Privacycompliance: afwachten of voorsorteren?

Privacycompliance: afwachten of voorsorteren? Zero-tolerancewetgeving in aantocht Mr. S.H. Katus1

Organisaties in de publieke en private sector realiseren zich steeds meer dat informatie verwerking noodzaakt tot pro-actieve privacybeleidsvoering. Maar hoe? In dit hoofdstuk wordt die vraag beantwoord aan de hand van de nieuwe Algemene Verordening Gegevensbescherming van de Europese Unie, die vanaf 2014 wordt ingevoerd. Privacy blijkt niet zozeer een juridisch maar een praktisch-organisatorisch vraagstuk te zijn. Wie nalaat om good privacygovernance te betrachten, riskeert verhoogde afbreuk- en aansprakelijkheidsrisico’s en boetes van het College Bescherming Persoonsgegevens tot 2% van de jaaromzet. Voor overheidsinstellingen worden de boetes maximaal 1 miljoen Euro. Omdat compliance tijd kan vergen is, is het verstandig om de verordening niet af te wachten. Veel aspecten zijn al verplicht onder de bestaande wetgeving. Slim organiseren op privacy bevordert de klantgerichtheid, is een onderdeel van goed werkgeverschap, werkt imagoversterkend en draagt bij aan de bedrijfsefficiëntie (grip op ICT).

Kentering in denken Over privacy werd tot voor kort vaak de schouders opgehaald. En nog steeds zijn er mensen die privacy vooral associëren met privacy thuis: “Ik heb toch niets te verbergen?” Ook op internet heeft kennelijk nog steeds niemand iets te verbergen – afgaand op het enorme gebruik van sociale media zoals Twitter, Linkedin of Yammer. Maar toch verandert het denken over privacy. Dankzij mobiele communicatie is iedereen overal traceerbaar geworden. Klikgedrag wordt nauwkeurig bijgehouden en geanalyseerd. Van

1

Mr. S.H. (Sergej) Katus is adviseur privacycompliance. Meest recent opereerde hij als privacyofficer voor NS Groep. Hij is vanaf 1996 betrokken bij wetgeving en toezicht op het gebied van privacybescherming – destijds vanuit VNO-NCW – en is lid van de redactie van Privacy & Compliance. Deze bijdrage is mede ontleend aan eerdere artikelen die hij voor dat tijdschrift schreef.

Jaarboek Compliance 2013

59

Ontwikkelingen in weten regelgeving

filmpjes op Youtube kun je achteraf spijt krijgen. Privacygevoelige informatie kan op straat komen te liggen. Anderen kunnen met informatie over jou aan de haal gaan of tegen je gebruiken. En het verwoestende effect op de gemeente Haren van een uit nodiging voor een verjaarspartijtje op Facebook zonder de juiste privacyinstellingen, blijft verbijsteren. Uit onderzoek blijkt dat van iedere Nederlander op honderden, zo niet duizenden manieren informatie wordt verwerkt. Mensen beginnen zich daarom af te vragen: “Wie verwerken er allemaal gegevens over mij? Is dat wel te vertrouwen en wat kun je ertegen doen als het mis gaat?” Het ongemakkelijke gevoel wordt bovendien versterkt door de toenemende aandacht van de media voor privacyincidenten. Aanvankelijk sprongen nog de berichten in het oog over de OV-chipkaart, de bodyscanners op Schiphol, de stemcomputers, het elektronisch patiëntendossier, het rekeningrijden of de slimme energiemeter. De laatste tijd zijn het vooral de berichten over bedrijven en overheidsinstellingen die opvallen. Zo kon iedereen in 2012 lezen over ‘deep packet inspection’ door KPN van het mobiele dataverkeer van haar klanten, wat leidde tot grote verontwaardiging en kamervragen. KPN had het kort daarvoor ook al te verduren gekregen, na het nieuws dat een 17 jarige jongen KPN had weten te hacken. Omdat hierbij mogelijk klantgegevens waren gelekt, zag het telecombedrijf zich genoodzaakt om volledig nieuwe beveiliging in te voeren en twee miljoen e-mailaccounts uit en weer in te schakelen.

Voorbeelden van privacyincidenten • Betaalgegevens Europeanen via SWIFT toegankelijk voor opsporingsinstanties in de VS. • Half miljoen euro boete voor het bedrijf SD&P Interactive wegens versturen van ongevraagde SMS-berichten zonder afmeldmogelijkheid. • Diefstal creditcardgegevens van 31.000 klanten bij TellSell. • Persdienst GPD lekt telefoonnummers van bekende Nederlanders. • Rechter verliest strafdossier op USB-stick in de trein. • Sociale Inlichtingendienst (SIOD) koppelt illegaal gegevens. • T-Mobile verkoopt miljoenen klantgegevens aan derden. • Politie IJsselland in opspraak door onaanvaardbaar kentekenregistratiebeleid bij Zwolle. • Hewlett-Packard schikt voor 14,5 miljoen dollar in rechtszaken over illegaal onderzoek naar belgegevens medewerkers. Topvrouw stapt op. • Wereldwijd risico’s voor personen na Diginotar-hack. • Privacyonderzoeker downloadt persoonlijke profielen 3.330 zakelijke klanten Rabobank. • 22,5 miljoen dollar boete voor Google wegens illegaal cookiebeleid. • Boete van 50.000 pond voor Engelse verzekeraar Prudential • wegens verwisseling individueel klantdossier.

60


Privacycompliance: afwachten of voorsorteren?

Informatieverwerkers Steeds meer informatieverwerkers realiseren zich dan ook dat privacy een issue is om rekening mee te houden. Tegenwoordig voert de Nederlandse Vereniging van Banken met behulp van televisiespotjes een campagne om mensen te waarschuwen tegen identiteitshengelaars (‘phishing’). De campagne is weliswaar bedoeld om fraude te bestrijden, maar laat tegelijkertijd zien dat de sector privacy minded is. Als de uitvinders van het bankgeheim zagen de banken altijd al een business case voor privacybescherming. De televisiespotjes passen echter in de trend dat bedrijven het onderwerp meer aandacht beginnen te geven, waarbij mensen ook op hun eigen verantwoordelijkheid mag worden gewezen. Incidenten zijn nooit helemaal uit te sluiten maar in onderling samenspel kunnen risico’s wel zo goed mogelijk worden geminimaliseerd. Voor Amerikaanse bedrijven was het al langer gebruikelijk om pro-actief privacybeleid te voeren, onder meer door het aanwijzen van gespecialiseerde privacyofficers.2 Nu gaan Europese informatieverwerkers daar toe over. De Britse privacytoezichthouder ICO complimenteerde bedrijven in Engeland voor hun ‘positive approach’.3 Ook Nederlandse bedrijven als KLM, Philips, NS, KPN of MSD Oss (het voormalige Organon) formuleren tegenwoordig eigen beleid, waarbij eveneens privacyofficers worden aangewezen. In de publieke sector was de ‘functionaris voor de gegevensbescherming’ al langer gebruikelijk. Voor zover Nederlandse informatieverwerkers nog aanmoediging nodig hebben, promoten de privacytoezichthouders OPTA en het College Bescherming Persoonsgegevens (CBP) privacycompliance via spraakmakende inspecties. TomTom, Google, NS, het bedrijf Verzuimreductie BV of de gemeenten Hellendoorn, Heerlen, Hengelo en Landsmeer pasten in ieder geval spoorslags hun bedrijfsvoering aan na negatieve onderzoeksbevindingen van het CBP.4 De bijbehorende persberichten zijn na te lezen op www.cbpweb.nl, waar ook de onderzoeksrapporten kunnen worden gedownload.

Aangescherping EU-privacywetgeving Het risicoprofiel voor informatieverwerkers wordt binnenkort spectaculair verhoogd wanneer de nieuwe Algemene Verordening Gegevensbescherming in Brussel wordt aangenomen.5 De aanleiding voor deze EU-brede privacywet – waarmee de EU een streep haalt door de nationale privacywetgeving van de lidstaten zoals de Nederlandse Wet

2 3 4

5

Vgl. <en.wikipedia.org/wiki/Chief_privacy_officer>. ICO news release 11 October 2012. Negatieve uitspraken van het CBP betekenen niet noodzakelijk dat een informatieverwerker de wet niet naleeft. In een brief aan de Tweede Kamer van 7 september 2011 vragen VNO-NCW en MKBNederland aandacht voor dit probleem. Wetsvoorstel Algemene Verordening Gegevensbescherming van 25 januari 2012, COM(2012) 11 final. Zie voor downloadgegevens het slot van deze bijdrage.


61


Bescherming Persoonsgegevens – zijn de evaluaties van het EU-privacybeleid uit 1995.6 De Europese Commissie concludeert uit die evaluaties dat informatieverwerkers te langzaam zijn geweest met het adopteren van eigen privacybeleid. Bovendien is het huidige privacyrecht dringend toe aan een update. De bestaande wettelijk kaders reflecteren de politieke opvattingen over informatieverwerking en privacy uit een tijd dat internet, mobiele communicatie en sociale media zich nog moesten ontwikkelen. Met de nieuwe verordening scherpt de EU de wettelijke spelregels aan, vinden er enkele moderniseringen plaats en wordt het burgers gemakkelijker gemaakt om bij informatieverwerkers verzoeken, klachten of claims in te dienen. Ook worden de bevoegdheden van privacytoezichthouders flink uitgebreid. Het CBP mag bedrijven bij non-compliance straks boetes opleggen tot 2% van hun (wereldwijde) jaaromzet. Voor overheden wordt de maximale boete 1 miljoen Euro. Dit betekent dat een bedrijf als Google rekening heeft te houden met een boeterisico van 800 miljoen. Een onderneming in het MKB met een jaaromzet van 20 miljoen, kan worden geconfronteerd met een boete van vier ton. De hoge boetes zijn bedoeld als een krachtig signaal aan informatieverwerkers om haast te maken met privacycompliance, dat moet doorklinken tot in de bestuurskamers. Invoering De nieuwe privacyverordening is het initiatief van de Luxemburgse eurocommissaris voor Justitie, Viviane Reding, die zich persoonlijk sterk maakt voor het wetsvoorstel en iedereen aanspoort tot spoedige invoering. Ook het Europees Parlement vindt dat snelheid geboden is. Een EU-wet wordt niet van de ene op de andere dag aangenomen maar de parlementaire coördinator, de Duitser Jan Phillip Albrecht, heeft voor de behandeling een strakke planning afgekondigd zodat het wetsvoorstel begin 2014 in stemming kan worden gebracht. Na publicatie in het Official Journal van de Europese Unie krijgen zowel de lidstaten als informatieverwerkers twee jaar de tijd om zich aan te passen. • In 2016 zullen de nationale toezichthouders overgaan tot handhaving op basis van hun nieuwe bevoegdheden, waarvoor de lidstaten nog eigen wettelijke regels moeten opstellen. • Alle informatieverwerkers worden dan geacht volledig compliant te zijn. Grotere informatieverwerkers dienen dat bovendien te kunnen aantonen aan de hand van speciale ‘accountability-documentatie’, die door de nationale toezichthouders op ieder moment kan worden opgevraagd. • Ook moeten informatieverwerkers dan individuele stakeholders hebben geïnformeerd over het eigen privacycompliancebeleid en waar personen terecht kunnen met vragen of klachten.

6 EU-privacyrichtlijn 95/46/EG – in Nederland geïmplementeerd via de WBP. De nieuwe verordening heeft direct kracht van wet in alle lidstaten. Het ligt voor de hand dat Nederland de WBP intrekt.

62



Dit laatste komt neer op een uitnodiging tot het uitoefenen van rechten. In combinatie met het toegenomen privacybewustzijn waarover hierboven al werd gesproken, is de kans op discussies vanaf 2016 logischerwijs groter. Iedere persoon die zich niet goed geholpen voelt, is gerechtigd om bij het CBP een klacht in te dienen. Zo’n klacht alleen al doet het vermoeden rijzen dat een organisatie zijn zaken niet op orde heeft. De klager mag ook een schadeclaim indienen en naar de rechter stappen. Het is goed om er rekening mee te houden dat het voor belangengroepen zoals consumentenorganisaties en vakbonden aantrekkelijk is om daarvoor ondersteuning te gaan aanbieden. Belang van voorsorteren Wie naleving van wettelijke regels hoog in het vaandel voert, doet er verstandig aan om in ieder geval op basis van de kernverplichtingen van de verordening zo vroeg mogelijk aan de slag te gaan. Enerzijds omdat de kernverplichtingen ook al in de huidige privacywetgeving besloten liggen. Anderzijds omdat met het formuleren en in de praktijk brengen van privacybeleid de nodige tijd gemoeid kan zijn. Informatieverwerking is vaak een complexe aangelegenheid terwijl de verordening mogelijk aanzet tot wezenlijke veranderingen. Tijdig voorsorteren helpt een tour de force voorkomen en overhaaste beslissingen tegen te gaan waarbij het gevaar van overcompliance op de loer ligt. Een verkeerde benadering kan leiden tot onnodige bureaucratisering, extra kosten, beperking van innovatie en commerciële mogelijkheden of vermindering van klantgerichtheid. De kernverplichtingen worden hierna toegelicht. Wanneer voor compliance goed de tijd wordt genomen, zal blijken dat er veel met behulp van de bestaande capaciteit kan worden gerealiseerd. Het is de wetgever te doen om gebalanceerde, praktische oplossingen. De verordening is gericht op de bevordering van informatieverwerking. Privacy krijgt geen voorrang boven andere belangen en informatieverwerking wordt slechts bij hoge uitzondering verboden. Wie de spelregels naleeft, voldoet aan de voorwaarden voor rechtmatige gegevensverwerking en verdient daarmee zowel juridisch als maatschappelijk license to operate. Bij een doordachte aanpak brengt privacycompliance bovendien voordelen met zich mee: • verhoogde efficiency; • meer grip op ICT; • verbeterde informatieveiligheid; • betere kwaliteit van bedrijfsinformatie; • waarborgen voor de continuïteit van de bedrijfsprocessen die van de informatie verwerking afhankelijk zijn; • vergroot vertrouwen bij klanten en medewerkers; • reductie van afbreuk- en aansprakelijkheidsrisico’s; • bedrijfsautonomie door tegengaan CBP-interventies; • klantownership (zie ook hierna); • imagoversterking.


63


Kernplicht 1: good privacygovernance In de verordening worden informatieverwerkers op bestuursniveau aangesproken en opgedragen om te voorzien in ‘good privacygovernance’. In de woorden van Peter Hustinx, de European Data Protection Supervisor: “Privacy is board room stuff”. De bestuurlijke governanceplicht dateert uit 1980, toen de OESO basisprincipes opstelde voor wetgeving om privacygevoelige informatie te beschermen, waaronder het zogenaamde accountability-beginsel: “A data controller should be accountable for complying with measures which give effect to [privacy protection]”.7 In de verordening is dit overgenomen als: De verantwoordelijke stelt beleid vast en voert passende maatregelen uit om ervoor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd.8 Privacywetgeving verwoordt daarmee dezelfde gedachte als de Nederlandse Corporate Governancecode, waarin het uitgangspunt is opgenomen dat het dagelijks bestuur verantwoordelijk is voor de naleving van wetgeving, afweging van maatschappelijke belangen en het beheersen van risico’s die zijn verbonden aan de bedrijfsvoering.9 Waar de Corporate Governancecode aangeeft dat een bestuur rekenschap aflegt aan de raad van commissarissen, geeft de verordening aan dat informatieverwerkers rekenschap hebben af te leggen aan de interne en externe individuele stakeholders en het staatstoezicht. Informatieverwerkers die over een raad van commissarissen beschikken, kunnen overwegen om toch ook deze in de privacybeleidsvoering te betrekken. Het internatio naal gehanteerde format voor duurzaamheidsverslaglegging van het Global Reporting Initiative10 benoemt privacy in ieder geval als een aandachtspunt voor het jaarverslag. Integrale aanpak Het beleid dat directies hebben vast te stellen, moet bewerkstelligen dat de juiste setting ontstaat voor organisatiebrede privacycompliance. Hoe dat beleid er precies uitziet, verschilt per organisatie en is ook afhankelijk van de verschillende vormen van informatieverwerking. Zo verschilt privacycompliance bij personeelsmonitoring van privacycompliance bij direct marketing. Het privacybeleid op directieniveau zal over het algemeen dan ook een kaderscheppend karakter moeten hebben, dat nadere uitwerking behoeft. Uit de verordening komt naar voren dat hierbij gebruik moet worden gemaakt van instrumenten zoals voorlichting, training, procedures, contracten, audits, enzovoorts.

7 Article 14 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. 8 Artikel 22 lid 1 Algemene Verordening Gegevensbescherming. 9 Principe II.1 Nederlandse Corporate Governance Code. 10 <www.globalreporting.org>

64



Welbeschouwd verplicht de verordening tot een integrale aanpak binnen de driehoek Governance, Risk Management en Compliance zoals inmiddels ook gebruikelijk is op andere aandachtsgebieden zoals veiligheid, milieu, fair trade of anti-fraude.

Governance

internal policies

Operations managed and supported through GRC

ethically correct behavior improved efficiency improved effectiveness

Strategy

Processes

risk appetite

integrated holistic organisation-wide

Technology

Risk Management

People

external regulations

Compliance

Figuur 1. GRC-model. Bron: Wikipedia. Deutsche bahn als voorbeeld Hoe kwetsbaar een organisatie is bij non-compliance met de governanceplicht illustreert het screeningsschandaal in 2009 rond de treinvervoerder Deutsche Bahn. Het weekblad Stern berichtte in dat jaar dat DB haar personeel jarenlang in het geheim liet screenen op corruptie. Aanvankelijk was het beeld in de media nog dat de screening 1.000 medewerkers betrof maar gaandeweg de discussie bleek dat het in werkelijkheid om 173.000 personen ging, waaronder ook gezinsleden van DB-medewerkers. De top van Deutsche Bahn reageerde onhandig door op geen enkele manier blijk te geven van eigen verantwoordelijkheid. In de woorden van toenmalig bestuursvoorzitter Hartmut Mehdorn: “Ik bemoei mij toch ook niet met de aanschaf van enveloppen?” Maar daar komen bestuurders niet meer mee weg. Privacy verloopt langs andere logica en emoties kunnen sterk opspelen. Toen de screeningspraktijken aan het licht kwamen, leidde dat zowel intern als landelijk tot een rel. Personeel, vakbonden, pers en politiek – zelfs bondskanselier Angela Merkel – vielen over DB heen. Mehdorn moest opstappen en DB-directie werd hervormd. Ook volgde er strafrechtelijk onderzoek. Als klap op de vuurpijl besloot de Berlijnse privacy toezichthouder (overheidstoezicht is in Duitsland decentraal georganiseerd) bovendien


65


tot het opleggen van een boete van 1,1 miljoen Euro. De nieuwe raad van bestuur voerde hetzelfde jaar nog bedrijfsveranderingen door. In het jaarverslag 2009 schrijft DB uiteindelijk (hier samengevat): “De focus bij Deutsche Bahn ligt voortaan op preventief risk management en borging van duurzame bedrijfsvoering op basis van een op morele waarden gebaseerde bedrijfscultuur. Privacy is een duurzaamheidsvraagstuk dat een multidisciplinaire aanpak vergt en behoort tot de verantwoordelijkheid van ons hoogste management. Aan de raad van bestuur is daarom een bijzondere portefeuillehouder toegevoegd voor compliance, privacy en juridische zaken. Hij wordt ondersteund door een nieuwe directie die businessonafhankelijk is gepositioneerd. De nieuwe directie heeft tot taak om bedrijfsregels te formuleren en de naleving ervan te bewaken. Voor voortgangsmonitoring is een aparte complianceraad ingesteld. Tenslotte is een bijzondere compliancecommissie in het leven geroepen, waarin ook DB-personeel is vertegenwoordigd, die in concrete gevallen inbreuken op de bedrijfsregels onderzoekt.” Privacyofficer verplicht Onafhankelijke compliancebewaking wordt in de Wet Bescherming Persoonsgegevens aangeraden en is onder de verordening in veel gevallen verplicht, wat niet meteen wil zeggen dat informatieverwerkers zo ver hoeven te gaan als Deutsche Bahn. Infor matieverwerkers hebben minimaal een onafhankelijke privacyofficer (‘functionaris voor de gegevensbescherming’ of ‘data protection officer’) aan te wijzen. Dat moet iemand zijn met professionele kwaliteiten, die praktijkdeskundig is en beschikt over ‘expert knowledge’ op het gebied van privacywetgeving in het algemeen. Naast de verordening kunnen er namelijk ook nog andere wettelijke regels van toepassing zijn zoals de zogenaamde ePrivacy-wetgeving over email-reclame, internetcookies en telemarketing. Bedrijven met minder dan 250 werknemers worden in de verordening van de privacyofficer-plicht vrijgesteld mits er niet teveel sprake is van ‘stelselmatig observeren’ van personen. Bij vrijstelling kunnen bedrijven overwegen om vrijwillig een privacyofficer aan te wijzen, waar wellicht iets voor te zeggen is wanneer een informatieverwerker belang hecht aan deskundigheid en kwaliteit. De privacyofficer is een organisatieadviseur die het privacybeleid helpt coördineren en compliance bewaakt via monitoring van een aantal ijkpunten die in de verordening worden opgesomd, waaronder toezicht op de naleving van het interne privacybeleid en toezicht op de bewaring van de al eerder genoemde verplichte rekenschapsdocumen tatie. Uit de opsomming van taken komt naar voren dat de privacyofficer vooral de verbinding moet leggen tussen compliance op directieniveau en compliance in de operaties. Ook vervult de privacyofficer een brugfunctie in de relaties met het College Bescherming Persoonsgegevens, voor wie hij volgens de verordening de contactpersoon is. Op de voorjaarsvergadering 2012 van NGFG, de beroepsorganisatie van privacyofficers,

66



gaf het CBP aan veel waarde te hechten aan die brugfunctie. De privacyofficer schept vertrouwen als professional en kan op basis van zijn praktijkdeskundigheid voor de organisaties mediëren, wat zorgvuldige besluitvorming door de toezichthouder in principe bevordert.11 Tenslotte heeft de privacyofficer nog een rol als ombudsman bij de afhandeling van vragen of klachten. De verordening schrijft voor dat zijn gegevens moeten worden gecommuniceerd aan alle personen over wie de organisatie informatie verwerkt. Zoiets kan goed via de privacystatement op de website, wat ook het maatschappelijk vertrouwen in de informatieverwerking helpt versterken. Positionering Belangrijk is dat de privacyofficer goed wordt gepositioneerd. Het privacybeleid van de directie dient wat dat betreft een duidelijke regeling te bevatten, waarbij het verder niet uitmaakt of hij aan een afdeling wordt verbonden of zelfstandig opereert, zolang hij maar goed de ruimte, steun vanuit de directie, middelen en medewerking krijgt. In de verordening wordt ook aangegeven dat hij rechtstreeks aan de directie verslag uitbrengt. Een privacyofficer wordt minimaal voor twee jaar benoemd en kan tijdens zijn termijn alleen worden ontslagen als zijn deskundigheid ontoereikend blijkt. Vaste dienst of inhuur maakt niet uit. Ook mogen meerdere organisaties ervoor kiezen om een privacy officer te delen. Daar valt veel voor te zeggen wanneer gegevensverwerking één geheel vormt (keten), zoals een opdrachtgever die zijn klanten te woord laat staan door een ingehuurde aanbieder van callcenter-diensten. Of wanneer meerdere organisaties deel uitmaken van dezelfde groep en het delen van een privacyofficer schaalvoordelen biedt of de beleidscoördinatie bevordert. De wetgever denkt hierbij aan bedrijven die opereren in concernverband of samenwerkende bestuursorganen.

Kernplicht 2: gebalanceerde oplossingen De scope van privacywetgeving is altijd bijzonder breed geweest omdat de wettelijke spelregels van toepassing zijn op alle processen, activiteiten en vormen van dataopslag waar persoonsgerelateerde informatie aan te pas komt. Grootschalig of kleinschalig maakt niet uit. Zo is de wet net zo goed van toepassing op de persoonlijke aantekeningen van een manager bij personeelsbeoordelingen als op de verwerking van belasting gegevens door de Belastingdienst. Toegangspasjes, urenregistraties, videobewaking, CRM, HRM, e-mail, data-analyses – het maakt geen verschil. Alles is relevant zolang er maar sprake is van informatieverwerking dat herleidbaar is tot een individu. Informatie verwerkers die op de een of andere manier steken laten vallen, riskeren niet alleen boetes en reputatieschade maar kunnen ook door iedere benadeelde aansprakelijk worden gesteld. De informatieverwerker is dan verplicht tot de betaling van een schade11 Vgl. voetnoot 4.


67


vergoeding. Stel voor dat alle 173.000 personen die door Deutsche Bahn waren onderzocht een claim van € 10 hadden ingediend, zou dat het openbaar vervoerbedrijf nog eens ruim 1,7 miljoen extra hebben gekost. Know your customer Naarmate informatieverwerkingsprocessen een ingrijpender effect op een persoon hebben, wordt van de informatieverwerker verwacht om in de risicobeheersing steeds persoonlijker te werk te gaan – hoe omslachtig dat ook kan uitpakken. Dat ervoer de bank Santander nadat Santander een debiteur had aangemeld bij het Bureau Kredietregistratie vanwege een betalingsachterstand van € 315. Voor Santander ging het om een standaardprocedure volgens het algemeen reglement van het BKR. Privacywetgeving verbiedt de melding als zodanig niet, maar de debiteur bleek op de valreep alsnog te hebben betaald waardoor de melding achterhaald was, terwijl de persoonlijke gevolgen substantieel zijn. Iemand die bij het BKR wordt geregistreerd, zal moeilijk nog aan een lening kunnen komen omdat de registratie voor geldverstrekkers vaak reden is om krediet te weigeren. Zo ondervond ook de ex-debiteur hinder in de praktijk, wat leidde tot een privacyklacht bij Santander. De bank wilde in die klacht niet meegaan omdat Santander meende correct te hebben gehandeld. Bovendien impliceerde het verzoek dat in de meldprocedure altijd individuele checks noodzakelijk zijn, en dat was voor de bank te bewerkelijk. De zaak escaleerde via de rechter tot aan de Hoge Raad. Uiteindelijk besliste dit hoogste rechtscollege dat Santander vanwege de persoonlijke belangen toch individuele eindchecks behoorde uit te voeren. Omdat dit niet was gebeurd, handelde Santander in strijd met de wet. Operationele Beheersmaatregelen Om zicht en grip te krijgen op privacyrisico’s, schrijft de verordening voor om voortaan onder toezicht van de privacyofficer Privacy Impact Assessments (PIA’s) uit te voeren. PIA’s worden in het bijzonder verplicht gesteld bij vormen van informatieverwerking die naar hun aard extra privacygevoelig zijn, zoals bij de verwerking van medische informatie, etnische gegevens of bij dataanalyses voor het opbouwen van persoonlijke profielen (economische situatie, bezochte locaties, persoonlijke voorkeuren, enzovoorts). Een PIAuitkomst is het vertrekpunt voor het nemen van beheersmaatregelen. Een informatieverwerker kan niet redeneren dat zulke maatregelen onnodig zijn omdat de kans te klein is dat een probleem zich voordoet. Wel is het mogelijk om prioriteringen aan te brengen want niet alle privacyproblemen zijn even zwaarwegend. Ook is er ruimte voor efficiency: Rolls Royce-oplossingen zijn niet nodig waar Volkswagen-oplossingen volstaan. Wanneer uit incidenten of evaluaties blijkt dat beheersmaatregelen ondermaats zijn of door de tijd achterhaald, wordt bijsturing noodzakelijk. Meest verstandig is om te voor-

68



zien in periodieke evaluaties (managementcyclus Plan-Do-Check-Act). Dit geldt in het bijzonder voor maatregelen op het gebied van informatiebeveiliging. Om informatie verwerkers ten aanzien van dit laatste extra aan te sporen tot alertheid, verplicht de verordening om voortaan ieder incident dat IT-security gerelateerd is, binnen 24 uur te melden bij het CBP, wat voor de toezichthouder aanleiding kan zijn voor het instellen van nader onderzoek. Onder omstandigheden zullen dergelijke incidenten vervolgens nog moeten worden gemeld aan de personen die erdoor zijn geraakt. Waar een informatieverwerker in het bijzonder aandacht aan zal moeten besteden zijn beheersmaatregelen in de vorm van ‘Privacy by Design’ (PbD). PbD houdt in dat processen, dataopslag en informatiesystemen zodanig worden vormgegeven dat ze intrinsiek privacyproof zijn. Vergelijkbaar met milieuvriendelijk produceren met behulp van schone brandstof, is PbD-informatieverwerking eveneens ‘duurzaam’ omdat zoveel mogelijk wordt gewerkt met anonieme informatie. Op die manier wordt de privacy van personen ‘by default’ beschermd. Het koppelen van anonieme data aan per sonen is bij PbD alleen mogelijk onder speciale condities – bijvoorbeeld in geval van fraudedetectie. Een voorbeeld in de praktijk van PbD-informatieverwerking is de OVchipkaart. Wie een OV-chipkaart bij een paaltje of poortje houdt, wisselt informatie uit als: ProductCode=”202” ExpiryDate=”2014-03-02T23:59:00” MediaID=”261864339” PurseRemainingValue=”9756”. OV-bedrijven hebben geen idee wie in- en uitcheckt hoewel de bedrijfsvoering toch gevoed wordt met informatie om zwartrijden tegen te gaan, vervoerslogistieke informatie en informatie om klantgerichter te opereren. Ook de risico’s van computercriminaliteit door phishing (hierboven al genoemd boven) of skimming (illegaal uitlezen van gegevens) worden op die manier gereduceerd.12

Kernplicht 3: Integere informatieverwerking Terugkerend naar de Santander-zaak, raakte deze tegelijkertijd ook een andere kernplicht uit de privacywetgeving: integere informatieverwerking. Een individuele check op de melding zou hebben uitgewezen dat de melding was gebaseerd op inmiddels feitelijk onjuiste informatie. Ook gelet op de consequenties voor de klant, voldeed de melding daarom niet aan de wettelijke integriteitscriteria ‘proportionaliteit’ en ‘datakwaliteit’, waarvan er meer zijn zoals ‘doelbinding’, ‘noodzaak’ en ‘legitimiteit’. Privacywetgeving is er altijd in het bijzonder op gericht geweest dat een organisatie volgens deze criteria opereert en iedere vorm van informatieverwerking daarop finetunet. Juist de integriteitsbewaking is typisch iets voor de privacyofficer omdat het hier aankomt op zuivere checks and balances (gewetensrol) en er juridische valkuilen zijn. Het gaat

12 Zie voor meer informatie over Privacy by Design het gelijknamige themanummer van Privacy & Compliance, nr. 03-04/2012.


69


om de lakmoesproef op privacycompliance die uitwijst of de wet de license to operate afgeeft of niet. Alleen bij bijzonder risicovolle informatieverwerking is overleg vereist met het College Bescherming Persoonsgegevens of moet er voorafgaand onderzoek worden aangevraagd – in wezen een vergunningaanvraag – waarbij ook de toezichthouder toetst aan de hier genoemde integriteitscriteria. Bij integere informatieverwerking ontstaat in principe positieve privacyimpact: niet-melding bij het BKR zoals in de Santander-zaak betekent behoud van kredietmogelijkheid. Positieve privacyimpact kan ook bestaan uit tijdige en correcte uitbetaling van salarissen of uitkeringen, de juiste medische behandeling, toegang tot diensten (reizen, theater, concerten), correcte levering van bestellingen, enzovoorts. Of anders dient de informatieverwerking in ieder geval nog altijd een gerechtvaardigd belang van de informatieverwerker waarvoor het individuele privacybelang moeten wijken: publieke taakuitoefening, nakoming van wettelijke plichten, economische ontwikkeling en innovatie, fraudemanagement of sociale veiligheid. Illegale informatieverwerking Niet-integere informatieverwerking betekent dat de wet geen license to operate afgeeft of intrekt. Dat gaat automatisch. De informatieverwerker handelt eenvoudig onrecht matig (illegaal) en heeft een Big Brother-achtige of Kafkaëske-situatie gecreëerd omdat een teveel aan informatie wordt verwerkt of mensen door fouten in de knel kunnen komen door ‘het systeem’. Zowel Deutsche Bahn als Santander maakten zich hieraan schuldig maar de zaak van Ron Kowsoleea laat al helemaal zien hoe desastreus de gevolgen van niet-integere informatieverwerking kunnen zijn. Kowsoleea is een ondernemer die de media haalde toen uitkwam dat hij vijftien jaar lang per vergissing in de politiesystemen te boek stond als drugscrimineel. De echte drugs crimineel, een toevallige jeugdkennis, had zich bij een arrestatie in 1994 voor Kowsoleea uitgegeven (identiteitsfraude). Sindsdien beschikte de echte Kowsoleea ‘zomaar’ over een strafblad dat bovendien maar door bleef groeien omdat ook nieuwe misdrijven van de drugscrimineel op het conto van Kowsoleea werden bijgeschreven. Kowsoleea heeft op allerlei manieren geprobeerd om de fout hersteld te krijgen en werd daarin ook wel geholpen door de politie maar bij gebrek aan overall-beleidsvoering slaagde de politie er maar niet in om het strafblad definitief uit de systemen te verwijderen. In een netwerkomgeving kopiëren computers vaak informatie waardoor een eenvoudige aanpassing onvoldoende kan zijn. Gecorrigeerde informatie kan opnieuw door de oude informatie overschreven worden. Daarnaast speelde de dat de politie opsporingsinformatie deelt met andere instanties zodat de fout ook daar de systemen in sloop. Kowsoleea’s leven veranderde daardoor steeds meer in een nachtmerrie. Zo is hij in de loop der jaren tientallen keren aangehouden. Op Schiphol bleek hij ongewenst vreem-

70



deling. De FIOD verdacht hem van het witwassen van drugsgeld en deed bij hem met 35 man een inval. Zijn naam raakte door alle voorvallen zodanig beschadigd dat hij steeds meer een isolement terecht kwam, waardoor Kowsoleea uiteindelijk failliet ging. Opvallend aan deze zaak is dat het CBP niet ingreep. Uiteindelijk moesten de Nationale Ombudsman en het televisieprogramma EenVandaag voor Kowsoleea opkomen. De verantwoordelijkheid lag in dit geval bij de minister van Justitie, die onder druk van alle aandacht uiteindelijk ook excuses aanbood. Maar eigenlijk is de fout nooit goed hersteld. In het boek ‘De Digitale Schaduw’ van onderzoeksjournalist Dimitri Tokmetzis13, wordt Ron Kowsoleea beschreven als een gebroken man die anno 2012 weer steeds vaker gecontroleerd wordt vanwege zijn vermeende criminele profiel.

Kernplicht 4: privacyservices Het geval van Kowsoleea is een extreem voorbeeld maar het zijn dit soort misstanden, groot of klein, waarom de privacywetgeving iedereen het recht geeft om bij informatieverwerkers klachten of verzoeken in te dienen. Een informatieverwerker is verplicht om hier nette follow-up aan te geven. Onderdeel van de privacybeleidsvoering is dan ook altijd dat er wordt voorzien in de faciliteiten en procedures voor het bieden van privacy service – bijvoorbeeld via de afdeling klantenservice of een interne P&O-helpdesk. De verordening schrijft in dit verband voor dat een informatieverwerker in de eerste plaats communicatiebeleid ontwikkelt om transparant te zijn over de vormen van informatieverwerking, het privacybeleid, wie de privacyofficer is en waar iemand terecht kan met vragen en klachten. Die informatie moet begrijpelijk en doelgroepgericht zijn opgesteld. Informatie voor werknemers luidt mogelijk anders dan informatie aan klanten, patiënten of bijvoorbeeld leerlingen. Ieder verzoek tot inzage, correctie, verwijdering of export (‘data portability’) van eigen gegevens zal de informatieverwerker in de regel kosteloos en binnen vier weken moeten afhandelen. Dat wil niet zeggen dat een verzoeker in alle gevallen ook zijn zin moet krijgen, maar bij afwijzing zal dat juridisch goed moeten worden gecheckt en onderbouwd. De privacyofficer kan helpen. Als er gehoor moet worden gegeven aan een verzoek, moet deze vervolgens ook daadwerkelijk worden uitgevoerd. Ook daar kan het mis gaan, dus ook hier het belang van een check. Er moet rekening mee worden gehouden dat het kan gaan om duizenden verzoeken tegelijkertijd, zoals de Belgisch-Franse bank Dexia tot haar ontzetting ontdekte. Tros Radar had in 2004 de gedupeerden van Dexia’s aandelenlease-constructie opgeroepen om toch vooral hun inzagerechten uit te oefenen. Daarvoor had Radar een standaardbrief 13 Uitgeverij Unieboek ⎸Het Spectrum, Houten/Antwerpen 2012.


71


verspreid, die door de Dexia-klanten vervolgens massaal werd ingestuurd. De bank werd overspoeld met verzoeken en Dexia weigerde om deze in behandeling te nemen. Net als bij de Santander-zaak belandde de zaak bij de Hoge Raad, die besliste dat Dexia de verzoeken toch echt stuk voor stuk had af te handelen. Wie surft naar ziet dat ook digitale burgerrechtenbeweging Bits of Freedom het tegenwoordig vergemakkelijkt om inzageverzoeken in te sturen. Een on-line wizard helpt de gebruiker om te kiezen uit een lange lijst van informatieverwerkers, waaronder – wel zo sportief – BoF zelf.

Kernplicht 5: ketenregie Als laatste punt van aandacht moet nog het organiseren van ketenregie worden genoemd, in het verlengde van de governance over de interne informatiehuishouding. In deze bijdrage werd tot nu over zowel informatieverwerkers en informatieverwerking gesproken alsof beide altijd vastomlijnd zijn en samenvallen. Bijvoorbeeld een werkgever die zijn eigen salarisadministratie voert. Hoewel zo’n duidelijke situatie in de praktijk nog steeds voorkomt, is informatieverwerking in andere gevallen meestal diffuser georganiseerd. Tegenwoordig werken verschillende partijen vaak met elkaar samen, zowel intern als extern, of worden informatieservices gedeeld. Het komt bijvoorbeeld veelvuldig voor dat een werkgever zijn salarisadministratie heeft uitbesteed aan een gespecialiseerde dienstverlener. In plaats van één zijn er dan twee partijen betrokken: de opdrachtgever en zijn uitvoeringsorganisatie. Bij informatiedeling lijken informatieverwerkers niet meer op opdrachtgevers maar op afnemers. Bijvoorbeeld overheidsdiensten die gebruik maken van de Gemeentelijke Basisadministratie. Informatieketens kunnen verder worden opgeknipt en er zijn achter de schermen allerlei andere samenwerkingsconstructies denkbaar. Dankzij internet en de opkomst van cloud services neemt die complexiteit alleen maar toe, waarbij dienstverleners overal ter wereld gevestigd kunnen zijn – iets waarover de verordening nog aparte spelregels bevat. Vanwege het uitgangspunt dat een bestuur eindverantwoordelijk is voor de informatieverwerking binnen een organisatie, benadrukt de verordening óók dat de inhoudelijk belanghebbende – bijvoorbeeld de werkgever in het bovenstaande voorbeeld (en daarmee dus opnieuw de directie) – altijd eindverantwoordelijk blijft voor zijn uitvoeringsorganisaties, die in het privacyrecht worden aangeduid als ‘processors’ (in het Nederlands: ‘bewerkers’). De oorspronkelijke opdrachtgever of indien van toepassing, het collectief van samenwerkende opdrachtgevers (‘joint data controllers’) zijn verplicht tot het maken van goede regieafspraken, zodat een informatieketen geen zwakke schakels kan bevatten. Op hun beurt zijn uitvoeringsorgansiaties overigens ook weer gehouden tot good privacygovernance.

72



Verlies van ownership Aan onvoldoende regie waardoor een processor de ruimte krijgt om zelfstandig te opereren, verbindt de verordening de consequentie dat een opdrachtgever de zeggenschap over proces en data voortaan deelt met zijn uitvoeringsorganisatie. Zoiets overkwam de banken toen de interbancaire serviceorganisatie SWIFT in 2006 werd aangemerkt als ‘data controller’. Voor organisaties waar volledige zeggenschap over data en processen van strategisch belang is (zeggenschap = ownership), is dat geen optie. Een overheidsinstelling ziet bijvoorbeeld niet graag dat door aanbesteding van informatieverwerking, zeggenschap over overheidsinformatie naar het bedrijfsleven vloeit. En wie in de particuliere sector belang hecht aan klantownership, zal willen voorkomen dat een dienstverlener die wordt ingehuurd voor direct marketing, medezeggenschap over klantgegevens verwerft en bijvoorbeeld kan besluiten om deze voor zichzelf te houden of door te verkopen. Data is money. Organiseren op privacy betekent dat een data controller voortaan strakke ketenregie voert en toezicht houdt op de nakoming van afspraken. Deze zullen over het algemeen een contractueel karakter hebben (‘bewerkerscontracten’) maar kunnen in principe ook statutair worden vastgelegd. Privacy by Design en informatiebeveiliging blijven ook hier essentiële aandachtspunten. Wezenlijk is het bestaan van duidelijke service levelafspraken.

Hoe verder? In de voorgaande paragrafen werden de kernverplichtingen van privacycompliance behandeld volgens de Algemene Verordening Gegevensbescherming vanuit het perspectief van informatieverwerkers. 1. Privacygovernance 2. Gebalanceerde oplossingen 3. Integere informatieverwerking 4. Privacyservices 5. Ketenregie Aspecten als ‘recht van verzet’, ‘binding corporate rules’ of ‘het recht op vergetelheid’ bleven onbesproken. Deze komen vanzelf aan bod wanneer een informatieverwerker werk maakt van privacycompliance en de situaties zich voordoen waarin deze onderwerpen relevantie krijgen. Als het goed is, helpt de privacyofficer eraan herinneren.


73


De verordening is te downloaden via: <ec.europa.eu/justice/data-protection/document/ review2012/com_2012_11_nl.pdf> Of via scanning van deze QR-code: Dàt de verordening er komt lijkt onvermijdelijk. Het is moeilijk voor te stellen dat Brussel een wetgevingtraject stopzet dat zo direct gericht is op de bescherming van burgerrechten in de informatiemaatschappij. Via amenderingen komen er ongetwijfeld nog aanpassingen maar die zullen eerder institutioneel-bestuurlijk dan inhoudelijk zijn. Zo is er de kritiek dat de verordening op onderdelen nog teveel wetgevingsbevoegdheid delegeert, maar dergelijk commentaar is in eerste instantie niet relevant voor bedrijven en raakt ook niet de kernverplichtingen. De maximale boetes voor bedrijven werden al eens verlaagd van 5% naar de huidige 2%. Dat is nog steeds bijzonder fors maar het percentage is in de ogen van de Brusselse besluitvormers nog altijd bescheiden in verhouding tot de boetes van 10% of hoger die in het mededingingsrecht worden gehanteerd, terwijl aan privacy veel politiek belang wordt gehecht. Er zijn vooralsnog dan ook geen tekenen dat de boetes verder naar beneden worden bijgesteld. Informatieverwerkers die zich onvoldoende in de vijf kerneisen herkennen, doen er verstandig aan om nu al voor te sorteren. De kerneisen bieden op een veilige manier houvast en liggen reeds besloten in de bestaande wetgeving. Privacybeleidsvoering is bovenal ook een kwestie van ethiek. Mogelijk zijn er in de organisatie al goede oplossingen voorhanden of valt er mee te liften met compliancebeleid op andere thema’s. Het ligt voor de hand om te beginnen met bepalen van het privacyrisicoprofiel voor de organisatie op basis van de huidige stand van zaken. Op die manier beschikt de organisatie over een duidelijk vertrekpunt. Wie afwacht, riskeert niet alleen een tour de force maar ook een achterstand. Waar haal je straks bijvoorbeeld nog een goede privacyofficer vandaan? Kennis en kunde is vandaag de dag al schaars. Het zijn de voorsorteerders die de beste kansen creëren om zich in de komende jaren op het gebied van good privacygovernance te onderscheiden. Dit levert hen in beginsel ook andere voordelen op.

74


Privacycompliance: afwachten of voorsorteren?

Recommend Documents