44
de EDP-Auditor nummer 4 2005
Interview Privacybescherming – geen geval van zwart-wit! In het kader van de Wet Bescherming Persoonsgegevens (Wbp) moeten alle organisaties die persoonsgegevens verwerken aan de Wbp voldoen. In het Centraal Krediet Informatiesysteem bij het Bureau Krediet Registratie (BKR) in Tiel zijn gegevens opgeslagen van meer dan 9 miljoen consumenten. Voor BKR is de bescherming van de privacy van deze mensen een van de belangrijkste onderdelen van de bedrijfsvoering. Een speciaal voor dit doel ingericht stelsel van maatregelen en procedures (hierna: stelsel) moet de privacybescherming waarborgen. Sinds een groot aantal jaren formuleert de directie van BKR in het jaarverslag een privacyparagraaf. Verder wordt ieder jaar door de externe accountant een onderzoeksrapport uitgebracht. We praten hierover met Wolter Karssenberg, Manager Kwaliteitssystemen bij BKR te Tiel.
Interview door Thea Gerritse en Rainer Steger
Inleiding BKR, een stichting die in 1965 is opgericht door het financieel bedrijfsleven. Geen overheidsinstantie, noch gelieerd aan de overheid. Sinds 1978 wordt bij BKR op grote schaal automatisering toegepast. Daarvoor was er sprake van een cartotheek. In 1985 – dus jaren vóórdat de Wpr in werking trad, heeft BKR haar eerste privacyreglement gepubliceerd, een reglement voor de omgang met persoonsgegevens. En in 1987 kreeg BKR de eerste mededeling – over het jaar 1986 – van de accountant over het stelsel van maatregelen en procedures ter bescherming van de privacy. Dat was dus nog voorafgaand aan de Wpr. Inmiddels bestaat BKR 40 jaar en dat is gevierd met een congres met de titel: Preventie en Privacy – Botsend of Aanvullend? Privacybescherming, al 40 jaar een hot item voor BKR – reden om eens met Wolter Karssenberg hierover te praten!
Drs. Th.M.J. Gerritse RE is IT-auditor bij EDP AUDIT POOL. Drs. R.J.Steger RE RA is momenteel werkzaam bij KASBANK N.V. Vanaf 1 januari 2006 zal hij leiding geven aan de IT Audit & Corporate Governance tak binnen Berk Accountants.
Hoe ben je in deze functie terechtgekomen? ‘Nu, dan moet ik even terug in de tijd. Toen ik in 1985 de opleiding Bedrijfskundige Informatica aan de HEAO afrondde, voelde ik weinig voor een standaardcarrière in de informatica. Het echte programmeren lag me niet. Ik wilde iets doen tussen ICT en eindgebruikers in. Van auditing had ik tot op dat moment nog nooit gehoord. Bij een van de voorlopers van het huidige Getronics Pink Roccade had ik een sollicitatie uitstaan. Zij wezen mij op een cliënt van hen die graag met IT-auditing aan de slag wilde. Ik werd gedetacheerd bij de IAD van Bouwfonds Nederlandse Gemeenten en ben daar als eenoog in het koninkrijk der blinden aan de slag gegaan met IT-auditing. Na anderhalf jaar wilde ik graag mijn kennis vergroten en ben naar de voorloper van de VB Groep (in 1997 overgenomen door Deloitte) overgestapt. In tien jaar tijd is de groep van EDP-auditors bij VB Groep van twee man naar circa tien uitgegroeid. In deze tijd heb ik bij cliënten in diverse branches een breed scala van IT-audits uitgevoerd en heb ik een gestandaardiseerde privacy-audit ontwikkeld. Deze onderzoeken heb ik aan de hand van de voorganger van de huidige Wet bescherming persoonsgegevens (Wbp), de Wet persoonsregistraties (Wpr), uitgevoerd. In 1993 heb ik de postdoctorale opleiding EDP-auditing in Tilburg afgerond. Na tien jaar bij VB Groep te hebben gewerkt, zocht ik een andere uitdaging. Het werd de
de EDP-Auditor nummer 4 2005
'De hoofdactiviteit van BKR is het informeren over kredietgegevens. Aan de ene kant dragen wij bij aan het beperken van de financiële risico’s voor kredietverleners. Aan de andere kant helpen wij voorkomen dat consumenten financieel gesproken te veel hooi op hun vork nemen.’ IT-audit afdeling binnen Akzo Nobel. In die tijd heb ik wereldwijd IT-audits uitgevoerd. Ik heb onder andere veel audits met betrekking tot SAP uitgevoerd. Na tweeënhalf jaar zag ik de advertentie van mijn huidige baan – nota bene in de EDP-Auditor – Manager Kwaliteitssystemen bij BKR. Hoewel ik nog echt niet was uitgekeken bij Akzo Nobel had ik het gevoel dat deze baan me op het lijf geschreven was: een rol in het managementteam op het snijvlak van privacybescherming, ICT en kwaliteit ten behoeve van het financieel bedrijfsleven. Precies de aspecten die ik vanuit mijn achtergrond altijd interessant vond. Daarnaast neemt BKR ook een bijzondere plaats in binnen het maatschappelijk verkeer. Ik was dan ook heel gelukkig toen ik deze baan kreeg.’
die zich met privacybescherming bezighield en ook met de controle daarop, maar met de komst van de Wbp en eisen op het gebied van transparantie, moest het breder worden ingevuld. Dat is wat de afdeling Kwaliteitssystemen doet. De kerncompetentie van BKR is het beheren van databases met privacygevoelige gegevens. Daarmee is de primaire activiteit van de afdeling Kwaliteitssystemen bepaald: dat is absoluut privacybescherming. Gegeven de kerncompetentie van BKR is privacybescherming niet eens zo heel veel smaller dan kwaliteit in brede zin. Bij ons ligt kwaliteit heel dicht bij privacybescherming en wij – de afdeling Kwaliteitssystemen, de organisatie en de externe accountant – hebben een stelsel rondom privacybescherming opgezet en geïmplementeerd.’
‘Ik was niet weggelegd voor een
We willen graag horen hoe dat stelsel eruit ziet. Maar misschien kun je ons eerst iets vertellen over BKR en het belang van privacybescherming binnen BKR? ‘Onze hoofdactiviteit is het informeren over kredietgegevens. Daarvoor beheren wij het Centraal Krediet Informatiesysteem (CKI). In CKI zijn de gegevens opgenomen van consumenten aan wie deelnemers kredieten of kredietfaciliteiten hebben verstrekt. Alleen de deelnemers en de consument kunnen bij BKR informeren
standaardcarrière in de informatica’ Welke rol speelt de afdeling Kwaliteitssystemen binnen BKR? ‘Op het moment dat ik binnenkwam is de afdeling Kwaliteitssystemen neergezet. Daarvoor was er een afdeling Administratieve Organisatie en Procedurebewaking,
45
46
de EDP-Auditor nummer 4 2005
imago op dit punt is ons bestaansrecht – en gelukkig hebben we een goed imago. Dat blijkt ook uit het imago-onderzoek dat vorig jaar onder consumenten werd gehouden.’
naar geregistreerde gegevens. Ter illustratie: bij het BKR zijn ruim 18 miljoen kredieten van meer dan 9 miljoen consumenten in Nederland bekend. In de doelstelling van BKR is de privacybescherming van deze consumenten verankerd. Uit de statuten blijkt dat wij de activiteiten uitvoeren voor onze deelnemers, maar we doen het ook nadrukkelijk in het kader van de maatschappelijke verantwoordelijkheid – het voorkomen van overkreditering van kredietnemers. De statuten schrijven ons een zo groot mogelijke bescherming van de persoonlijke levenssfeer van betrokkenen voor. Ten aanzien van het CKI bevatten de statuten ook verschillende termen die voor ons richtinggevend zijn. Het maken van een zorgvuldige afweging bijvoorbeeld – daar zit al een beperking in van ‘we verzamelen niet meer gegevens dan van belang zijn voor’. Het gaat om het ‘sluiten van een overeenkomst of portefeuillebeheer’, dus dat is ook al weer een inkadering en ‘alleen maar feitelijke gegevens dan wel statistisch bewerkte feitelijke gegevens’. Al deze termen zijn natuurlijk ook gedefinieerd. Dat betekent dus dat wij gestructureerd om moeten gaan met privacybescherming, want als we dat niet doen, dan kom je aan de wortels van de functie van BKR. Ons
Misschien is dit dan het juiste moment om terug te komen op jullie stelsel van maatregelen en procedures? ‘Het stelsel raakt bijna alle werkprocessen binnen BKR. Op de eerste plaats willen we dat formele wetsaspecten, bijvoorbeeld rechtmatigheid en grondslag, goed zijn geïmplementeerd in onze processen. Daar toetsen we voortdurend aan, op het moment dat we iets gaan veranderen, een nieuw systeem gaan implementeren, een toegevoegd product bij CKI gaan implementeren, maar ook als er veranderingen zijn in regelgeving of maatschappelijke ontwikkelingen. Dat wordt geanalyseerd en die analyses worden altijd afgestemd met de externe accountant in het kader van zijn rol. Overigens is het over het algemeen zo, dat als wij nieuwe producten maken – bijvoorbeeld BKR Score – dat we dan vooraf overleg hebben bij het College Bescherming Persoonsgegevens (CBP), met consumentenorganisaties en met externe privacy adviseurs die wij op dat vlak inschakelen. Gezien de omvang van de organisatie en het belang om bij ontwikkelingen reeds in het voortraject aanwezig te zijn, betekent dat dat wij als afdeling Kwaliteitssystemen ook in projecten participeren. Dit betreft niet alleen ICT-projecten, maar ook projecten met betrekking tot het herontwerp van (administratieve) processen of nieuwe producten. Hier brengen wij specifieke (privacy-)kennis in. Wij stellen normstelsels op, beoordelen ontwerpen en toetsen het gerealiseerd product. Om achteraf, bij de controle ervan, niet in een spagaat terecht te komen hebben we hierover afspraken met de organisatie en de extern accountant gemaakt. Alle mijlpalen van een project worden ook meteen door de extern accountant beoordeeld. Zo hebben we in een vroeg stadium inzicht in de mogelijke gevolgen hiervan voor onze stelsel.’
‘Privacybescherming is geborgd binnen ons stelsel’ Wolter vertelt verder dat alle processen die met privacybescherming te maken hebben door middel van een risicoanalyse zijn beoordeeld. De leiding van BKR bepaalt welke risico’s geheel of gedeeltelijk moeten worden geëlimineerd en welke worden geaccepteerd. Die risicoanalyses worden voorgelegd aan de externe accountant en door hem gereviewd. Op basis van de risicoanalyses van de processen zijn gestructureerde controleprogramma’s opgesteld. Door middel van het uitvoeren van die controles wordt getoetst in welke mate de maatregelen die in
de EDP-Auditor nummer 4 2005
die processen zitten voor privacybescherming worden gehandhaafd en toegepast. Dat is dus een toetsing op de werking. Eens in de vier maanden wordt daar intern en naar de extern accountant over gerapporteerd. ‘De uitvoering van onze controles wordt drie keer per jaar door de externe accountant getoetst. Binnen die controles maken we zoveel als mogelijk gebruik van kwaliteitsindicatoren, zeg maar een cijfermatige weergave van in hoeverre er wordt voldaan aan de geformuleerde regelgeving, in hoeverre die wordt gehandhaafd. In vervolg hierop zijn we momenteel, in overleg met de extern accountant, toleranties voor de sleutelkwaliteitsindicatoren aan het vaststellen. Maar niet alle controles kunnen gekwantificeerd worden. Toetsing van deze kwalitatieve controles vindt ook plaats, echter er worden geen zogenaamde sleutelkwaliteitsindicatoren op afgegeven.’ Jaarlijks stelt Wolter een Privacyparagraaf op. Deze Privacyparagraaf wordt sinds 1986 in het jaarverslag van BKR gepubliceerd. Hierin geeft de organisatie aan op welke wijze de opzet en de werking van de privacybescherming is gewaarborgd. De extern accountant publiceert daarbij een ‘onderzoeksrapport betreffende de privacybescherming’. Hierin stelt hij vast of gedurende het desbetreffende jaar ‘de opzet respectievelijk werking van het binnen BKR bestaande stelsel van maatregelen en procedures in overeenstemming waren met de ingevolge de Wet bescherming persoonsgegevens en door BKR opgestelde interne richtlijnen en reglementen redelijkerwijs te stellen eisen’. Op de website van BKR wordt ook verwezen naar het stelsel van maatregelen en procedures en dat daarmee de privacy zo optimaal mogelijk wordt beschermd. Kun je nog iets meer vertellen over die maatregelen en procedures? ‘Zoals ik eerder heb gezegd zijn de statuten en het algemeen reglement een nadere inkadering van de regelgeving, ook op het gebied van privacy. Daar staat onder andere in dat niet zomaar iedereen deelnemer kan worden bij BKR, maar dat een deelnemer pas deelnemer wordt als hij aan bepaalde normen voldoet. En uiteraard is onder meer de aansprakelijkheid geregeld. Om deelnemer te kunnen worden zijn keiharde normen gesteld. Reciprociteit is voor ons belangrijk – op het moment dat je deelnemer wordt mag of moét je zelfs toetsen in bepaalde omstandigheden en moét je registreren. En daar controleren wij ook op, en of dit op een goede manier gebeurt. Dus eigenlijk kun je stellen: ‘Door deelnemers – Voor deelnemers’. In ons reglement is onder meer heel nadrukkelijk geregeld op welke wijze je wat op welk moment moet registreren, op welk moment mag je en op welk moment moet je toetsen,
welke exacte schoningsregels er in onze database zitten, rechten van betrokkenen, zoals inzagerecht en correctierecht, dat de deelnemers zelf ook adequate technische en organisatorische maatregelen moeten nemen voor de bescherming van persoonsgegevens. Naar de consument toe is er ook een privacygedragscode opgesteld, dat is een vertaling van het algemeen reglement richting consument. Dat is overigens géén privacygedragscode conform artikel 25 Wbp. Dat zijn over het algemeen codes voor koepels – sectoren, maar het gaat hier om één systeem. Er is een Commissie van Toezicht, die tot taak heeft ‘ten behoeve van het Bestuur erop toe te zien dat BKR zelf en haar deelnemers de bepalingen van de BKR Reglementering die van toepassing is op CKI en voorzover die betrekking heeft op het verzamelen, vastleggen, ordenen alsmede het ter beschikking stellen van gegevens over personen aan deelnemers, op juiste wijze naleven’. Verder bestaat er een geschillencommissie, dat is een onafhankelijke commissie waarbij consumenten hun klachten kwijt kunnen waarbij de BKR Reglementering naar de mening van de consumenten niet goed is ingevuld. Meestal betreft dit het betwisten van een door een deelnemer geregistreerd feit. Als de consument er met de deelnemer niet uit komt, heeft hij het recht om onder bepaalde voorwaarden een zaak aanhangig te maken bij de geschillencommissie. De uitspraak is bindend.’ Hoe verhoudt zich de BKR-aanpak met de NOREAaanpak ‘ZekeRE-Privacy’? ‘Ik vertelde al eerder dat BKR groot belang hecht aan privacy. Verder ken ik geen enkele organisatie die op een dusdanige wijze verslag doet van de wijze waarop zij privacy heeft ingevuld. De Handleiding ‘ZekeRe Privacy’ is een op hoog niveau geschreven document. Onze mening is dat we feitelijk verder gaan dan wat in ZekeRe Privacy is vastgelegd. Ik verwacht dat wij een toetsing aan de hand hiervan glansrijk doorstaan! Daar hoeven we overigens niet extreem trots op te zijn, dat heeft te maken met het feit dat BKR terecht altijd al vindt dat privacybescherming voor haar van levensbelang is. Wel wil ik mijn bezorgdheid voor het volgende uitspreken. Privacy wet- en regelgeving kan niet direct in een normenkader vertaald worden dat tot een uitkomst leidt van ‘helemaal fout’ of ‘helemaal goed’. Begrippen als ‘onverenigbaar gebruik’, ‘niet bovenmatig’, ‘passende maatregelen’, daarvoor ben je afhankelijk van analyses en dat is niet zwart-wit, niet 0-1. Je kunt dus niet van tevoren vastleggen dat als de norm 0,369 aangeeft, dat het vanaf dat punt helemaal fout is en dat als je op 0,368 zit, dat het dan allemaal goed is. Die waarschuwing zou ik ook wel willen geven bij dit product. Er is sprake van dat IT-auditors mogelijk in een zeer beperkte tijd voor privacy-audits
47
48
de EDP-Auditor nummer 4 2005
kunnen worden bijgeschoold. Ik ben zelf al bijna twintig jaar met het onderwerp bezig en leer nog iedere dag. Dus zou ik graag willen pleiten voor een voorzichtige benadering van het onderwerp. Je hebt meer dan een basistraining nodig om over het onderwerp mee te kunnen praten! Een EDP-auditor met alleen een tweedaagse applicatiecursus Wbp komt er bij mij niet in, die heeft geen toegevoegde waarde voor mij.’ Tenslotte merkt Wolter op dat met name bij een privacy audit de afbakening en diepgang van groot belang zijn. Je zult als opdrachtgever en -nemer duidelijk moeten afstemmen welke aspecten je wilt beoordelen en welke vraagstukken hierbij spelen. Doe je dit niet, dan zijn de uitkomsten nietszeggend. Je hebt het een paar keer gehad over nieuwe producten en systemen. Kun je ons daar wat meer over vertellen? ‘Het gaat te ver om in het kader van dit interview uitgebreid in te gaan op andere systemen die bij BKR in beheer zijn. Er zijn echter wel enkele interessante ontwikkelingen geweest rondom het CKI-systeem. In 2002 is het systeem Monitoring ingevoerd, waarbij deelnemers worden geïnformeerd over de actuele ontwikkelingen bij betrokkenen. Dit met het oog op risicobeperking. In tegenstelling tot in het verleden – toen deelnemers uitsluitend op hun initiatief informatie ontvingen – sturen wij nu ook actief informatie aan onze deelnemers. In het verlengde hiervan is in 2003 de zogenaamde ‘BKR Score’ ontwikkeld. Deze score geeft aan hoe groot het risico is dat een betrokkene in de nabije toekomst betalingsproblemen krijgt bij lopende overeenkomsten of eventueel bij nieuwe overeenkomsten. In 2004, met een uitbreiding dit jaar, hebben we een systeem voor deelnemermonitoring ingevoerd. Hiermee kunnen systematisch toets- en registratiegedrag van deelnemers worden beoordeeld. Op basis van statistieken die wij uit onze eigen database halen en op basis van signalen die uit dat systeem komen, kan een onderzoek plaatsvinden of een bepaald (opvraag)gedrag van deelnemers past binnen de regelgeving. Je moet je namelijk realiseren dat CKI jaarlijks ruim 19 miljoen keer wordt geraadpleegd. Handmatig kun je dit niet meer beoordelen!’ Welke ontwikkelingen staat BKR de komende tijd te wachten? Wolter geeft direct aan dat BKR continu verder ontwikkelt, echter wel vanuit een stabiele basis. Alle nieuwe activiteiten worden besproken in overleg met de stakeholders. Zo wordt de komende jaren de gehele ICT-infrastructuur herontwikkeld. Voorts zal het komend jaar bijvoorbeeld het inlichtingen- en inzageproces worden herontworpen.
‘Privacy kennis doe je niet in een beperkte cursus op, hiervoor moet je veel tijd met de materie bezig zijn!’
BKR wordt jaarlijks met een sterk stijgend aantal inzageverzoeken (2004: ruim 92.000) en telefonische contacten geconfronteerd. Verder zal de maatschappelijke discussie rondom de schuldenproblematiek mogelijk resulteren in een toenemende druk om meer gegevens bij BKR te gaan registreren. Inmiddels wordt overleg gevoerd over het positief registreren van hypotheken. Dat wil zeggen dat niet alleen negatieve feiten (bijvoorbeeld betalingsachterstanden en betalingsregelingen) worden geregistreerd, maar ook het feit zelf dat een verplichting is aangegaan. Voor de meeste contractsoorten vindt overigens al positieve registratie plaats. Van de geregistreerde consumenten is 95% een goede betaler. Ten slotte zal door de Europese integratie ook de internationale gegevensuitwisseling zich verder gaan ontwikkelen. Maar hier is nog een heel traject te gaan! Ten slotte, een nieuwe functie….. Kort na het gesprek neemt Wolter met ons contact op. Hij vertelt ons dat het bestuur van BKR, met het oog op de externe maatschappelijke ontwikkelingen, heeft besloten de statuten op het gebied van governance aan te passen. Om deze reden is de directie uitgebreid met een directeur operations en een directeur compliance. Voor de laatst genoemde functie is Wolter gevraagd. Naast de compliance vraagstukken zal hij ook financiën voor zijn rekening nemen. Wolter, van harte gefeliciteerd met je nieuwe functie!