Leidraad Model Beleid Verwerking Persoonsgegevens Een leidraad bij het gebruik van het document “Model Beleid Verwerking Persoonsgegevens” als onderdeel van de Implementatie Algemene Verordening Gegevensbescherming
Auteur(s):
Projectgroep 'Voorbereiding Implementatie Algemene Verordening Gegevensbescherming'
Versie:
1.0
Datum:
Januari 2015
Projectgroep 'Voorbereiding Implementatie Algemene Verordening Gegevensbescherming'
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
Versiebeheer:
Versie
Datum
Korte beschrijving aanpassingen
0.1
13 November 2014
Eerste versie Leidraad
0.2
20 november 2014
Aanpassingen indeling
0.3
3 december 2014
Aanpassingen teksten
0.4
4 december 2014
Aanpassingen nav Model versie 0.2
0.5
5 december 2014
Aanpassingen nav Model versie 0.4
1.0
8 januari 2015
Aanpassingen n.a.v. Model versie 0.5
Bronvermelding:
Het Privacybeleid van
is gebaseerd op het “Model Beleid Verwerking Persoonsgegevens” voor het Hoger Onderwijs en Onderzoek, een product van SURF. (Projectgroep 'Voorbereiding Implementatie Algemene Verordening Gegevensbescherming')
Deze publicatie is gelicentieerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl 2/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
Leidraad bij het Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verorde ning Gegevensbescherming) Deze leidraad dient als aanvulling op het Model Beleid Verwerking Persoonsgegevens als onderdeel van de implementatie Algemene Verordening Gegevensbescherming voor bij SURF aangesloten instellingen. INHOUDSOPGAVE 1. Inleiding 2. Toelichting bij de hoofdstukken 3. Bijlage 1: Definities en Begrippen
3/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
1. Inleiding 1.1
Aanleiding
SURFnet en SURFibo hebben in 2013 gezamenlijk geconstateerd dat de komst van de Algemene Verordening Gegevensbescherming (AVG) voor de bij SURF aangesloten instellingen een grote impact zal hebben. De Instellingen zullen in een relatief korte periode veel inspanning moeten verrichten om hun procedures, werkprocessen, documenten en soms ook het beleid aan te laten sluiten op deze nieuwe verordening. Om de instellingen hierbij te ondersteunen is een Projectgroep 'Voorbereiding Implementatie Algemene Verordening Gegevensbescherming' ingesteld, waarin naast leden van SURFibo met name ook juristen van de instellingen met SURFnet hebben samengewerkt aan diverse deelprojecten. Eén van die consequenties van de AVG is de verplichting om een formeel Beleid Verwerking Persoonsgegevens vast te stellen.
1.2
Doelstelling
Doel van deze leidraad is het beschrijven van good practices voor het Model Beleid Verwerking Persoonsgegevens in de SURF doelgroep. De projectgroep wil met deze leidraad een handvat bieden aan degenen die, binnen een instelling Privacy beleid willen ontwikkelen of verbeteren (aan de hand van het Model Beleid Verwerking Persoonsgegevens).
1.3
Doelgroep
Deze leidraad geeft toelichting voor de beleidsbepalers in de instelling en is niet bedoeld voor eindgebruikers. Het Model Beleid is opgezet als een algemeen bruikbaar document, met optionele elementen die een instelling wel of niet kan kiezen. Sommige keuzes zijn zonder meer mogelijk, andere hebben de nodige implicaties.
1.4
Werkwijze: hoe gebruikt u de Leidraad Beleid Verwerking Persoonsgegevens
Het Model Beleid moet door de instelling worden aangepast aan de eigen werkwijze en wensen, zodanig dat het beleid voIdoet aan de relevante wet-en regelgeving m.b.t. privacy en gegevensbescherming en daarbij aansluit op de organisatie en het bestuursmodel van de instelling. In Hoofdstuk 2 wordt een toelichting gegeven op de verschillende hoofdstukken van het Model Beleid en er worden handreikingen gegeven voor keuzes die de instelling heeft. Diverse veel voorkomende opties zijn tussen haken geplaatst: [Optie] als een beleidsonderdeel wel/niet van toepassing is of als de instelling de eigen terminologie dient in te vullen (“bestuur” , “Ondernemingsraad”, “Directieoverleg”, de bestuursstructuur, referenties aan vigerende reglementen, etc. AVG versus Wbp Deze Leidraad en in het Model Beleid richten zich op zowel de huidige wet- en regelgeving, als de implicaties die de concept AVG (versie van het Europees Parlement van juli 2014) met zich mee zullen brengen, maar op moment van schrijven nog niet formeel is vastgelegd. Derhalve is in de tekst soms de keuze-optie opgenomen om het beleid nog te richten op de huidige Nederlandse Wbp. Privacy versus Verwerking Persoonsgegevens “Privacy” is een breed begrip om de persoonlijke levenssfeer van een individu te beschrijven. Daaronder vallen dus niet alleen de Persoonsgegevens maar ook fysieke en sociale aspecten. Omdat de wet- en regelgeving primair betrekking hebben op de Verwerking van Persoonsgegevens is in het Model Beleid deze woordkeuze zo veel mogelijk aangehouden. Definities en begrippen Het Model Beleid zijn een aantal definities opgenomen (H 1.1) . Deze worden in de leidraad niet herhaald.
4/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
Binnen de wetsartikelen worden begrippen gehanteerd die 1 op 1 zijn overgenomen in het Model Beleid. Het verdient aanbeveling om de specifieke betekenis van deze begrippen in de context van de wet helder op te nemen in de ondersteunende documenten (reglementen, maatregelen, interne procedures etc. ). In de Leidraad worden deze begrippen toegelicht in de bijbehorende paragrafen.
1.5
Communicatie
Na vaststelling moet het Beleid Verwerking Persoonsgegevens worden gecommuniceerd met alle betrokkenen. Dat zijn werknemers, studiekiezers, studenten en hun ouders, gasten, proefpersonen, etc., kortom alle relaties van de instelling waarvan mogelijk persoonsgegevens worden geregistreerd. Deze communicatie valt onder de lijnverantwoordelijkheid (zie ook 5.1). Goede communicatie over het beleid is niet alleen essentieel voor de feitelijke juridische draagkracht, maar ook een uitstekend middel om extra aandacht te vragen voor specifieke instellingssituaties of de actualiteit. In deze communicatie kunnen bv. referenties opgenomen worden aan overige reglementen of aandachtsgebieden. Zo kan aangegeven worden dat het beleid ook van toepassing is op Cloudgebruik en kunnen privacy-aspecten bij Social Media expliciet toegelicht worden. Ook aanvullende informatie over de werkwijze bij incidenten (zoals datalekken) of inzageprocedures kan in een brochure en/of in een inleiding op een webpagina over het Beleid Verwerking Persoonsgegevens gecommuniceerd worden. Nieuwe betrokkenen in registraties dienen op de hoogte gesteld te worden of gewezen te worden op de vindplaats, bij voorkeur op de openbare internetpagina’s. Als toestemming door de Betrokkene (consent) de feitelijke wettelijke basis vormt van een registratie moet deze toestemming expliciet worden gevraagd en daarmee dus ook gecommuniceerd..
5/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
2. Toelichting bij de hoofdstukken In dit hoofdstuk wordt (waar toelichting behoeft) per hoofdstuk van het Model Beleid Verwerking Persoonsgegevens een toelichting gegeven en er worden handreikingen gegeven voor keuzes die de instelling hierin heeft.
2.1
Inleiding (H1)
Het beleid begint met een introductie die de achtergronden en de wettelijke basis vastlegt. Zo is voor iedereen duidelijk waar het beleid vandaan komt.
2.1.1 Definities 2.1.2 Reikwijdte en doelstelling van het Beleid Denk bij de reikwijdte niet alleen aan alle medewerkers, studenten, gasten, bezoekers en externe relaties (inhuur / outsourcing), maar ook aan potentiele studenten, sollicitanten, proefpersonen enz. In het Model Beleid zijn een aantal algemene doelstellingen opgenomen. Bij “normen” is het normenkader opgenomen wat in SURF verband voor de sector Hoger Onderwijs en Onderzoek wordt aanbevolen als best practice.1 Dit kan aangepast of aangevuld worden, afhankelijk van de in de instelling gebruikte normen.
2.2
Beleidsuitgangspunten en -principes (H2)
Geadviseerd wordt de algemene principes uit het Model Beleid in ieder geval op te nemen en eventueel aan te vullen met specifieke principes die passen bij het overige instellingsbeleid.
2.3
Wet- en regelgeving (H3)
Naast de Wet bescherming persoonsgegevens bestaat al veel (sector)specifieke wetgeving, waar ook bepaalde verplichtingen en verantwoordelijkheden uit voortvloeien voor de instelling en waaraan dus voldaan moet zijn met betrekking tot privacyaspecten. In het Model Beleid is de meest belangrijke regelgeving in dit verband opgenomen.
2.3.1 Wet op het Hoger onderwijs en Wetenschappelijk onderzoek 2.3.2 Wet Bescherming Persoonsgegevens (Algemene Verordening Gegevensbescherming) In het Model Beleid is een algemene formulering opgenomen
1
Juridische normenkader cloudservices hoger onderwijs, te vinden via https://www.surf.nl/kennis-eninnovatie/kennisbank/2013/juridisch-normenkader-cloud-services-hoger-onderwijs.html
6/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
! Let wel dat er momenteel zowel in Nederland2 als bij de EU3 wetswijzigingen op komst zijn die een aantal vergaande veranderingen teweeg zullen brengen.
2.3.3 Archiefwet 2.3.4 [OPTIONEEL] Telecommunicatiewet Zolang het netwerk van de instelling niet openbaar is, is de Telecommunicatiewet niet van toepassing. Instellingen die wel (ten dele) een openbaar netwerk aanbieden moeten aan de Telecommunicatiewet voldoen en dus bijbehorende maatregelen (separaat) implementeren. Andere sectorale wet- en regelgeving m.b.t. onderwijs en/of privacy Afhankelijk van de aard van het Onderwijs en Onderzoek aan de instelling kan het relevant zijn meer wetten toe te voegen. Denk daarbij aan:
Wet op de Geneeskundige behandelingsovereenkomst
Wet politiegegevens
Gedragscode van persoonsgegevens in wetenschappelijk onderzoek
Wet justitiële en strafvorderlijke gegevens
Wet basisregistratie personen
2.4 Rollen en verantwoordelijkheden met betrekking tot Verwerking Persoonsgegevens (H4) 2.4.1 Vul hier de formele naam van het hoogste bestuursorgaan in
2.4.2 Portefeuillehouder beveiliging persoonsgegevens 2.4.3 Functionaris gegevensbescherming Het Model Beleid gaat ervanuit dat de functionaris gegevensbescherming diegene is die binnen de instelling toeziet op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens door de verantwoordelijke
Wet Meldplicht Datalekken, dit wetsvoorstel voegt aan de Wbp toe een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens. Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen melding doen bij het Cbp, maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als de publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijke boete van het Cbp. De bestuurlijke boete varieert van maximaal 20.250 euro in de laagste categorie tot maximaal 810.000 euro in de hoogste categorie. 3 Algemene Verordening Gegevensbescherming, bij aanname van de Algemene Verordening Gegevensbescherming van de Europese Unie, door de Raad van Ministers en het Europees Parlement, zal deze de Wbp geheel vervangen, en zal de Wbp als zodanig komen te vervallen. 2
7/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
die hem heeft benoemd (of door de verantwoordelijken die zijn aangesloten bij de instelling die hem heeft benoemd).4
2.4.4 <Systeemeigenaar> Vul hier de in de instelling gebruikelijke naam in. Het Model Beleid gaat ervan uit dat de systeemeigenaar sturing geeft het Functioneel Beheer, Applicatie Beheer en Technisch beheer van de ICT-faciliteiten, al of niet via SLA’s
2.4.5 Leidinggevende
2.5
Implementatie Beleid (H5)
2.5.1 Verdeling van de verantwoordelijkheden Denk bij maatregelen naast technische maatregelen ook aan administratieve en organisatorische aspecten (zijn volmachten/autorisaties geregeld), procesmatige aspecten, beveiliging, etc. Voor een toelichting op de communicatieaspecten wordt verwezen naar 1.5 in deze Leidraad.
2.5.2 Inpassing in de instellingsgovernance / Afstemming met aanpalende beleidsterreinen In de structurele overleggen moeten in ieder geval de FG, informatiemanagement en informatiebeveiliging betrokken worden. Voor alle drie de typen overleg geldt dat het zoveel mogelijk ingepast moet worden in bestaande overlegvormen met hetzelfde karakter. Zo zal op strategisch niveau niet alleen over het Verwerken van Persoonsgegevens gesproken worden, maar ook over andere risico’s waarmee de instelling te maken kan krijgen, zoals op het gebied van informatiebeveiliging, financiële risico’s en imagoschade. De instelling kan ervoor kiezen om in het Beleid specifieke overlegstructuren te benoemen. Met name het operationeel overleg is doorgaans zeer decentraal georganiseerd, indien nodig in elk organisatieonderdeel.
2.5.3 Bewustwording en training 2.5.4 Controle en naleving Deze paragraaf behandelt interne en externe controlemaatregelen (audits). In SURF verband is een audit dienstverlening ingericht, namelijk SURFaudit. SURFaudit voorziet ook in peer-reviews. Indien de instelling hierin participeert kunnen peer-reviews van een SURFaudit ook gezien worden als externe controle.
2.6
Rechtmatig en zorgvuldig Verwerken van Persoonsgegevens. (H6)
2.6.1 Grondslag, doelbinding en belangenafweging
4
Art. 64 Wet Bescherming Persoonsgegevens
8/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
De grondslag voor een Verwerking moet gebaseerd zijn op de Wbp/AVG afhankelijk zodra de AVG van kracht is wordt aanbevolen hieraan te refereren. Artikel 11 lid 2 van de Wbp hanteert het begrip “juist en nauwkeurig” daarmee wordt bedoeld dat de gegevens up to date en relevant zijn. Dus niet te veel (dataminimalisatie) maar ook zeker niet te weinig informatie. Dit is weer afhankelijk van het doel van de Verwerking. Hiermee wordt o.a. geborgd dat er geen fout of vertekend beeld van een betrokkene ontstaat. Verder hanteert het CBP een aantal richtlijnen of voorgeschreven principes die in het beleid expliciet worden genoemd: Het uitvoeren van een Privacy Impact Assessment (PIA) voor de start van projecten en wijzigingen aan de infrastructuur en de principes “Privacy by Design” en “Privacy by Default” bij de implementatie. In de AVG zullen deze principes voor bepaalde verwerkingen verplicht worden gesteld.
2.6.2 Melden en documenteren van Verwerkingen De regels zijn verschillend in de Wbp en in de AVG. In de Wbp is er een keuze om een Functionaris Gegevensbescherming (FG) aan te stellen en het hebben van een meldplicht is daarvan afhankelijk (en ook nog afhankelijk van eventuele vrijstellingen). Bij de AVG staat al vast dat een FG verplicht is voor organisaties in de ordegrootte van een HO instelling. De Verwerkingen dienen voldoende gedocumenteerd te worden en gepubliceerd op voor de betrokkenen toegankelijke media. Hierin is aangegeven: - wie de Verantwoordelijke is, wie de beheerder en wie de Bewerker; - welke doeleinden de Verwerking heeft; - van welke categorieën van personen Persoonsgegevens worden verwerkt; - welke soorten van Persoonsgegevens ten hoogste worden verwerkt en op welke wijze deze gegevens worden verkregen; - aan welke personen binnen en buiten de organisatie welke Persoonsgegevens kunnen worden verstrekt, gelet op het doel en de grondslag van de Verwerking. Aanbevolen wordt om de informatie op een Internetpagina (of wellicht een Privacy- en Security Portal) te publiceren aangezien het in ieders belang is hier zo transparant mogelijk over te communiceren. OPTIONEEL: De Instelling kan er voor kiezen om de afzonderlijke Verwerkingen dan wel samenhangende Verwerkingen in een bijlage van het Beleid te beschrijven. Dat kan het nadeel hebben dat het Beleid regelmatig opnieuw formeel moet worden vastgesteld (zie H9).
2.6.3 De organisatie van de beveiliging De wet hanteert het begrip “passende” voor technische en organisatorische maatregelen. Hierbij dient de instelling rekening te houden met de stand van de techniek, de kosten van de tenuitvoerlegging van de maatregelen, daarbij lettend op de risico’s die de Verwerking en de aard van de te beschermen Persoonsgegevens met zich meebrengen. Het verdient aanbeveling, mede ook vanwege de materiële risico’s, om in de Governance Code van de instelling de risicoanalyse op privacybescherming en informatiebeveiliging op te nemen om het zodoende ook bij de toezichthouder aan te laten sluiten.
2.6.4 Geheimhouding In het Model Beleid wordt er van uitgegaan dat de instelling enige vorm van een classificatiesysteem heeft. Daar kan eventueel aan gerefereerd worden. Het begrip “classificatie” kan echter ook gewoon losstaand worden gebruikt.
9/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
2.6.5 Bewaartermijnen/ vernietigingstermijnen per soort gegeven Aan de hand van het doel wordt bepaald hoe lang de instelling de gegevens bewaart. Dit is een algemene regel, waarvan de uitwerking per situatie kan verschillen. Als bepaalde gegevens niet meer nodig zijn en er is voor die gegevens geen wettelijke bewaartermijn, dan kunnen ze verwijderd worden of moeten ze zelfs vernietigd worden i.v.m. dataminimalisatie. Op grond van diverse wetgeving is de instelling verplicht sommige gegevens voor een bepaalde periode te bewaren (Belastingwet, WGBO,..) Een overheidsorgaan, moet bijv. rekening houden met de bewaartermijnen in de op grond van de Archiefwet vastgestelde vernietigings- of selectielijsten. Alleen op basis van zo’n lijst kan vastgesteld worden of bijv. personeelsgegevens vernietigd mogen worden. Zie ook: http://www.cbpweb.nl/Pages/inf_va_bewaartermijnen.aspx
2.6.6 Bijzondere persoonsgegevens Voor zogenaamde bijzondere Persoonsgegevens geldt een verbod voor Verwerking, tenzij zwaarwegend belang of wettelijke grondslag. Denk bij bijzondere Persoonsgegevens ook aan foto’s of medische gegevens (bijv. ook aan urinesamples en bloedmonsters), etc. Ook de context is hierbij van belang. Een naam is wellicht geen bijzonder persoonsgegeven. Als het echter een lijst is met studenten met een beperking (die hebben bijvoorbeeld extra tijd bij een tentamen) dan valt dat persoonsgegeven (de naam, dat normaliter geen bijzonder persoonsgegeven is) gezien de context toch onder het stramien van bijzondere persoonsgegevens. De Wet geeft een aantal grondslagen op basis waarvan bijzondere Persoonsgegevens mogen worden verwerkt (Zie ook in het vrijstellingsbesluit Wbp artikelen 17 t/m 23 en de overheidsrichtlijnen m.b.t. het verwerken van het Burger Service Nummer (BSN). De AVG zal strengere eisen stellen aan Persoonsgegevens van kinderen onder de 18. Bij bijzondere Persoonsgegevens gelden zwaardere eisen voor Verwerking en beveiliging. Daar waar de basisbescherming niet voldoende is moeten voor elk informatiesysteem individueel afgestemde extra maatregelen worden genomen.
2.6.7 Doorgifte Persoonsgegevens aan Derden Uitbesteden van Verwerking aan een Bewerker Indien de instelling Persoonsgegevens laat verwerken door een Bewerker, wordt de uitvoering van Verwerkingen geregeld in een schriftelijke overeenkomst tussen de instelling/de Verantwoordelijke en de Bewerker. Daarin wordt in ieder geval opgenomen dat: -
de instelling zorg draagt dat verwerking door de bewerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen; de verantwoordelijke toe ziet op naleving van die maatregelen; de verantwoordelijke zorg draagt dat de bewerker: o de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid en o de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13
Doorgifte Persoonsgegevens binnen de Europese Unie
10/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
De Wbp geeft als wettelijke grondslagen (principiële gronden voor gegevensverwerking, artikel 8): -
Toestemming van de betrokkene Uitvoeren van een overeenkomst Een wettelijke verplichting Ter vrijwaring van een vitaal belang van de betrokkene (bv. medische nood) Uitvoering van een publiekrechtelijke taak Gerechtvaardigd belang van de verantwoordelijk of derde aan wie gegevens zijn verstrekt
Bijzondere persoonsgegevens mogen geheel niet aan derden worden verstrekt zonder expliciete 5 toestemming van de betrokkene. 6.7.2
Doorgifte Persoonsgegevens buiten de Europese Unie (inclusief de EEA)
Voor een toelichting op het begrip “passend” zie ook 6.3. In dit geval wordt in het bijzonder wordt rekening gehouden met de aard van gegevens, met de doeleinden en met de duur van de voorgenomen verwerking, het land van herkomst en het land van eindbestemming, de algemene en sectoriele rechtsregels die in het betrokken land gelden, alsmede de regels van het beroepsleven en veiligheidsmaatregelen die in die landen worden nageleefd. 6.7.4
Lijst van (niet limitatieve) Derden aan wie [de instelling] Persoonsgegevens doorgeeft
2.7
Incidenten met betrekking tot Persoonsgegevens (H7)
7.1 Melding en registratie Zoek voor de melding en registratie van incidenten6 eventueel aansluiting bij de staande organisatie, bv de ICT-Helpdesk die vaak al een registratiesysteem heeft. Er zijn incidenten denkbaar waarbij de melder een hoog belang stelt aan de vertrouwelijkheid. Om die reden wordt aangeraden om ook een vertrouwenspersoon of vergelijkbaar als meldpunt beschikbaar te hebben.
7.2 Afhandeling Voor de melding van datalekken gelden specifieke wettelijke richtlijnen. De instelling doet er goed aan hiervoor een specifiek proces in te richten. SURF heeft in een speciale rapport “meldplicht datalekken” een stappenplan hiervoor gepubliceerd.7
7.3 Evaluatie
5
Verschil tussen ondubbelzinnige toestemming en uitdrukkelijke toestemming. Zie site van CBP https://cbpweb.nl/nl/overprivacy/wetten/wbp-naslag/hoofdstuk-1-algemene-bepalingen-art-1-tm-5/artikel-1-sub-i-wbp 6
Een Privacy incident is elke gebeurtenis op het gebied van Privacy waarbij een relatie van de Instelling
(medewerker, (aankomend) student, gast, proefpersoon, etc.) betrokken is. Denk aan een datalek of een hackincident, maar ook aan een verzoek tot inzage, wijziging of vernietiging van persoonsgegevens. 7 Handreiking Meldplicht datalekken, Project Moore advocaten (in opdracht van SURF), Mei 2015, beschikbaar via link https://www.surf.nl/kennis-en-innovatie/kennisbank/2014/rapport-meldplicht-datalekken.html
11/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
Het belang van een goede evaluatie spreekt voor zich. Het biedt de mogelijkheid te leren en processen en procedures bij te stellen. Met name op het gebied van datalekken, waarbij de instelling met hoge boetes geconfronteerd kan worden is een goede evaluatie cruciaal.
7.4 (Optioneel) bijzondere omstandigheden [Privacy Incident Response Team (PIRT)] De instelling dient ook voorbereid te zijn op (dreiging tot) incidenten in bijzondere omstandigheden op het gebied van persoonsgegevens. Als de (top-)lijnorganisatie van de instelling 24/7 uur beschikbaar is (bv. bij een ziekenhuis) kunnen incidenten doorgaans te allen tijde goed in de lijn afgehandeld worden. Veel HOinstellingen hebben echter geen 24/7 uur operationeel model. Voor die instellingen gaat Model Beleid uit van de inrichting van een speciaal team wat in dergelijke gevallen, meestal dus ad hoc, ingeschakeld kan worden: (een Privacy Incident Response Team: PIRT)8. De Instelling moet bij de inrichting van een PIRT rekening houden met overige organisatorische kenmerken van de instelling, o.a.: -
Incident handeling en meldpunt(en) bv. IT-helpdesk en Facilities-helpdesk Operationele teams: SCIRT, Calamiteiten Organisatie Lijnorganisatie (CvB -> Decanaten of Directies -> ) 24/7 organisatie (deel of helemaal niet) Telefoonlijstjes (best effort of beschikbaarheidsdienst)
In het Governance hoofdstuk staat beschreven welke lijnen de FG heeft in de dagelijkse organisatie. Het PIRT-team is daar niet 1 op 1 aan gekoppeld, immers de betrokkenheid van een Internal Auditor is bij een incident niet meteen noodzakelijk, de betrokkenheid van de (pers) voorlichter juist wel. Geadviseerd wordt het team samen te stellen uit een voorzitter (de FG) en een aantal inhoudsdeskundigen (c.q. rollen) op de deelterreinen die voor incidenten met persoonsgegevens van belang zijn, te weten: -
een Functionaris Gegevensbescherming een Jurist, tenzij de FG jurist is een (Corporate) Information Security Officer (strategisch/tactisch: beleid) een (Corporate) Information Security Manager (Tactisch/Operationeel: techniek) een incident manager een Voorlichter (intern/pers)
Het kan zijn dat deze deskundigheden zelf deel uitmaken van een pool. Bv. de CISO- en ISM-rol worden feitelijk ingevuld door 2 ad-hoc leden van het CSIRT-team en de Voorlichter behoort tot een vergelijkbare Voorlichters-pool. In voorkomende gevallen kan het team ook ad hoc expertise op deze inhoudsgebieden inroepen of inhuren. .
2.8
Rechten van betrokkene 9 (H8)
8
Vergelijkbaar met het CSIRT- of CERT-team: Computer Security Incident Response Team resp. Computer Emergency Response team 9 Zie bv. Reglement bescherming persoonsgegevens, Tilburg University, te vinden via https://www.tilburguniversity.edu/upload/f97626e9 -acf0-400f-8b37 de766f592592_Reglement%20bescherming%20persoongegevens.pdf
12/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
2.8.1
Informatieplicht
Algemene mededeling De instelling heeft de plicht om te communiceren over Verwerkingen van Persoonsgegevens (zie ook de inleiding van de leidraad). Dat kan in eerste instantie via een “algemene mededeling”. De instelling mag haar informatieplicht in bijzondere gevallen achterwege laten, zoals wanneer mededeling aan de betrokkene onmogelijk blijkt, een onevenredige inspanning kost of het een wettelijke verplichting betreft. In dat geval legt de instelling wel expliciet de (wettelijke) herkomst van gegevens vast. In principe komen rechten van betrokkenen alleen toe aan betrokkenen, degene van wie persoonsgegevens worden verwerkt. Belanghebbende, die juridisch gezien ook personen kunnen zijn die handelen in het belang van betrokkenen, kunnen wel namens betrokkenen deze rechten uitoefenen, maar doen dit namens de betrokkene (zoals bijvoorbeeld in een kind – ouder verhouding). In het beleid worden de gegevens, die de verantwoordelijk aan de Betrokkene moet verstrekken dan wel kenbaar maken, opgenomen. Deze gegevens vindt u terug in art. 35 Wbp. NB bij inwerkingtreding van de AVG worden daar een aantal gegevens aan toegevoegd. Het verdiend aanbeveling om de additionele AVG bepalingen alvast te documenteren, zodat ten tijde van ingang van de AVG deze informatie al wel beschikbaar is. Mededeling van aanpassingen Of mededeling van aanpassingen van het beleid noodzakelijk zijn is afhankelijk van de aard van gegevens, omstandigheden waaronder deze zijn verkregen, of gebruik ervan. In Hoofdstuk 9 wordt nader bepaald hoe aanpassingen in het Beleid afgehandeld worden.
8.2
Recht op inzage
Verzoek tot inzage Iedere Betrokkene heeft recht op inzage in hem betreffende verwerkte Persoonsgegevens. Minderjarigen /kinderen Een verzoek tot inzage van minderjarigen die de leeftijd van 16 jaar nog niet hebben bereikt, geschiedt door hun wettelijke vertegenwoordiger. De instelling moet er dan ook zorg voor dragen dat de mededeling met betrekking tot het verzoek ook gericht is aan de wettelijke vertegenwoordiger. NB bij inwerkingtreding van de AVG wordt dit wellicht verlaagd naar 13 jaar en is dan waarschijnlijk niet meer relevant voor HO instellingen. Termijn Op het verzoek wordt zo spoedig mogelijk, doch uiterlijk binnen vier weken na indiening, schriftelijk gereageerd. De instelling draagt hierbij zorg voor vaststelling van de identiteit van de verzoeker. Daarnaast is het zaak om een proces en procedure in te richten om aan zo’n verzoek adequaat en binnen de gestelde termijn te kunnen voldoen. Mededeling Het wordt aanbevolen om in bovenstaand procedure goede afspraken vast te leggen over de vorm en de inhoud van de mededeling. Kosten Iedere eerste aanvraag kan kosteloos worden ingediend (advies). Een instelling kan ervoor kiezen nooit kosten voor inzage in persoonsgegevens in rekening te brengen, of dit al bij de eerste aanvraag te doen. De instelling mag ook een maximum stellen aan het aantal uit te vaardigen mededelingen die de betrokkene per jaar mag verzoeken. Daarbij mag ook een vergoeding van administratieve kosten gevraagd worden per additionele aanvraag.
8.3
Recht op verbetering, aanvulling, verwijdering of afscherming
13/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
Verzoek tot verbetering, aanvulling verwijdering of afscherming Iedere Betrokkene kan met betrekking tot over hem opgenomen Persoonsgegevens verzoeken deze te wijzigen, verbeteren, aan te vullen, te verwijderen of af te schermen. Dit moet intern doorgezet kunnen worden naar de persoon die de betreffende persoonsgegevens beheert en daadwerkelijk kan verbeteren, aanvullen, verwijderen of afschermen. Het is zaak om ook dit in een proces en procedure op te nemen. Vooralsnog wordt er in het Model Beleid vanuit gegaan dat in de AVG het “recht om vergeten te worden” ondergebracht zal worden onder dit artikel (het recht op verwijdering/wissen). AVG: De Betrokkene heeft er recht op dat de instelling ervoor zorgt dat hem betreffende gegevens worden gewist en verdere verspreiding van dergelijke gegevens achterwege blijft, en dat Derden ervoor zorgen dat iedere koppeling naar of kopie of reproductie van die gegevens wordt gewist, op basis van een van de volgende gronden: 1 De gegevens zijn niet langer nodig in verband met de doeleinden waarvoor zij werden verzameld of anderszins verwerkt; 2 De Betrokkene trekt de toestemming waarop Verwerking is gebaseerd in, of de toegestane termijn voor opslag is verstreken terwijl een andere grond voor Verwerking van de gegevens ontbreekt; 3 De Betrokkene maakt bezwaar tegen de Verwerking van Persoonsgegevens; 4 Een rechtbank of regelgevende instantie heeft een rechtsgeldige uitspraak gedaan dat betreffende gegevens moeten worden gewist; 5 De gegevens zijn onrechtmatig verwerkt. Voor minderjarigen geldt hetzelfde als bij 8.2 OPTIONEEL: Het recht om gegevens te wissen kan voor vrijwillige registraties (Opt-in) het beste via een eenduidige Optout procedure geregeld worden. Termijn Ook hier geldt hetzelfde als bij 8.2 en verder geldt dat een weigering is door de beheerder met redenen omkleed moet zijn. Kennisgeving Derden aan wie de gegevens zijn verstrekt dienen voorafgaand aan de correctie hiervan in kennis te worden gesteld, tenzij dit onmogelijk is of voor de beheerder dan wel de instelling onevenredige inspanning kost.
8.4
Recht van verzet
Gronden voor verzet De gronden voor rechtmatige verwerking zijn te vinden in artikel 8 Wbp. De Wbp heeft bij het recht op verzet beoogd deze met name op te nemen vanwege mogelijke verwerking o.b.v. gronden e) en f) van art. 8. Het is uiteindelijk aan de instelling zelf te bepalen op welke gronden recht van verzet is toegestaan, maar in het Model Beleid wordt vooralsnog de Wbp aangehouden, deze zijn gelijk aan de gronden voor verwerking in 6.7.2. Termijn Hier geldt hetzelfde als bij 8.2 Kosten De instelling kan voor het in behandeling nemen van een verzet een vergoeding van administratieve kosten verlangen. Deze mag niet hoger zijn dan een bij of krachtens algemene maatregel van bestuur vast te stellen bedrag. Indien verzet gegrond is bevonden wordt de vergoeding teruggegeven.
14/15
Leidraad Model Beleid Verwerking Persoonsgegevens (Implementatie Algemene Verordening Gegevensbescherming)
8.5
Rechtsbescherming
Algemene klachten De instelling kan er voor kiezen om een specifiek loket in te richten (bv via een privacy-portal) of hier kan door de instelling verwezen worden naar een bestaande algemene klachtenregeling. Bezwaarmogelijkheden na indienen algemene klacht c.q. na afwijzing van een verzoek en termijnen Binnen 6 weken dient er bij de kantonrechter een verzoekschrift te worden ingediend wanneer men het niet eens is met de reactie van <de instelling> of na het afwijzen van een verzoek tot inzage. Indiening van een verzoekschrift behoeft niet door een advocaat te geschieden.
3.
Tot Slot
Het beleid kan alleen effectief blijven als er een proces is ingericht om het beleid actueel te houden: Een regelmatige review van het beleid en een controle op de effectiviteit van de genomen maatregelen. In het slothoofdstuk wordt een verklaring opgenomen over de vaststelling van het beleid, de eventuele rol van de medezeggenschap en de procedure voor review en amendering op het beleid. Het wordt aanbevolen om het beleid te publiceren op een internetpagina van de Instelling, zodat het ook voor gasten goed vindbaar is.
15/15