expliciet verplicht gesteld. Hierdoor wordt het de IT-auditor makkelijker gemaakt en hoeft hij minder te interpreteren wat de specifieke eisen zijn en hoe deze te toetsen zijn. Hij toetst de opzet, het bestaan en eventueel de werking van de procedures, maatregelen en mechnismen. De ITauditor kan nu gerichter aan het werk gaan, iets dat de naleving van privacyregels uiteindelijk ten goede zal komen. Daarnaast is het opvallend dat de auditor in de verordening een expliciete rol toebedeeld heeft gekregen. Zo is in de privacyverordening de verplichting opgenomen dat de doeltreffendheid van getroffen maatregelen wordt getoetst om er voor te zorgen en aan te kunnen tonen dat de
5
Hoofdstuk 2 / De rol van de IT-auditor
verwerking van persoonsgegevens in overeenstemming met de verordening wordt uitgevoerd. Deze toetsing wordt uitgevoerd door onafhankelijke interne of externe controleurs.1 Een functionaris gegevensbescherming moet toezien op de uitvoering en toepassing van audits.2
1. 2.
6
Artikel 22 lid 3. Artikel 37 lid 1 sub b.
HOOFDSTUK 3
Wat is privacy?
Om goed met de privacyverordening uit de voeten te kunnen is het van belang vast te stellen wat er onder privacy kan worden verstaan. Er zijn verschillende definities en visies in omloop. In ieder geval is het een grondrecht: een afweerrecht dat de persoonlijke levenssfeer beschermt. Vroeger verstond men onder het recht op privacy het recht om met rust gelaten te worden. Tegenwoordig verstaat men onder het recht op privacy the right to know what other people know about you of te wel het recht om controle te houden over je eigen persoonsgegevens. De privacywet- en regelgeving is gebaseerd op het Europese Verdrag voor de Rechten van de Mens1 en de Nederlandse Grondwet.2 Het belang van privacy neemt toe en het besef hiervan is doorgedrongen tot internationale fora. Zo geeft het World Economic Forum aan: ‘As personal data increasingly becomes a critical source of innovation and value, business boundaries are being redrawn.’ ‘Fundamental questions about privacy […] – essentially around who should benefit from the products and services built upon personal date – are major uncertainties […].’ ‘Building the legal, cultural, technological and economic infrastructure to enable the development of a balanced personal data ecosystem is vitally important to improving the state of world.’ 3 Voorkomen moet worden dat een inbreuk wordt gemaakt op de persoonlijke levenssfeer en wanneer een inbreuk noodzakelijk is, moet deze voorzien worden van een aantal effectieve waarborgen. Waarom ‘moet’ privacy? Is het niet onnodig en overbodig geworden in het internettijdperk waarin ‘iedereen’ het prima vindt dat ‘al zijn’ gegevens bekend zijn en je niets te verbergen hebt? Afgezien van deze groteske generalisatie ziet men juist de laatste tijd een kentering plaatsvinden. Niet alleen bij 40-plussers, maar ook bij jongeren wordt goed zichtbaar wat de ‘totale openheid’ qua persoonsgegevens aanricht. We hoeven alleen maar te refereren aan mensen die spijt hebben van een vroegere actie waarbij persoonsgegevens (zoals foto’s en films) in overmoed online zijn gezet en die deze met geen mogelijkheid er meer vanaf
1. 2. 3.
Artikel 8 Europees Verdrag voor de Rechten van de Mens (EVRM). Artikel 10 Grondwet. World Economic Forum January 2011, ‘Personal Data: the Emergence of a New Asset Class’.
7
Hoofdstuk 3 / Wat is privacy?
krijgen. Een hoogleraar heeft dit jaar nog heel treffend verwoord waar een ‘privacyloos’ bestaan naar toe leidt: ‘…wie volledig doorrekenbaar is geworden kan volledig gemanipuleerd worden, wie geen geheimen meer heeft voor anderen is ontdaan van de creatieve, dynamische balans tussen binnen en buiten die zowel de persoonlijke autonomie als de relationele kwetsbaarheid constitueert van het zelf.’4
4.
8
Prof. Mr. Dr. M. Hildebrandt, ‘De rechtsstaat in Cyberspace’ in: P&I Jaargang 15 Afl. 1 februari 2012.
HOOFDSTUK 4
Korte introductie huidig privacyrecht Het is van belang om te weten hoe het huidige privacyrecht (en dan met name de Wbp) is opgezet om zo makkelijker in te kunnen zien welke veranderingen en vernieuwingen de invoering van de privacyverordening met zich meebrengt. Het op dit moment geldende privacyrecht wordt vooral bepaald door de Wbp. Daarnaast kennen verschillende sectorale wetten privacybepalingen, die soms in de plaats komen van die van de Wbp en soms aanvullend zijn ten opzichte van de Wbp. Voorbeelden van de eerste categorie zijn de Wet politiegegevens en de Wet gemeentelijke basisadministratie. Voorbeelden van de tweede categorie zijn de Wet geneeskundige behandelingsovereenkomst en de Wet op de jeugdhulpverlening. De Wbp vloeit voort uit de Europese privacyrichtlijn,1 die in 1995 van kracht is geworden. De in de inleiding genoemde Europese privacyverordening komt straks in de plaats van de Europese richtlijn. De privacyverordening hoeft in tegenstelling tot de richtlijn, niet naar Nederlandse wetgeving om te worden gezet (geïmplementeerd).2 4.1
Beginselen Wbp
In de Wbp is de bescherming van gegevens van de natuurlijke persoon geregeld. Deze natuurlijke persoon wordt betrokkene genoemd. De tot deze individuele persoon herleidbare gegevens worden persoonsgegevens genoemd. De Wbp regelt onder welke voorwaarden deze persoonsgegevens verwerkt mogen worden en eventueel aan anderen verstrekt mogen worden. Uitgangspunt van de Wbp is dat de betrokkene zelf controle kan houden over zijn eigen gegevens. Eén van de beginselen van de Wbp is dan ook het transparantiebeginsel. Alleen als de verantwoordelijke organisatie die zijn persoonsgegevens verwerkt aan de betrokkene meedeelt dat deze zijn gegevens verwerkt en daarbij kenbaar maakt voor welk doel hij dat doet en hoe lang hij zijn gegevens bewaart, is de betrokkene in staat die controle te houden. Andere belangrijke beginselen zijn het doelbindingsbeginsel en de beginselen van proportionaliteit en subsidiariteit. Met doelbindingsbeginsel wordt bedoeld dat gegevens slechts mogen worden verwerkt voor een van te voren welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde. Met het proportionaliteitsbeginsel (ook wel evenredigheidsbeginsel genoemd) wordt
1.
2.
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband niet de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. PbEG 1995 L 281/31. De privacyverordening zal rechtstreeks van toepassing zijn.
9
4.2
Hoofdstuk 4 / Korte introductie huidig privacyrecht
bedoeld dat de inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Het subsidiariteitsbeginsel houdt in dat het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere voor de betrokkene minder nadelige wijze kan worden bereikt. 4.2
Begrippen Wbp
In de Wbp zijn begrippen met bijbehorende definities opgenomen. Een aantal cruciale begrippen heeft betrekking op rollen of actoren (bijvoorbeeld: de verantwoordelijke) die kunnen worden onderscheiden. De belangrijkste begrippen zijn: verantwoordelijke (de instantie of persoon die verantwoordelijk is voor de verwerking van persoonsgegevens en de zeggenschap heeft over het doel en middelen van de verwerking), bewerker (de instantie of persoon die voor de verantwoordelijke persoonsgegevens bewerkt zonder in een hiërarchische relatie tot de verantwoordelijke te staan), betrokkene (diegene waarover de persoonsgegevens informatie bevatten) en de derde (die noch betrokkene, noch verantwoordelijke, noch bewerker, noch diegene die onder rechtstreeks gezag van verantwoordelijke of bewerker gemachtigd is om de gegevens te verwerken). Als we het voorbeeld van een ziekenhuis nemen, dan is de voorzitter van de Raad van Bestuur de verantwoordelijke, zijn de patienten en medewerkers de betrokkenen, zijn de ziektekostenverzekeraars de derden en is het salarisverwerkingsbedrijf, er van uitgaande dat de salarisverwerkingen zijn uitbesteed, de bewerker. Daarnaast kent de Wbp begrippen als verwerking van persoonsgegevens, toestemming van betrokkene en verstrekken van persoonsgegevens. Met verwerking van persoonsgegevens worden alle handelingen bedoeld met betrekking tot persoonsgegevens, waaronder het verzamelen, het vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, verstrekken, verspreiden, afschermen, uitwissen of vernietigen van gegevens. Dus het opnemen van gegevens van de patient in zijn dossier is een vorm van verwerking. Toestemming van de betrokkene wordt gedefinieerd als elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. Verstrekken van persoonsgegevens wordt omschreven als het bekend maken of ter beschikking stellen van persoonsgegevens.3 Het verstrekken van patientgegevens uit het dossier bijvoorbeeld aan de ziektekostenverzekeraar is een vorm van verder verwerken. Dit verstrekken van gegevens dient te worden getoetst aan het verenigbaarheidscriterium. Dit houdt in dat het verstrekken van gegevens verenigbaar moet zijn met het doel waarvoor de gegevens verkregen zijn. De Wbp bepaalt dat persoonsgegevens niet verder mogen worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.4
3. 4.
10
Zie artikel 1 Wbp. Artikel 9, lid 1 Wbp.
Hoofdstuk 4 / Korte introductie huidig privacyrecht
4.3
4.4
Verwerkingen
De Wbp is doorgaans van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Volgens de wet is een persoonsgegeven ‘alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Het gaat dus allereerst om gegevens die informatie over een persoon bevatten. Niet alleen kunnen gegevens zelf informatie bevatten, maar de informatie kan ook uit de context worden opgemaakt waarbinnen deze gegevens worden gebruikt. Gegevens die niet rechtstreeks informatie over een persoon bevatten, maar betrekking hebben op een product of een proces en/of kunnen leiden naar een te identificeren persoon zijn daarmee persoonsgegevens. Zoals we hiervoor hebben gezien kan een groot aantal handelingen of geheel van handelingen worden beschouwd als een verwerking van persoonsgegevens. Het verwerken van persoonsgegevens moet een gerechtvaardigd doeleinde dienen en dit doeleinde moet welbepaald en uitdrukkelijk omschreven zijn.5 In de wet worden zes categorieen gerechtvaardigde doeleinden genoemd.6 Een voorbeeld van zo’n categorie is de gegevensverwerking die noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is. Ter illustratie: een werkgever is verplicht het burgerservicenummer van zijn medewerkers in de personeelsadministratie op te nemen. Welbepaald en uitdrukkelijk omschreven wil zeggen dat men geen gegevens mag verzamelen zonder een precieze doelomschrijving, dat de doelomschrijving niet vaag en ruim mag zijn, maar precies en duidelijk moet zijn. 4.4
Toestemming
Toestemming van de betrokkene (voor een bepaalde verwerking) is een belangrijke grondslag voor gegevensverwerkingen. Met toestemming van betrokkene is in principe veel mogelijk. Aan het rechtsgeldig verlenen van toestemming zijn echter voorwaarden verbonden. Dat betekent dat de toestemming die is verstrekt onder dreiging van bijvoorbeeld ontslag of het niet overgaan tot loonsverhoging, niet kan worden omschreven als toestemming die in vrijheid is verstrekt. De toestemming moet verder voldoende specifiek zijn en op ondubbelzinnige7 wijze zijn gegeven. Voor de verwerking van ‘gewone’gegevens kan de toestemming als ondubbelzinnig worden gekwalificeerd, als dit uit andere gedragingen van betrokkene is af te leiden (bijvoorbeeld het invullen van een formulier, bevestiging van een elektronische dienstverlening door een muisklik en dergelijke).8 Voorts moet de toestemming zijn gericht op een bepaalde (al vaststaande) gegevensverwerking. De betrokkene moet toestemming verlenen voor bijvoorbeeld
5. 6. 7. 8.
Artikel 7 Wbp. Artikel 8 Wbp. Met ondubbelzinnig wordt bedoeld dat dat bij de verantwoordelijke elke twijfel dient te zijn uitgesloten dat de betrokkene toestemming heeft gegeven. Informatiebureaus en de bescherming van persoonsgegevens’ door J.J.C. Kabel, in: J.M.A. Berkvens en J.E.J. Prins (red.), Privacyregulering in theorie en praktijk, Deventer: Kluwer 2002.
11
4.5
Hoofdstuk 4 / Korte introductie huidig privacyrecht
het verstrekken van bepaalde gegevens aan bepaalde derden. Hierbij is van belang dat de betrokkene vooraf voldoende geïnformeerd is. Bijvoorbeeld bij toestemming voor een gegevensverstrekking moet vooraf aan betrokkene verteld worden welke gegevens voor welk doel aan wie verstrekt zullen worden als hij toestemming geeft. De grens van deze informatieplicht ligt bij informatie (over een gegevensverwerking) die de betrokkene al kende, of die hij zou moeten kennen. Een gegevensverwerking van een vaak voorkomende soort (ten behoeve van ziekteverlof bijvoorbeeld) zal minder toelichting behoeven dan een verwerking die in de praktijk weinig voorkomt. Daarnaast kent de Wbp ook nog het begrip uitdrukkelijke toestemming. Deze is vereist als uitzondering op het verbod om bijzondere persoonsgegevens (ook wel gevoelige gegevens genoemd) te verwerken.9 Van uitdrukkelijke toestemming is sprake als de betrokkene expliciet zijn wil omtrent de verwerking heeft geuit aan de verantwoordelijke. Een stilzwijgende of impliciete toestemming is onvoldoende. 4.5
Privacytoets
Voordat tot verwerking kan worden overgegaan, moet altijd een zogenaamde privacytoets plaatsvinden. De privacytoets houdt in dat vastgesteld moet worden dat (1) de inbreuk op de persoonlijke levenssfeer van de betrokkene niet onevenredig is in verhouding tot het met de verwerking te dienen doel (proportionaliteitseis) en (2) het doel redelijkerwijs niet op een andere, voor de betrokkene minder nadelige manier kan worden bereikt (subsidiariteitseis). Men moet zich afvragen of men niet hetzelfde doel met minder gegevens kan bereiken. Kan men niet langs een andere weg hetzelfde resultaat bereiken, bijvoorbeeld door met behulp van technische hulpmiddelen te bewerkstelligen dat men geen of zo min mogelijk persoonsgegevens verwerkt? Daarnaast moeten de gegevensverwerkingen passen bij één van de zes genoemde grondslagen in de Wbp10 om van een rechtmatige verwerking te kunnen spreken. Eén van die grondslagen betreft een verwerking vanwege de behartiging van een gerechtvaardigd belang. Oneerbiedig zou deze verwerkingsgrond kunnen worden aangeduid als een ‘restcategorie’. In bepaalde gevallen kan een verwerking van gegevens niet direct op één bepaald welomschreven doel worden teruggevoerd, hoewel er wel een duidelijk aanwijsbare reden is om tot gegevensverwerking over te gaan. Is dat het geval, dan zal de verantwoordelijke of de beheerder zich moeten afvragen of er werkelijk een belang is dat de verwerking rechtvaardigt. Vervolgens zal hij een privacytoets moeten uitvoeren. Daarnaast moet de verantwoordelijke nagaan of de wijze waarop de verwerking is uitgevoerd in overeenstemming is met het beoogde doel. Als de verantwoordelijke deze afwegingen heeft gemaakt en kan beargumenteren, is daarmee inzicht gegeven in het doel van de gegevensverwerking.
9. 10.
12
Artikel 23 Wbp. Artikel 8 Wbp.
Hoofdstuk 4 / Korte introductie huidig privacyrecht
4.6
4.7
Beveiliging
Specifiek wordt aan de verantwoordelijke opgedragen om er voor te zorgen dat er technische en organisatorische maatregelen worden getroffen om persoonsgegevens te beveiligen tegen verlies van gegevens of tegen onrechtmatige verwerking.11 De precieze details van de mate van beveiliging worden niet in de wet gegeven. Vast staat dat naarmate de gegevens gevoeliger zijn en meer gegevens over meer betrokkenen worden verwerkt, er meer en strengere beveiligingsmaatregelen noodzakelijk zijn. Het College bescherming persoonsgegevens heeft als hulpmiddel voor het nader invullen van beveiligingsaspecten zogenaamde Achtergrondstudies en Verkenningen opgesteld.12 Deze worden binnenkort vervangen door nieuwe Richtsnoeren voor de beveiliging.13 4.7
Rechten, reikwijdte en toezicht
Is de verwerking van persoonsgegevens eenmaal op basis van het hiervoor staande – op rechtmatige wijze – in gang gezet kan de betrokkene alsnog ingrijpen in het proces. De betrokkene heeft de volgende rechten: het inzagerecht, het correctierecht en het recht van verzet. De toepasselijkheid van de Wbp gaat verder dan je in eerste instantie zou denken. Het valt op dat in veel bijzondere wetten (bijvoorbeeld de gemeentewet) privacyaspecten worden geregeld maar voor een nadere concretisering zal toch een beroep moeten worden gedaan op de Wbp. Formeel gaan deze bijzondere wetten voor de bepalingen van de Wbp. In de praktijk zal aan de uitwerking van een concrete casus verder invulling moeten worden gegeven met behulp van de algemene normen uit de Wbp. Het College bescherming persoonsgegevens (CBP) houdt toezicht op de uitvoering van de Wbp.14 Het CBP is een onafhankelijk bestuursorgaan dat toezicht houdt op de naleving van de wetten die het gebruik van persoonsgegevens regelen. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit en behandelt vragen en klachten. Een organisatie kan echter ook een functionaris voor de gegevensbescherming (de FG) benoemen, die intern toezicht houdt op de verwerkingen van persoonsgegevens. In de Wbp is in deze mogelijkheid voorzien. Bij de invulling van de functie van FG dient in ieder geval rekening te worden gehouden met de desbetreffende wettelijke artikelen.15 Tot zover de hoofdlijnen van de Wbp. In het volgende hoofdstuk wordt ingegaan op de voorgestelde privacyverordening.
11. 12. 13. 14. 15.
Artikel 13 Wbp. G.W. van Blarkom, J.J. Borking, Beveiliging van persoonsgegevens, Achtergrondstudies en verkenningen nr. 23. Een concept is gereed. De precieze publicatiedatum is op het moment van dit schrijven niet bekend. Artikel 51 Wbp e.v. Artikelen 63 en 64 Wbp.
13
HOOFDSTUK 5
Kernelementen van de privacyverordening 5.1
Inleiding
‘Door de snelle technologische ontwikkelingen zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan,’ zo begint de toelichting op de voorgestelde privacyverordening enigszins plechtstatig.1 ‘De mate waarin gegevens worden verzameld en gedeeld, is enorm gestegen. Mensen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd.’ Dat is inderdaad allemaal zo. Maar wat de toelichting niet zegt, maar wat wel net zo belangrijk is, is dat als gevolg hiervan ketenomkering mogelijk wordt. Het is niet zo dat individuen gegevens verstrekken aan bijvoorbeeld banken en belastingdienst, die deze vervolgens in systemen en databases stoppen en naar behoefte gebruiken. Nee, individuen houden zelf de beschikking over hun eigen gegevens in bijvoorbeeld een digitale kluis of digitaal dossier en deze individuen bepalen zelf welke instanties wanneer welke gegevens voor welk doeleinde mag inzien en eventueel gebruiken. Empowerment van het individu wordt zo mogelijk. Het individu wordt in staat gesteld daadwerkelijk controle te houden over zijn eigen persoonsgegevens. De doelstelling en beginselen van de huidige privacyrichtlijn gelden nog steeds, zo vervolgt de Europese Commissie in haar toelichting. Het probleem is dat persoonsgegevens in de EU op gefragmenteerde wijze worden beschermd, er sprake is van rechtsonzekerheid en in brede lagen van de bevolking bestaat het beeld dat met name onlineactiviteiten aanzienlijke risico’s inhouden. De Europese Commissie (EC) vindt het daarom tijd worden om een krachtiger en coherenter kader voor gegevensbescherming in de EU tot stand te brengen en bovendien scherp toe te zien op de handhaving daarvan. Zonder gemeenschappelijke regels op EU-niveau bestaat het risico dat lidstaten verschillende niveaus van gegevensbescherming bieden en dat het grensoverschrijdende verkeer van persoonsgegevens tussen lidstaten met verschillende normen wordt belemmerd. Een verordening wordt beschouwd als het meest geschikte rechtsinstrument. Een verordening is rechtstreeks toepasselijk en hoeft daarom niet per aparte wet te worden omgezet in de nationale wetgeving. Door de rechtstreekse toepasselijkheid zal een verordening de juridische fragmentatie verminderen en de rechtszekerheid bevorderen, zo verwacht de EC.
1.
COM(2012) 11 final, pagina 1.
15
5.2
Hoofdstuk 5 / Kernelementen van de privacyverordening
De nieuwe wetgeving op het gebied van privacy bestaat zoals eerder gezegd uit twee voorstellen. Het eerste voorstel komt in de plaats van de bestaande privacyrichtlijn die in 1995 werd vastgesteld. Het tweede voorstel komt in de plaats van het Kaderbesluit 2008/977/JBZ voor de politiële en justitiële samenwerking in strafzaken. Dit tweede voorstel is van toepassing op alle verwerkingsactiviteiten die bevoegde autoriteiten voor de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen uitvoeren. Dit tweede voorstel, de richtlijn, komt hier niet verder aan de orde. Het eerste voorstel, de verordening staat hierna centraal. 5.2
Kernbepalingen van de voorgestelde verordening
5.2.1
Beginselen en begrippen
Voordat we de daadwerkelijke kernbepalingen bespreken zal eerst worden gekeken naar enkele begrippen. Begrippen vormen de ruggengraat van een wet en/of verordening. De privacyverordening introduceert niet alleen nieuwe begrippen (zoals genetische gegevens) maar heeft ook een paar begrippen gewijzigd. Een voorbeeld van dit laatste is dat de bewerker nu verwerker wordt genoemd en dat er duidelijkheid wordt gecreëerd over de uitleg van het begrip ‘toestemming’. De term ‘ondubbelzinnige toestemming’ is gekoppeld aan een ‘uitdrukkelijke wilsverklaring’. Sommige begrippen zijn hetzelfde gebleven, indien niet letterlijk verwoord dan toch qua strekking (zoals betrokkene). We zetten hier de belangrijkste begrippen uit de voorgestelde privacyverordening op een rij:2 ● Betrokkene Het gaat hier om degene waarvan de persoonsgegevens worden verwerkt. Een natuurlijk persoon die geïdentificeerd is of geïdentificeerd kan worden. Het laatste geval kan onder andere plaatsvinden aan de hand van een identificatienummer, gegevens over de verblijfplaats van de persoon, een onlineidentificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit. ● Verwerking De definitie van dit begrip is vergelijkbaar met die uit de Europese richtlijn en Wbp. Het komt erop neer dat elke bewerking van persoonsgegevens – geautomatiseerd of niet – hieronder valt. Enkele voorbeelden zijn het verzamelen, wijzigen, bijwerken, ordenen, raadplegen, terbeschikkingstellen, met elkaar in verband brengen, wissen of vernietigen van gegevens. ● Bestand Dit begrip is gedefinieerd omdat het hebben van een bestand maakt dat een niet-geautomatiseerde verwerking die geen bestand is hiermee geen verwerking is die onder de werking van de voorgestelde privacyverordening valt. Bij een bestand moet men denken aan een gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze. 2.
16
Voor een letterlijke omschrijving van de begrippen verwijzen we naar artikel 4 van de voorgestelde privacyverordening.
Hoofdstuk 5 / Kernelementen van de privacyverordening
●
●
●
●
●
●
3.
5.2.1
Verantwoordelijke (voor de verwerking) De natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan dat allen of tezamen met anderen, het doel van en de voorwaarden en middelen voor de verwerking van persoonsgegevens vaststelt. Bepalend is dat de verantwoordelijke het doel, de voorwaarden en middelen voor verwerking vaststelt. Verwerker De verwerker is de natuurlijke of rechtspersoon, de overheidsinstantie, die dienst of enig ander orgaan die, respectievelijk dat ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Overigens is het in dit kader van belang voor de IT-auditor zich niet alleen op de verantwoordelijke te richten maar tevens alert te zijn op een verwerker die namens/voor de verantwoordelijke gegevens verwerkt. Voor de verwerker gelden bijna dezelfde verplichtingen. De IT-auditor dient na te gaan of de verantwoordelijke de verantwoordelijkheden op de juiste wijze (onder andere via een bewerkersovereenkomst) heeft belegd bij de verwerker. Inbreuk Dit begrip is van belang in verband met de meldingsplicht bij datalekken. Het gaat hier op een inbreuk op de beveiliging van persoonsgegevens. Dit moet een gevolg hebben dat een nadeel vormt. Een nadeel zou kunnen zijn: vernietiging, verlies van gegevens of de ongeoorloofde toegang tot gegevens. Een inbreuk hoeft niet onrechtmatig te zijn veroorzaakt maar kan ook per ongeluk gebeuren. Biometrische gegevens Eenduidige kenmerking gebeurt met deze gegevens aan de hand van bijvoorbeeld afbeeldingen van het gezicht. In de privacyverordening komt dit begrip alleen maar voor in combinatie met de privacyeffectbeoordeling (PIA). Vertegenwoordiger Een representant (een natuurlijke persoon of rechtspersoon) die een verantwoordelijke die buiten de Europese Unie is gevestigd binnen de Unie vertegenwoordigt. Toestemming: in de definitie van ‘toestemming’ is het criterium ‘uitdrukkelijk’ toegevoegd om verwarring met ‘ondubbelzinnige’ toestemming te voorkomen en om tot een enkele en consistente definitie van ‘toestemming’ te komen. Gewaarborgd moet worden dat de betrokkene zich ervan bewust is dat hij toestemming geeft en waarvoor hij toestemming geeft. De voorwaarden waaronder toestemming een geldige grond is voor een rechtmatige verwerking zijn de hierna volgende: – de verantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven.3 – wanneer de betrokkene zijn toestemming moet geven in het kader van een schriftelijke verklaring die ook op een andere gelegenheid betrekking heeft, moet het vereiste van toestemming duidelijk afzonderlijk van deze andere aangelegenheid worden weergegeven. – de betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. – toestemming biedt geen rechtsgrondslag voor verwerking wanneer er een aanzienlijke onevenwichtigheid bestaat tussen de positie van de betrokkene en de verantwoordelijke. Van zo’n onevenwichtigheid is bijvoorbeeld sprake in het geval een werkgever persoonsgegevens van een werknemer verwerkt. Zie artikel 7 lid 1 van de voorgestelde privacyverordening.
17
5.2.1
Hoofdstuk 5 / Kernelementen van de privacyverordening
Dat wil niet zeggen dat het dan niet is toegestaan. Vaak is er een andere gerechtvaardigde grondslag dan toestemming, zoals de nakoming van een wettelijke plicht (aangifte loonheffing) of uitvoering van een overeenkomst (arbeidscontract).
Voor de IT-auditor: Controleer of de genoemde waarborgen verwerkt zijn in de getroffen maatregelen en procedures om toestemming van de betrokkene te verkrijgen. Leidt de wijze waarop toestemming wordt verkregen er toe dat de betrokkene zich er voldoende bewust van is dat hij toestemming verleent en weet deze waarvoor hij toestemming geeft? Is dit door de verantwoordelijke aan te tonen (bestaat hiervan schriftelijk of digitaal bewijs)? Bekijk of er aanwijzingen zijn dat bepaalde betrokkenen hun toestemming hebben ingetrokken. Welke posities nemen de betrokkenen in ten opzichte van de verantwoordelijke?
●
Samenwerkingsverbanden: partners van samenwerkingsverbanden die voor een gezamenlijke verwerking van persoonsgegevens verantwoordelijkheid dragen, moeten dit door middel van een onderlinge regeling (bijvoorbeeld een overeenkomst) vastleggen. Daarin stellen zij hun respectieve verantwoordelijkheden vast voor de nakoming van de verplichtingen die uit de verordening voortvloeien, met name met betrekking tot de procedures en mechanismen voor de uitoefening van de rechten van betrokkenen.
Dit gaat verder dan wat partners van samenwerkingsverbanden doorgaans gewend zijn. Gewoonlijk leggen ze hun afspraken vast in een convenant. En meestal is het dat dan. Nu worden ze, naast het overeenkomen van een overeenkomst, verplicht hun procedures en mechanismen uit te werken voor de effectuering van de rechten van betrokkenen en deze op elkaar af te stemmen. Veel partners van samenwerkingsverbanden en trouwens ook organisaties die los van een samenwerkingsverband opereren, kennen geen standaardprocedures en mechanismen om adequaat en tijdig op verzoeken van betrokkenen te kunnen reageren. Veel organisaties vergeten immers nog wel eens om over te gaan op de zogeheten materiële implementatie van de privacyregelgeving, waartoe het vastleggen van dit soort procedures behoort. Nu worden ze gedwongen om dat wel te doen. Anders zijn ze immers niet in staat hun procedures en mechanismen op elkaar af te stemmen.
Voor de IT-auditor: als er sprake is van een samenwerkingsverband, controleer of er een overeenkomst bestaat, of daarin in voldoende mate de verantwoordelijkheden zijn vastgelegd en of er daarnaast daadwerkelijk procedures en maatregelen zijn afgesproken en vastgelegd om de verplichtingen van de verordening na te komen, met name met betrekking tot de procedures en mechanismen voor de uitoefening van de rechten van betrokkenen.
18
Hoofdstuk 5 / Kernelementen van de privacyverordening
●
5.2.2
Bescherming van het kind: De bescherming van persoonsgegevens van kinderen speelt met name een rol bij direct marketing en in de gezondheidszorg. Volgens de privacyverordening is iemand kind tot de persoon achttien jaar oud is. De extra bescherming van het kind valt op. In het voorgestelde artikel 6 lid 1 sub f bijvoorbeeld, dat een van de zes rechtvaardigingsgronden bevat voor gegevensverwerkingen, wordt aan de privacybescherming van kinderen extra gewicht toegekend. Ook is er een apart artikel gewijd aan de verwerking van persoonsgegevens van kinderen. Ingeval diensten van de informatiemaatschappij rechtstreeks worden aangeboden aan kinderen jonger dan 13 jaar dan is dat op grond van het voorgestelde artikel 8 slechts rechtmatig wanneer en voor zover de ouder of voogd van het kind daartoe toestemming heeft gegeven.
5.2.2
Enkele kernbepalingen uitgelicht
● Algemene documentatieverplichting De voorgestelde privacyverordening bevat een algemene documentatieverplichting.4 Dit artikel verplicht de verantwoordelijken en de bewerkers alsmede in voorkomend geval de vertegenwoordigers van de verantwoordelijken de documenten inzake alle verwerkingen die onder hun verantwoordelijkheid hebben plaatsgevonden te bewaren. De documenten bevatten tenminste de volgende gegevens: ● naam en contactgegevens van de verantwoordelijke of eventueel de gezamenlijke verantwoordelijke of verwerker, en van de vertegenwoordiger in voorkomend geval ● de naam en contactgegevens van de FG (in voorkomend geval) ● de doeleinden van de verwerking, waaronder de gerechtvaardigde belangen van de verantwoordelijke wanneer de verwerking op die grondslag is gebaseerd5 en/ of de eventuele wettelijke basis ● categorieën betrokkenen (bijvoorbeeld differentiatie tussen klanten en personeel) en persoonsgegevens per categorie ● ontvangers of categorieën (bijvoorbeeld toeleveranciers en overheidsdiensten) van ontvangers van persoonsgegevens ● doorgifte van gegevens naar een derde land of internationale organisatie in voorkomend geval en eventueel de documenten inzake de passende garanties ● een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën moeten worden gewist ● de beschrijving van de mechanismen die er voor moeten zorgen dat de doeltreffendheid van de maatregelen worden getoetst.6 Deze maatregelen betreffen met name het bewaren van documentatie,7 het voldoen aan de vereisten inzake gegevensbeveiliging, het uitvoeren van een PIA, het voldoen aan de eisen inzake voorafgaande toestemming of voorafgaande raadpleging van het CBP of FG en het aanwijzen van een FG.
4. 5. 6. 7.
Artikel Artikel Artikel Artikel
28 voorgestelde privacyverordening. 6 lid 1, sub f voorgestelde privacyverordening. 22 lid 1 en 2 voorgestelde privacyverordening. 28 voorgestelde privacyverordening.
19
5.2.2
Hoofdstuk 5 / Kernelementen van de privacyverordening
Voor de IT-auditor: Stel vast of de verantwoordelijke de documenten bewaart inzake alle verwerkingen die onder zijn verantwoordelijkheid plaatsvinden. Stel vast of de documenten tenminste de in artikel 28 lid 2 van de voorgestelde privacyverordening genoemde gegevens bevatten. Zijn maatregelen zoals bedoeld in artikel 22 beschreven, om er voor te zorgen en aan te kunnen tonen dat de documentatie in overeenstemming met artikel 28 wordt bewaard? Zijn de in artikel 22 genoemde maatregelen daadwerkelijk getroffen? Zijn mechanismes beschreven om de doeltreffendheid van deze maatregelen te toetsen? Zijn de documenten zodanig geordend dat deze op verzoek aan de toezichthouder kunnen worden overhandigd? Zijn de documenten helder en zijn de interne verantwoordelijkheden adequaat belegd?
De afschaffing van de meldingsplicht lijkt dan ook een heel mooie maatregel in het kader van het verminderen van administratieve lasten. De algemene documentatieplicht blijkt daar echter voor in de plaats te komen en brengt een net zo zware, zo niet een zwaardere administratieve last met zich mee. Of dit bezwaarlijk is, valt nog te bezien. De introductie en de uitbreiding van de documentatieplicht kan ook worden opgevat als een aansporing aan verantwoordelijken om hun organisatie zo in te richten dat ze sowieso aan de verplichtingen van de privacyverordening voldoen. ● Informatieplicht De informatieplicht (ten behoeve van de betrokkene) wordt sterk uitgebreid. Naast de verplichting voor de verantwoordelijke om het doel van de verwerking en de identiteit van verantwoordelijke aan de betrokkenen door te geven, zal hij de betrokkene nu ook (onder meer) moeten informeren over:8 ● de vertegenwoordiger van de verantwoordelijke ● de FG ● de bewaartermijn van de persoonsgegevens ● het bestaan van het recht van betrokkene om inzage, correctie en vernietiging van de gegevens te verlangen of om bezwaar te maken ● het recht om een klacht in te dienen bij het CBP ● de ontvangers of categorieën ontvangers van zijn persoonsgegevens en in voorkomend geval het voornemen van de doorgifte van zijn persoonsgegevens naar een derde land of een internationale organisatie en het door dat derde land geboden beschermingsniveau onder verwijzing naar een besluit van de EC waarbij het beschermingsniveau passend wordt verklaard en alle verdere informatie die nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.
8.
20
Artikel 14 voorgestelde privacyverordening.
Hoofdstuk 5 / Kernelementen van de privacyverordening
5.2.2
Voor de IT-auditor: Stel vast welke procedures en mechanismen door de verantwoordelijke zijn vastgelegd (schriftelijk of digitaal) om aan zijn verplichting om betrokkenen informatie te verstrekken te kunnen voldoen. Stel verder vast welke procedures en mechanismen daadwerkelijk zijn getroffen. Stel per verwerking of een representatieve steekproef van verwerkingen vast of aan de informatieplicht is voldaan. Zijn aan de betrokkenen daadwerkelijk de gegevens zoals genoemd in artikel 14 verstrekt en kan dat worden aangetoond? Zo nee, kan gemotiveerd worden aangegeven op welke grond van artikel 14 lid 5 verstrekking van gegevens achterwege is gebleven?
De Europese Commissie kan zo nodig standaardformulieren vaststellen voor het verstrekken van de verplichte informatie. Ook kan de Europese Commissie gedelegeerde handelingen vaststellen met het oog op de nadere invulling van de informatieplicht.9 ● Rechten van betrokkenen Om de rechten van betrokkenen zo goed mogelijk te waarborgen wordt in de privacyverordening voorgesteld om de verantwoordelijke te laten voorzien in procedures en mechanismen die betrekking hebben op de uitoefening van de rechten van de betrokkene.10 Bij de begrippen ‘procedures’ en ‘mechanismen’ zal een IT-auditor ongetwijfeld zijn oren spitsen omdat dit zijn werkterrein raakt. Als het over rechten van betrokkenen gaat, worden daarmee bedoeld: ● middelen voor elektronische indiening van verzoeken door betrokkenen ● een termijn voor de beantwoording van verzoeken van betrokkenen ● en de plicht om weigeringen door de verantwoordelijke te motiveren. Verder gaat het om: ● het recht op toegang tot zijn gegevens11 ● het recht op rectificatie12 ● het recht om vergeten te worden13 ● het recht om gegevens te laten wissen14 ● het recht van gegevensoverdraagbaarheid15 ● en het recht van bezwaar.16
9. 10. 11. 12. 13. 14. 15. 16.
Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel
14 lid 7 en 8 voorgestelde privacyverordening. 12 voorgestelde privacyverordening. 14 voorgestelde privacyverordening. 14 voorgestelde privacyverordening. 17 voorgestelde privacyverordening. 5d voorgestelde privacyverordening. 18 voorgestelde privacyverordening. 19 voorgestelde privacyverordening.
21
5.2.2
Hoofdstuk 5 / Kernelementen van de privacyverordening
Voor de IT-auditor: Stel vast welke procedures en mechanismen door de verantwoordelijke zijn vastgelegd (schriftelijk of digitaal) om de rechten van betrokkenen te kunnen effectueren. Stel verder vast welke procedures en mechanismen daadwerkelijk zijn getroffen. Zijn deze procedures en mechanismen zodanig ingericht dat de verantwoordelijke aan de wettelijke termijnen – binnen een maand na ontvangst van een verzoek van een betrokkene kan voldoen?
De verantwoordelijke informeert de betrokkene onverwijld en uiterlijk binnen een maand na ontvangst van het verzoek, of er al dan niet actie is ondernomen om ontvangers aan wie gegevens zijn verstrekt op de hoogte te stellen van elke rectificatie dan wel het wissen van gegevens. Ook voor deze rechten geldt dat de informatie die verantwoordelijken moeten verstrekken bij het inwilligen van de rechten van betrokkenen, vergelijkbaar is met de informatie die nu op meldingsformulieren voor het CBP moet worden ingevuld. ● Recht om vergeten te worden Het recht om vergeten te worden17 houdt in dat de betrokkene een recht heeft op volledige verwijdering van zijn persoonsgegevens indien hij zijn toestemming intrekt en er geen andere legitieme redenen zijn om de data te bewaren. De verantwoordelijke dient derden op de hoogte te stellen van het verzoek van betrokkene om iedere koppeling naar en kopie of reproductie van zijn persoonsgegevens te verwijderen. Dat dit recht zo expliciet wordt genoemd is nieuw, maar de strekking is niet nieuw. We kennen namelijk al wettelijke eisen omtrent bewaartermijnen van persoonsgegevens.18 Gegevens mogen op grond van artikel 10 van de Wet bescherming persoonsgegevens (Wbp) niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld of vervolgens worden verwerkt en in het Vrijstellingsbesluit staan concrete bewaartermijn genoemd.19 Het recht om vergeten te worden is – als uitgangspunt - een mooi recht, maar hoe weet een betrokkene zeker dat zijn persoonsgegevens en iedere koppeling of reproductie daarnaar volledig zijn verwijderd? Dat is vooral op het internet lang niet altijd zeker. De procedures en maatregelen die een verantwoordelijke daarvoor aantoonbaar heeft getroffen, zullen een belangrijke indicatie vormen. Een prangende vraag is hoe dit recht kan worden geëffectueerd als het gaat om gegevens die via social media worden gegenereerd en die op het internet staan? Het is immers zo goed als onmogelijk om persoonsgegevens voor 100% van het internet verwijderd te krijgen. Het recht om te vergeten lijkt dan vooral een aanmoediging voor
17. 18. 19.
22
Artikel 17 voorgestelde privacyverordening. Artikel 10.1 Wbp. Besluit van 1 mei 2001, Stb. 2001, 250, houdende aanwijzing van verwerkingen van persoonsgegevens die zijn vrijgesteld van de melding bedoeld in artikel 27 van de Wet bescherming persoonsgegevens.
Hoofdstuk 5 / Kernelementen van de privacyverordening
5.2.2
verantwoordelijken om gegevens niet langer te bewaren dan noodzakelijk voor het doel waarvoor ze zijn verkregen. De naleving van bewaartermijnen loopt gelijk op met het recht om vergeten te worden. Als de beperkingen die de verplichte bewaartermijnen opleggen niet worden aangehouden, zal het recht om vergeten te worden ook niet worden geeffectueerd. Een in het voorjaar uitgevoerd onderzoek bij politiële en justitiële instanties heeft aan het licht gebracht dat de bewaartermijnen slecht worden nageleefd. Het CBP constateerde dat het interne toezicht tekort is geschoten.20 Een IT-auditor moet in staat zijn om een dergelijk tekortkomen tijdens zijn audit feilloos bloot te leggen. Tenslotte is er ook kritiek op deze nieuwe regel, omdat hij niet verstrekkend genoeg zou zijn. Er wordt gesteld dat de het recht om vergeten te worden niet verder gaat dan een informatieplicht voor degene die het verzoek hiertoe ontvangt, te weten: de verplichting om derden in te lichten over het verzoek (door betrokkene) om de bepaalde data te wissen.21
Voor de IT-auditor: Stel vast welke procedures en mechanismen door de verantwoordelijke zijn vastgelegd (schriftelijk of digitaal) om het recht van betrokkenen om vergeten te worden te kunnen effectueren. Stel verder vast welke procedures en mechanismen daadwerkelijk zijn getroffen. Zijn deze procedures en mechanismen zodanig ingericht dat de verantwoordelijke in principe onverwijld tot het wissen overgaat? Wordt de noodzaak van de opslag van gegevens periodiek beoordeeld? Zijn mechanismes vastgesteld om er voor te zorgen dat de termijnen die zijn vastgesteld voor het wissen van persoonsgegevens en/of voor de periodieke beoordeling van de noodzaak van de opslag van de gegevens in acht worden genomen?
● Profiling Iedere betrokkene heeft het recht om niet op basis van profilering aan een maatregel te worden onderworpen waaraan voor hem rechtsgevolgen zijn verbonden of die hem in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking.22 Het moet dan gaan om een geautomatiseerde verwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen.
20. 21. 22.
Persbericht CBP d.d. 12 juni 2012. Artikel ‘Het recht op vergetelheid: een oud recht in een verkeerd jasje’ door Dr. J. van Hoboken, P&I Afl. 3 juni 2012. Artikel 20 voorgestelde privacyverordening.
23
5.2.2
Hoofdstuk 5 / Kernelementen van de privacyverordening
Een persoon mag alleen aan een maatregel, die op basis van profiling tot stand komt, worden onderworpen wanneer de verwerking: ● wordt uitgevoerd in het kader van het sluiten of het uitvoeren van een overeenkomst23 ● uitdrukkelijk is toegestaan op grond van EU-wetgeving of nationale wetgeving24 ● plaatsvindt op grond van toestemming van de betrokkene. De geautomatiseerde verwerking die bestemd is om bepaalde aspecten van de persoonlijkheid van een natuurlijk persoon te beoordelen, mag niet uitsluitend gebaseerd worden op bijzondere persoonsgegevens. Met bijzondere persoonsgegevens worden onder andere bedoeld persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religie of overtuiging blijkt, en genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen.
Voor de IT-auditor: Ga na of profilering plaatsvindt en zo ja, ga na wat de grondslag is. Toets of de grondslag voldoet aan de eisen van artikel 20. Ga na of betrokkenen geïnformeerd zijn over de verwerking, in het bijzonder over de met de verwerking beoogde gevolgen voor de betrokkenen.
23.
24.
24
en aan het door de betrokkene ingediende verzoek tot het sluiten of uitvoeren van de overeenkomst is voldaan of passende maatregelen zijn aangeboden ter bescherming van zijn gerechtvaardigde belangen, zoals het recht op menselijke tussenkomst. en in die wetgeving ook passende maatregelen zijn opgenomen ter bescherming van de gerechtvaardigde belangen van de betrokkene.
HOOFDSTUK 6
Meldplicht datalekken
In de privacyverordening is een meldplicht datalekken opgenomen. Ingeval van een ‘datalek’, als bijvoorbeeld hackers in het registratiesysteem binnendringen, is de verantwoordelijke verplicht zonder onnodige vertraging en zo mogelijk niet later dan 24 uur nadat hij ervan kennis heeft genomen deze te melden bij het CBP.1 De verwerker is verplicht de verantwoordelijke onmiddellijk te waarschuwen en te informeren na vaststelling van een datalek. De verantwoordelijke moet niet alleen aan het CBP melden, de verantwoordelijke moet ook na melding aan het CBP de betrokkene melden.2 Hij moet dat doen wanneer het waarschijnlijk is dat het datalek negatieve gevolgen heeft voor de bescherming van de persoonsgegevens of de privacy van de betrokkene. En hij moet dat zonder onnodige vertraging doen. De verordening spreekt niet letterlijk over een datalek, maar over een inbreuk in verband met persoonsgegevens. Een inbreuk in verband met persoonsgegevens wordt in artikel 4 sub 9 gedefinieerd als een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, tot gevolg. De melding door de verantwoordelijke aan het CBP omvat tenminste: ● een omschrijving van de aard van de inbreuk, waaronder de betrokken categorieën en aantallen betrokkenen en categorieën en aantallen gegevensrecords; ● de vermelding van de identiteit en contactgegevens van de FG of een ander contactpunt; ● aanbevelingen voor maatregelen om nadelige gevolgen te verminderen; ● een omschrijving van de gevolgen van de inbreuk; ● een omschrijving van de maatregelen die de verantwoordelijke heeft voorgesteld of genomen om de inbreuk aan te pakken. De verantwoordelijke dient tevens alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen van de inbreuk en de corrigerende maatregelen die zijn genomen. Deze documenten moeten het CBP in staat stellen de naleving van de meldplicht te controleren. De Europese Commissie kan modellen voor de melding vaststellen alsmede voor de documentatie van alle feiten omtrent de inbreuk, de gevolgen en de corrigerende maatregelen. Het CBP kan een boete opleggen van 500.000 euro of 1% van de jaarlijkse wereldwijde omzet als niet aan
1. 2.
Artikel 31 voorgestelde privacyverordening. Artikel 32 voorgestelde privacyverordening.
25
Hoofdstuk 6 / Meldplicht datalekken
genoemde documentatieverplichting wordt voldaan of een boete van 1.000.000 of 2% van de jaarlijkse wereldwijde omzet als überhaupt niet aan de meldplicht wordt voldaan. Vermeldenswaardig is nog dat een wetsvoorstel (betreffende een aanpassing op de Wbp)3 wordt voorbereid, vooruitlopend op de verordening, waarin ook een meldplicht datalekken is opgenomen. Tevens is in 2012 een wetsvoorstel tot wijziging van de Telecommunicatiewet van kracht geworden dat ook een meldplicht datalekken bevat.4 De consequenties van een datalek kunnen verstrekkend zijn voor een organisatie. Zowel in het geval de verantwoordelijke binnen 24 uur meldt en het datalek nog niet heeft kunnen oplossen als in het geval de verantwoordelijke later dan binnen 24 uur meldt maar het datalek wel eerst heeft aangepakt. Denk in het eerste geval aan een dalende beurswaarde (koersval) omdat het vertrouwen van aandeelhouders of klanten naar beneden keldert. Denk in het tweede geval aan een faillissementsrisico als de klanten hierdoor opzeggen of maatschappelijke onrust ontstaat. De DigiNotar zaak is hier helaas een voorbeeld van. Het is aan te bevelen dat de verantwoordelijke diverse scenario’s heeft uitgewerkt.
Voor de IT-auditor: Ga na of er een procedure is waarin staat beschreven hoe de organisatie moet handelen in geval van een datalek. Is de organisatie in staat onverwijld en zo mogelijk niet later dan 24 uur het datalek te melden bij het CBP en zonder onnodige vertraging aan de betrokkene? Is de organisatie in staat onverwijld en zo mogelijk niet later dan 24 uur het CBP te informeren over de in artikel 31 lid 3 genoemde punten? Is de organisatie in staat zonder onnodige vertraging de betrokkene te informeren over de identiteit en contactgegevens van de FG en aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van het datalek te verminderen? Om onverwijld of binnen 24 uur te kunnen melden bij het CBP moeten onder meer maatregelen zijn voorgesteld of getroffen om het datalek aan te pakken en er moet beleid zijn om het CBP over de in artikel 31 lid 3 genoemde vijf punten binnen 24 uur goed te kunnen informeren. Het is bijna onmogelijk om dit ad hoc en vooral op tijd te kunnen regelen. De voorbereiding is daarom van groot belang. Stel vast of de organisatie scenario’s heeft beschreven en draaiboeken zodat er snel en adequaat kan worden geacteerd (crisismanagement). Stel vast of de organisatie een standaard meldingsformulier klaar heeft liggen met de vijf genoemde punten.
3. 4.
26
Voorontwerp wet aanpassing Wbp (34a Wbp). 11.3a Telecommunicatiewet.
HOOFDSTUK 7
Privacy by design en privacy by default en de PIA Nieuw in de verordening zijn de privacy by design en privacy by default eisen.1 Privacy by design betekent dat al in de voorfase van een (ICT-) project – al vanaf het ontwerp – wordt gekeken naar technische en organisatorische maatregelen die privacyverhogend zijn, door bijvoorbeeld gebruik maken te van PET.2 ,3 In plaats van de wet toe te passen op het te ontwikkelen systeem, wordt de wet in het systeem ingebouwd. Privacy by design omvat ook een aan de bouw van systemen, diensten en netwerken voorafgaande privacyrisico- of privacybedreigingsanalyse (privacy impact analyse) en een management cyclus binnen organisaties waar privacybescherming een vast onderdeel is.4 Grosso modo gaat het bij privacy by design om het ontwerpen van informatiesystemen, die de privacy van mensen beschermen: door gegevensminimalisatie; door transparantie over het gebruik van hun gegevens; door afscherming van de identiteit van het individu; door het gebruik van kleefbeleid (sticky policies5 ); door het volgen van persoonsgegevens nadat deze zijn verzameld (data tracking); door gebruik van privacy bewustmakende icons en door privacy ontologie waardoor de privacyrechtsregels in systemen zijn in te bouwen.6 Wat betreft datatracking: het blijkt technisch mogelijk om het gegevensspoor van de bezoeker van een website door die bezoeker te laten opvragen. Dit gegevensspoor of datatrack geeft de conditites aan de bezoeker van Internet weer, waaronder de opslag en verwerking van zijn gegevens hebben plaatsgevonden. De datatrack verschaft niet alleen transparantie voor gebruikers, maar stelt hen ook in staat aan de verantwoordelijken later te vragen of zij werkelijk de gegevens zoals beloofd hebben behandeld. Een privacy ontologie bevat een hiërarchische datastructuur met alle relevante entiteiten en hun onderlinge relaties en regels binnen het privacydomein. Op die manier kan privacywetgeving in een algemeen conceptueel model worden vertaald, waardoor de wetgeving in informatiesystemen kan worden ingebouwd.
1. 2.
3. 4. 5.
6.
Artikel 23 voorgestelde privacyverordening. Zie de Mededeling van het CBP: ‘Privacy by design onontbeerlijk in ICT-tijdperk - CBP-reactie op plan Eurocommissaris Reding voor herziening privacyrichtlijn’ dat in november 2010 is gepubliceerd door de CBP http://www.cbpweb.nl/Pages/th_pbd_start.aspx. PET staat voor privacy enhancing technology. Zie J. Borking, ‘Privacy protection by design’ en ‘data protection by default’, in: Privacy en Compliance – 03-04/2012, p. 6. Door middel van cryptografische technieken kunnen privacyvoorkeuren aan gegevens worden ‘geplakt’, zodat organisaties niet afwijken van de aan de websitebezoeker toegezegde manier van gegevensverwerking. Zie J. Borking, ‘Privacy protection by design’ en ‘data protection by default’, in: Privacy en Compliance – 03-04/2012, p. 9.
27
Hoofdstuk 7 / Privacy by design en privacy by default en de PIA
Privacy by default lijkt op het privacy by design principe en betekent dat door middel van systeeminstellingen maximale privacy van een betrokkene wordt gewaarborgd en voor zover mogelijk door het systeem wordt afgedwongen. Vereist is dat de verantwoordelijke technische en organisatorische maatregelen treft die dit realiseren. Het kader hierbij is het enigszins abstracte: ‘met inachtneming van de stand van de techniek en de uitvoeringskosten’. Hierbij kan worden gesteld dat datgene dat technisch afdwingbaar is ook technisch geïmplementeerd dient te worden. Uit het hiervoor staande blijkt al dat de vereisten van privacy by design en privacy by default nog niet uitgekristalliseerd zijn. Uit de overwegingen7 en de privacyverordening zelf 8 blijkt dat de Europese Commissie bevoegd is om modelformulieren voor te schrijven inzake de verantwoordelijkheid van de verantwoordelijke voor privacy by design en by default.
Voor de IT-auditor: Inventariseer wat de organisatie doet of heeft gedaan aan privacy by design en default en bekijk of dit voldoet aan de eisen uit de privacyverordening. Ga na welke ICT-ontwikkelingsprojecten of ICT-systeem er zijn en of aantoonbaar rekening is gehouden met de genoemde vereisten. Ook als sprake is van reorganisaties, het samenvoegen of ontvlechten van organisaties of productontwikkelingsprojecten moet nagegaan worden of de ondersteunende systemen voldoen aan de vereisten van privacy by design en default. Ga verder na of in de contracten de verantwoordelijkheden voor privacy by design en default en aansprakelijkheden voldoende zijn beschreven en op een evenwichtige wijze zijn verdeeld.
Wanneer het ontwerp van een systeem privacyinbreuken mogelijk maakt, is de verantwoordelijke aansprakelijk en niet de ontwerper of bouwer van het systeem. Ook kan de verantwoordelijke een boete opgelegd krijgen en niet de ontwerper of bouwer. Dit betekent dat de verantwoordelijke als opdrachtgever duidelijke afspraken moet maken met de ontwerper of bouwer van een systeem dat deze in voorkomende gevallen de eventuele schadevergoeding of boete kan verhalen op de ontwerper of bouwer. PIA staat voor Privacy Impact Assessment of ook wel Privacyeffectbeoordeling. In deze publicatie zal voor het gemak de term PIA worden gebruikt. Een PIA wordt in de privacyverordening in bepaalde omstandigheden verplicht gesteld.9 Wanneer
7. 8. 9.
28
Overweging 130 voorgestelde privacyverordening. Artikel 86 voorgestelde privacyverordening. Artikel 33 van de voorgestelde privacyverordening.
Hoofdstuk 7 / Privacy by design en privacy by default en de PIA
verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten en vrijheden van betrokkenen, voert de verantwoordelijke of bewerker een beoordeling uit van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens. Er is met name sprake van bijzondere risico’s in geval van: ● een systematische en uitgebreide beoordeling van de persoonlijkheidsaspecten van een natuurlijke persoon, die is gebaseerd op een geautomatiseerde verwerking (profiling). Hierop worden maatregelen gebaseerd waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die hem in aanzienlijke mate treffen. Bij persoonlijkheidsaspecten moet men denken aan aspecten zoals de economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen. ● de verwerking van gegevens over het seksuele leven, de gezondheid, het ras of de etnische afkomst, voor het bieden van gezondheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geestes- of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen. ● de bewaking van openbaar toegankelijke ruimten, met name wanneer op grote schaal videobewaking wordt gebruikt. ● de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens. ● andere verwerkingen waarvoor de toezichthoudende autoriteit op grond van artikel 34 lid 2 sub b moet worden geraadpleegd. De toezichthouder stelt een lijst op van verwerkingen waarover voorafgaande raadpleging moet plaatsvinden en publiceert deze lijst.10 De Europese Commissie is bevoegd gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden voor verwerkingen die waarschijnlijk de hierboven bedoelde bijzondere risico’s inhouden. De ● ● ● ●
PIA behelst op zijn minst: een algemene beschrijving van de beoogde verwerkingen een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen de maatregelen die worden beoogd om de risico’s te beperken de waarborgen, beveiligingsmaatregelen en mechanismen die de bescherming van persoonsgegevens verzekeren en aantonen dat aan de verordening is voldaan
10.
Artikel 34 lid 2 sub b bepaalt dat de toezichthoudende autoriteit – in casu het CBP – moet worden geraadpleegd over verwerkingen die naar hun aard, hun omvang en/of hun doel waarschijnlijk specifieke privacyrisico’s met zich meebrengen wanneer deze het nodig acht. Deze verwerkingen moeten van te voren worden gespecificeerd en gepubliceerd.
29
Hoofdstuk 7 / Privacy by design en privacy by default en de PIA
Wanneer de verantwoordelijke een overheidsinstantie of –orgaan is en de verwerking is het gevolg van een in de EU-wetgeving geregelde wettelijke verplichting waarbij voorschriften en procedures op het gebied van de verwerkingen zijn vastgesteld, is de verantwoordelijke niet verplicht een PIA uit te voeren. Tenzij de lidstaten het nodig achten om voorafgaand aan dergelijke verwerkingen toch een PIA uit te voeren. De Europese Commissie is bevoegd gedelegeerde handelingen vast te stellen voor de nadere invulling van de vereisten voor de PIA, met inbegrip van de voorwaarden voor uitbreidbaarheid en interne en externe toetsing. Voor micro- en kleine en middelgrote ondernemingen11 neemt de Europese Commissie daarbij specifieke maatregelen in overweging. Daarnaast kan de Europese Commissie normen en procedures vaststellen voor de uitvoering van de interne en externe toetsing van de PIA. Ter illustratie geven wij hierna enkele praktische aandachtspunten voor de uitvoering van een PIA weer. In geval van een PIA kunnen verschillende fasen worden onderscheiden. Wij noemen enkele: (1) Fase 1 – Verkenningsfase. Als eenmaal is besloten een PIA uit te voeren zal eerst bekeken moeten worden of er een beperkte PIA gewenst is of een uitgebreide PIA. Dit besluit wordt genomen aan de hand van bepaalde criteria. Het verschil tussen een beperkte en een uitgebreide PIA bestaat vooral uit het al of niet inperken van de te raadplegen documentatie en het aantal te voeren gesprekken. (2) Fase 2 – Bestuderen documentatie. Met documentatie wordt onder meer bedoeld een plan van aanpak van een project, een eventueel projectplan en specificaties betreffende een project. Door het bestuderen van de documentatie zullen vragen rijzen die dan weer kunnen dienen als input voor nog te voeren gesprekken. (3) Fase 3 – Gesprekken voeren met betrokken personen. Parallel aan de documentatiestudie zullen diverse gesprekken worden gevoerd met de bij het project betrokken personen (kennisdragers) en de personen die te maken zullen krijgen met de gevolgen van het project. We hebben het dan over betrokkenen door de hele organisatie heen, vanaf de werkvloer tot aan de bestuurskamer.
11.
30
Om te weten wanneer sprake is van kleine, middelgrote en micro-ondernemingen wordt verwezen naar de Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003.
Hoofdstuk 7 / Privacy by design en privacy by default en de PIA
Vervolgens wordt fase drie gevolgd door de vervolgfasen zoals de inventarisatie van de privacysituatie, toetsing aan relevante wet- en regelgeving en het opstellen en de oplevering van het eindrapport. Hierna kan dan nog een evaluatie worden gedaan van het uitvoeringsproces van de PIA. Gedurende het uitvoeringsproces ziet de functionaris voor de gegevensbescherming toe op de uitvoering van PIA’s. Indien ten onrechte geen PIA wordt uitgevoerd, kan het CBP een geldboete tot 1.000.000 euro opleggen of 2% van de jaarlijkse wereldwijde omzet.
Voor de IT-auditor: Breng de verwerkingen in kaart die plaatsvinden, bepaal of hiervoor een PIA had moeten plaatsvinden en controleer of er een PIA is uitgevoerd. Indien die is uitgevoerd, controleer of deze PIA aan de eisen voldeed. Bekijk of de noodzakelijke vastlegging heeft plaatsgevonden. Interview eventueel de FG. Indien geen PIA is uitgevoerd, dient de accountant te worden ingelicht. De organisatie waarvoor zij de financiële verslaggeving en controle doen is een materieel risico ontstaan, die in zijn rapportage moet worden meegenomen.
31
HOOFDSTUK 8
Functionaris gegevensbescherming Dit onderdeel gaat over de aanwijzing, de taken en de positie van de FG. Opvallend is dat de voorgestelde privacyverordening in veel gevallen de aanwijzing van een FG verplicht stelt, en dat de positie en taken van de FG uitgebreid staan omschreven. Elke verantwoordelijke of verwerker is verplicht een FG aan te wijzen indien verwerkingen worden uitgevoerd door een overheidsinstantie of – orgaan, indien de verwerkingen worden uitgevoerd door een onderneming met minimaal 250 werknemers of indien een verantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen.1 In alle andere gevallen kunnen verantwoordelijken of verwerkers of verenigingen of andere organen die categorieën verantwoordelijken of verwerkers vertegenwoordigen, een FG aanwijzen. Brancheverenigingen, belangenbehartigers of coöperaties kunnen dus voortaan gezamenlijk een FG aanwijzen.2 In het geval van een coöperatie kan een FG worden aangewezen om toe te zien op alle verwerkingen die door de ondernemingen die daarvoor verantwoordelijke zijn worden uitgevoerd en tevens lid zijn van de coöperatie.3 De FG wordt voor tenminste twee jaar aangewezen en kan worden herbenoemd.4 Hij geniet ontslagbescherming net als dat nu onder de Wbp het geval is. Wel wordt het anders geformuleerd: ‘Hij kan alleen worden ontslagen als hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken.’ De vraag rijst onmiddellijk of deze voorwaarden duidelijk genoeg staan omschreven. In de voorgestelde privacyverordening staat dat de FG wordt aangewezen op grond van zijn professionele kwaliteiten, zijn deskundigheid op het terrein van de wetgeving en de praktijk inzake gegevensbescherming5 en zijn vermogen de in artikel 37 van bedoelde verordening genoemde taken te vervullen. De Europese Commissie is bevoegd gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria voor genoemde professionele kwaliteiten. De nadere invulling van de criteria kunnen ook worden afgeleid uit de hieronder beschreven uitbreiding van taken.
1. 2. 3. 4. 5.
Artikel 35 lid 1 voorgestelde privacyverordening. Artikel 35 lid 2 voorgestelde privacyverordening. Hierbij wordt opgemerkt dat 2012 door de Verenigde Naties is uitgeroepen tot het jaar van de coöperatie. Zie ook: http://www.jaarvandecooperatie.nl. Artikel 35 lid 7 voorgestelde privacyverordening. Artikel 35 lid 5 voorgestelde privacyverordening.
33
Hoofdstuk 8 / Functionaris gegevensbescherming
De taken van de FG zijn in de privacyverordening uitgebreider omschreven dan nu het geval is in de Wbp.6 Deze taken zijn tenminste: ● het informeren en adviseren van de verantwoordelijke en de verwerker over de verplichting die zij hebben op grond van deze verordening en het documenteren van deze activiteit en de ontvangen antwoorden. In feite werden deze activiteiten tot voor kort verplicht in een jaarverslag van de FG gedocumenteerd. Tot voor kort, omdat deze verplichting met de laatste wijziging van de Wbp is komen te vervallen. Het lijkt er op dat de verplichting om een jaarverslag aan te leveren via een omweg weer vrolijk terugkomt, zij het dat de documentatieverplichting niet in de vorm van een jaarverslag hoeft te worden gegoten en de documentatie niet per definitie openbaar hoeft te zijn. ● het toezien op de uitvoering en toepassing van het privacybeleid (zie hiervoor het hoofdstuk ‘privacybeleid’) van de verantwoordelijke of de verwerker, met inbegrip van de toewijzing van verantwoordelijkheden, opleiding van het bij de verwerking betrokken personeel en de audits. De verantwoordelijke en verwerker moeten expliciet over een vastgesteld privacybeleid beschikken. Dit stond tot nu toe niet zo expliciet in de Wbp. In veel organisaties was een dergelijk privacybeleid wel vastgesteld en van kracht. Ook werden verantwoordelijkheden toegewezen en verdeeld. Over de opleiding van het betrokken personeel bevatte het beleid meestal geen expliciete bepalingen en dat gold ook voor de audits. ● het toezien op de uitvoering en toepassing van deze verordening, met name ten aanzien van privacy by design, privacy by default en gegevensbeveiliging, de informatieplicht en de effectuering van rechten van betrokkenen. ● ervoor zorgen dat de documenten die voortvloeien uit de eerder genoemde documentatieplicht worden bewaard. ● het toezien op het naleven van de meldplicht datalekken: het documenteren, melden en meedelen van inbreuken in verband met persoonsgegevens in overeenstemming met artikelen 31 en 32. ● het toezien op de uitvoering van de PIA en op het verzoek om voorafgaande toestemming of raadpleging. ● het toezien op het gevolg dat aan verzoeken van het CBP is gegeven en het verlenen van medewerking aan het CBP op diens verzoek of op eigen initiatief van de FG. ● het optreden als contactpunt voor het CBP betreffende aangelegenheden in verband met de verwerking en het op eigen initiatief in voorkomend geval raadplegen van het CBP.
6.
34
Artikel 37 voorgestelde privacyverordening.
Hoofdstuk 8 / Functionaris gegevensbescherming
Deze uitbreiding van taken van de FG stelt nadere eisen aan de toewijzing van zijn bevoegdheden en verantwoordelijkheden, alsook aan zijn professionele kwaliteit. Ook zal de FG nauwer zijn betrokken bij bijvoorbeeld de toepassing van de verplichtingen tot privacy by design en privacy by default en zal hij goed ingewerkt moeten zijn in de materie van de PIA.
Voor de IT-auditor: Stel vast of de organisatie verplicht is een FG aangewezen te hebben. Zo ja, stel vast of die daadwerkelijk is aangewezen. Zo ja, stel vast of diens positionering aan de eisen van artikel 35 en 36 van de privacyverordening voldoet. Stel vast of de FG is aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen zijn taken te vervullen. Ga na welke taken en bevoegdheden deze FG heeft en of de voorwaarden er zijn om de taken zoals beschreven in artikel 37 van de privacyverordening naar behoren te kunnen vervullen. Controleer of de taaktoebedeling overeenkomt met de eisen in de wet.
35
HOOFDSTUK 9
Sancties bij niet naleven privacyregels De sanctiebevoegdheden van de nationale toezichthouder zijn in deze verordening behoorlijk uitgebreid.1 De huidige voorzitter van het CBP heeft wel eens publiekelijk verzucht: ‘we moeten van lam leeuw worden’2 en ‘we moeten Neelie Kroes-achtige boeten kunnen opleggen’. Het lijkt er op dat deze verzuchtingen in Brussel zijn gehoord want het CBP kan geldboetes opleggen variëren van 250.000 euro tot 1.000.000 euro en van 0,5% tot 2 % van de wereldwijde jaaromzet. Het CBP kan een boete opleggen tot 250.000 euro of een geldboete van 0,5% van de jaarlijkse wereldwijde omzet aan een ieder die niet voorziet in mechanismes voor de uitoefening van de rechten van betrokkenen of niet onmiddellijk of in de vereiste vorm betrokkenen antwoordt op verzoeken of een vergoeding in rekening brengt voor informatie of voor het beantwoorden van verzoeken van betrokkenen. Ook hieruit blijkt weer het belang dat de verordening hecht aan mechanismen. Het CBP kan verder een boete opleggen van 500.000 euro of een geldboete van 1% van de jaarlijkse wereldwijde omzet aan een ieder: ● die de betrokkene geen of onvolledige informatie verstrekt of de informatie niet op voldoende transparante wijze verstrekt of de betrokkene geen toegang verstrekt tot zijn gegevens, persoonsgegevens niet rectificeert of een ontvanger relevante informatie niet vertelt; ● die het recht om te worden vergeten of het recht op uitwissing van gegevens niet eerbiedigt, geen mechanismen invoert om de naleving van termijnen te borgen, of niet alle nodige maatregelen neemt om derde partijen in kennis te stellen van verzoeken van betrokkenen om koppelingen naar of kopieën of reproducties van persoonsgegevens uit te wissen; ● die het recht op dataportabiliteit niet eerbiedigt; ● die niet of niet voldoende de respectievelijke verantwoordelijkheden van deelnemers aan samenwerkingsverbanden vaststelt; ● die niet of onvoldoende aan de documentatieplicht voldoet; ● die in gevallen waarin geen bijzondere gegevens worden verwerkt, de voorschriften in verband met de vrijheid van meningsuiting of de verwerking in het kader van de arbeidsverhouding of de voorwaarden voor verwerking voor historische, statistische of wetenschappelijke doeleinden niet naleeft.
1. 2.
Artikel 79 voorgestelde privacyverordening. Internetartikel Humanistisch Verbond, http://www.humanistischverbond.nl/nieuws/archief/ 2011/expertmeeting_privacy_volledig_artikel.
37
Hoofdstuk 9 / Sancties bij niet naleven privacyregels
Het CBP kan tot slot een geldboete opleggen tot 1.000.000 euro of een geldboete van 2% van de jaarlijkse wereldwijde omzet onder meer aan een ieder: ● die de persoonsgegevens verwerkt zonder of zonder toereikende rechtsgrondslag voor de verwerking of de voorwaarden voor toestemming niet naleeft; ● die bijzondere persoonsgegevens verwerkt zonder dat daar een rechtsgrond op basis van deze verordening voor is; ● die geen gevolg geeft aan een bezwaar dat een betrokkene indient; ● die de voorwaarden voor profiling niet naleeft; ● die geen intern privacybeleid vaststelt of geen passende maatregelen uitvoert om voor naleving te zorgen en die naleving niet kan aantonen overeenkomstig de artikelen 22, 23 en 30 (privacybeleid, privacy by design en by default, beveiliging); ● die het CBP of de betrokkene niet waarschuwt in geval van een inbreuk in verband met de persoonsgegevens of die inbreuk niet tijdig of niet volledig meldt en dus de meldplicht schendt; ● die geen PIA uitvoert of persoonsgegevens verwerkt zonder voorafgaande toestemming of voorafgaande raadpleging van het CBP; ● die geen FG aanwijst of niet de voorwaarden in het leven roept voor de uitvoering van diens taken; ● of die misbruik maakt van een gegevensbeschermingsregel of –merktekens die in het kader van certificering ex artikel 39 zijn aangebracht; ● een gegevensdoorgifte naar een derde land of een internationale organisatie verricht of opdracht daartoe geeft, die niet is toegestaan; ● een bevel of tijdelijk of definitief verwerkingsverbod of een opschorting van gegevensstromen door het CBP niet naleeft. Opvallend is nog de bepaling dat bij een eerste en niet-opzettelijke naleving van de verordening een schriftelijke waarschuwing kan worden gegeven zonder dat er een sanctie wordt opgelegd, wanneer een natuurlijke persoon persoonsgegevens verwerkt zonder commerciële belangen of een onderneming of organisatie met minder dan 250 werknemers persoonsgegevens slechts als nevenactiviteit verwerkt.3 Betekent dit dat in andere gevallen een louter schriftelijke waarschuwing niet kan worden opgelegd? De verordening is daar op zijn minst onduidelijk over.
3.
38
Artikel 79 lid 3 voorgestelde privacyverordening.
HOOFDSTUK 10
Privacybeleid
Met (intern) privacybeleid wordt bedoeld het beleid dat de verantwoordelijke moet hanteren en handhaven om te voldoen aan de doorlopende eisen die voortvloeien uit de voorgestelde privacyverordening en andere geldende privacywet- en regelgeving. Daarnaast moet de verantwoordelijke passende maatregelen uitvoeren om ervoor te zorgen en te kunnen aantonen dat de verwerkingen in overeenstemming de verordening worden uitgevoerd. Het opstellen van het beleid is een verplichting die voortvloeit uit de privacyverordening.1 Om een goed intern privacybeleid te voeren is het nodig om een privacyorganisatie zodanig in te richten dat daarmee het beleid kan worden uitgevoerd. Binnen die organisatie zijn de verantwoordelijkheden ten aanzien van de uitvoering van het beleid toegewezen. Daarnaast worden opleidingen voor de betrokken medewerkers verzorgd en zullen periodiek (interne dan wel externe) audits worden uitgevoerd. De verantwoordelijke moet mechanismen instellen om er voor te zorgen dat de doeltreffendheid van de te treffen maatregelen – om aan te kunnen tonen dat de verwerkingen van persoonsgegevens in overeenstemming met de verordening worden uitgevoerd – wordt getoetst. De toetsing wordt uitgevoerd door interne of externe controleurs. Van belang is dat het aantoonbaar is dat aan de eisen die voortkomen uit de privacyverordening is voldaan. Dit zal veelal gebeuren door het vaststellen van interne regelingen en mechanismen. Ter bescherming van de rechten en vrijheden van de betrokkenen en vanwege de verwerking van persoonsgegevens zijn – naast het vaststellen van procedures en mechanismen - zowel bij het plannen als ook bij de uitvoering van de verwerking, passende technische en organisatorische maatregelen nodig, om te waarborgen dat aan de bepalingen van deze verordening wordt voldaan. Deze maatregelen betreffen met name: – Het voldoen aan de documentatieplicht en het bewaren van documentatie; – Het voldoen aan de eisen inzake gegevensbeveiliging; – Het uitvoeren van een PIA; – Het voldoen aan de eisen inzake voorafgaande toestemming of voorafgaande raadpleging van het CBP; – Het aanwijzen van een FG.
1.
Artikel 22 lid 1 voorgestelde privacyverordening.
39
Hoofdstuk 10 / Privacybeleid
Dit alles dient terug te komen in het privacybeleid.
Voor de IT-auditor: Stel vast of er een privacybeleid is opgesteld en of daarin alle noodzakelijke aandachtspunten en de procedures en mechanismen zijn beschreven die nodig zijn om de verwerkingen van gegevens in overeenstemming met de privacyverordening te doen plaatsvinden. Let hierbij in het bijzonder op de aanwijzingen in de artikelen 22, 28, 30, 33 en 34. Toets of de maatregelen doeltreffend zijn en aantoonbaar de eisen van de verordening worden nageleefd.
40
HOOFDSTUK 11
Relatie van de privacyverordening met de regels van goed bestuur of good governance Er zijn diverse codes voor goed bestuur van toepassing. De bekendste is de Code Frijns als opvolger van de Code Tabaksblat. Deze codes zijn gericht aan Raden van Bestuur en Raden van Toezicht of Commissarissen. In feite vormen deze codes de meest concrete opdracht die deze Raden van Bestuur en Toezicht hebben. Eerder is al genoemd dat het niet naleven of kunnen naleven van essentiële bepalingen van de voorgestelde privacyverordening een risico van materieel belang voor de jaarverslaggeving kan vormen. Daarmee is dit risico niet alleen relevant voor de controlerend accountant of accountant die een (samenstellings)verklaring afgeeft, maar ook voor deze Raden van Bestuur en Toezicht. Ook zij zijn verplicht in hun jaarverslag of in hun control statement een beschrijving op te nemen van hun strategische risico’s, operationele risico’s, financiële, verslaggevings- en compliancerisico’s. Alleen al vanuit dit oogpunt is het al of niet naleven van de privacyverordening bepalend voor het vaststellen van goed bestuur. Tegelijkertijd kan ook het niet naleven van de privacyverordening een vorm van goed bestuur zijn. Indien een organisatie te maken heeft met bijvoorbeeld een inbreuk op de beveiliging in verband met persoonsgegevens (een datalek), kan zij er juist verstandig aan doen om niet zo snel als mogelijk dit datalek te melden aan het CBP en de betrokkene, maar hiermee te wachten totdat het datalek is opgelost. Er kan immers zoveel onrust bij aandeelhouders of klanten ontstaan, dat het vertrouwen in de onderneming naar beneden keldert en de beurswaarde onderuit gaat. In dat geval kan het juist van goed bestuur getuigen om niet zo snel mogelijk te melden. De continuïteit van de organisatie moet immers niet in gevaar worden gebracht. Raden van Bestuur en Toezicht moeten in staat zijn om in zulke gevallen goede afwegingen te maken. Daarvoor is het nodig dat organisaties de verschillende relevante wet- en regelgeving waaraan zij moeten voldoen met elkaar in verband brengen en een keuze maken aan welke relevante wet- en regelgeving zij in ieder geval willen voldoen. Instrumenten die daarbij behulpzaam kunnen zijn, zijn een privacyframework en daarvan afgeleid privacybaseline. Wat betekent dit nu voor de organisatie? Het is mooi dat Raden van Bestuur, Commissarissen en Toezicht moeten voldoen aan de eisen van goed bestuur en dat de naleving van de privacyverordening een essentieel onderdeel uitmaakt van die eisen. Maar hoe vertalen deze eisen van goed bestuur zich nu door in de organisatie zelf? Met andere woorden, hoe krijg je het georganiseerd?
41
Hoofdstuk 11 / Relatie van de privacyverordening
Een praktische indeling die behulpzaam kan zijn, zijn de zogenaamde lines of defense die binnen een organisatie kunnen worden onderkend: ● Eerste lijn: de maatregelen van administratieve organisatie, interne controle en interne beheersing van de organisatie ● Tweede lijn: de professionals ● Derde lijn: de interne controle (de IT Auditor) ● Vierde lijn: het externe toezicht (de accountant, de IT Auditor en het CBP). De naleving van de privacyverordening heeft een behoorlijke impact op de eerste (en ook tweede) lines of defense. Uit de tekst van de voorgestelde verordening blijkt al dat het niet langer vooral een aangelegenheid van juristen, maar dat de administratieve organisatie en interne controle aandacht behoeft op alle niveaus. Ook de professionals moeten goed op de hoogte zijn van de inhoud en werking van de privacyverordening. Zoals gezegd niet alleen juristen. Ook niet alleen accountants of IT-auditors, maar deze groepen professionals moeten in staat zijn om ook vanuit andere disciplines deze verordening te begrijpen en toe te passen. Voor de derde line of defense geldt dat de privacyverordening een integraal onderdeel van de interne controle moet vormen. Daarmee is ook meteen een verbinding gelegd met de audit committee die vaak een onderdeel vormt van de Raad van Commissarissen of Raad van Toezicht. Het interne controle apparaat moet voorbereid worden. Voor de vierde line of defense is relevant dat het niet naleven van de verordening risico’s kan opleveren van materieel belang. De accountant moet ook in het kader van de continuiteit van de bedrijfsvoering rapporteren over de kwaliteit van de administratieve organisatie en interne controle. De impact van de privacyverordening op goed bestuur, waarop bestuurders en toezichthouders afgerekend worden, heeft consequenties voor alle lagen van de organisatie. Daarom is het zo belangrijk dat tijdig en serieus wordt aangevangen met het voorbereiden van de organisatie – in alle lines of defense – op de privacyverordening. Al gauw moet daarbij gedacht worden aan een voorbereidingstijd van twee tot drie jaar. Alleen op deze manier zullen bestuurders en toezichthouders in staat zijn om aan de voor hen geldende eisen van goed bestuur te voldoen.
42
HOOFDSTUK 12
Slot en betekenis verordening voor IT auditors In deze publicatie zijn de belangrijkste elementen van de voorgestelde Europese privacyverordening beschreven. Ook zijn de belangrijkste veranderingen ten opzichte van de huidige privacywetgeving benoemd. Nu de sancties op niet-naleving verstrekkend zijn en de risico’s dientengevolge voor de verantwoordelijke bij nietnaleving substantieel zijn toegenomen, is het belang van controle door de IT-auditor ook toegenomen. Gelet op de hoogte van de sancties (1 miljoen euro of 2% van de wereldwijde jaaromzet) vormen de risico’s op niet-naleving een materieel risico. De accountant zal hier dan ook aandacht aan moeten besteden bij de controle van de jaarrekening of bij de afgifte van de samenstellingsverklaring. Zonodig zal hij bestuurders en toezichthouders moeten wijzen op dergelijke materiële risico’s. In deze publicatie is de aandacht gevestigd op enkele opvallende zaken die voor de IT-auditor van belang zijn: de expliciet gemaakte verplichtingen voor verantwoordelijken, de uitbreiding van de taken van FG's en verplichtingen voor samenwerkingsverbanden. Het meest opvallend lijkt toch wel dat in de privacyverordening de woorden maatregelen, mechanismen en procedures veel gebruikt worden en dat deze bij de naleving zeer relevant worden geacht. De IT-auditor heeft daarmee een veel duidelijker en explicietere rol gekregen dan zoals we die kenden in de Europese privacyrichtlijn en Wet bescherming persoonsgegevens. Was het met de Wbp nog wel eens lastig uit te leggen dat de verplichtingen voor verantwoordelijken verder gingen dan de meldingsplicht, informatieplicht en beveiligingsplicht en dat er ook procedures en maatregelen moesten worden getroffen om aan de Wbp te kunnen voldoen. In deze privacyverordening zijn de verplichtingen tot het instellen van mechanismes, het vaststellen van procedures en het treffen van maatregelen gewoonweg expliciet opgenomen. Verantwoordelijken kunnen er nu echt niet meer om heen. Tegelijkertijd krijgt de IT-auditor heel concrete handvatten om zijn controles uit te voeren. Ook zullen zij met deze concrete regels in de hand minder snel als lastig worden ervaren. Op die manier is geregeld dat privacybescherming een serieuze plek in de organisatie krijgt en daarmee in de samenleving. Een plek die ze meer dan verdient.
43
Index
Beginselen privacyrecht Beveiliging College bescherming persoonsgegevens Dataportabiliteit Datalekken, meldplicht Default, privacy by Design, privacy by Documentatieplicht Functionaris gegevensbescherming Gerechtvaardigd belang Good governance Inbreuk Informatieplicht Kaderbesluit Kind, bescherming van Meldingsplicht Ondubbelzinnige toestemming PET PIA Privacy (algemeen) Privacybeleid Privacyrichtlijn Privacytoets Profilering Proportionaliteitsbeginsel Rechten betrokkenen Samenwerkingsverbanden Sancties Subsidiariteitsbeginsel Toestemming Transparantiebeginsel Vergetelheid, recht op Verwerker
blz. 9 blz. 13 blz. 13 blz. 37 blz. 25 blz. 27 blz. 27 blz. 20 blz. 33 blz. 12 blz. 41 blz. 17 blz. 20 blz. 16 blz. 19 blz. 20 blz. 16 blz. 27 blz. 27 blz. 7 blz. 39 blz. 15 blz. 12 blz. 23 blz. 9 blz. 5 blz. 18 blz. 37 blz. 10 blz. 10 blz. 9 blz. 23 blz. 17
45