Privacyregels in de praktijk Mr. A. Gharbharan1
De Wet bescherming persoonsgegevens (hierna: Wbp) is ‘principle-based’. Dit houdt in dat er een vertaalslag moet worden gemaakt hoe de beginselen, genoemd in de Wbp, in de praktijk dienen te worden toegepast. Dit is niet altijd even eenvoudig. Zeker niet indien het kennisniveau ten aanzien van de Wbp zeer laag is of zelfs ontbreekt. En dan komt er ook nog een Europese verordening aan die straks het nodige van uw organisatie verlangt. Aan de hand van praktische vragen en het noemen van enkele voorbeelden hoop ik u aan te zetten na te denken over de manier waarop de Wbp binnen uw organisatie is ingeregeld. Ik ben er bij het schrijven van dit artikel van uitgegaan dat u kennis hebt van de Wbp en de meest voorkomende begrippen uit de Wbp. Het is derhalve niet mijn bedoeling om een juridisch inhoudelijk artikel te schrijven, maar meer een artikel van praktische aard, teneinde u te helpen concreet aan de slag te gaan met de Wbp. Omdat er een nieuwe Europese verordening voor de verwerking van persoonsgegevens aan komt, maak ik van de gelegenheid gebruik enkele onderwerpen aan te stippen waar u reeds nu in uw praktijk mee aan de slag kunt, vooruitlopend op de inwerkingtreding van deze nieuwe Europese verordening. Uiteraard zal, indien de definitieve tekst van de verordening daar is, bekeken dienen te worden op welke aspecten binnen uw organisatie wijzigingen dan wel aanvullingen dienen plaats te vinden. Omdat ik mij realiseer dat elke organisatie anders is, wil ik niet pretenderen dat u alleen op basis van onderstaande aanreikingen compliant kunt zijn. Zoals eerder aangegeven is de Wbp vooral principlebased. Het gaat erom dat u de vragen die ik in dit artikel stel, kunt beantwoorden voor uw eigen organisatie.
1
Mr. A. (Astrid) Gharbharan is Vice President Legal en advocaat bij NIBC. Dit artikel is op persoonlijke titel geschreven.
Jaarboek Compliance 2015
325
Ontwikkelingen in wet-en regelgeving
Tone at the top In de eerste plaats is het van belang dat u zich realiseert dat de implementatie van de beginselen uit de Wbp, voor zover niet of nog onvoldoende geïmplementeerd binnen uw organisatie, een cultuurverandering2 met zich meebrengt. Een verandering in de cultuur van uw organisatie kan alleen succesvol plaatsvinden indien dit wordt ondersteund vanuit de top van uw organisatie. Er is sprake van een cultuurverandering omdat het toepassen van de Wbp een andere manier van werken met zich meebrengt. En dat geldt voor alle medewerkers; vanaf de receptie tot aan de top. Medewerkers dienen zich, als zij persoonsgegevens verwerken, bewust te zijn van het feit dat zij gehouden zijn zorgvuldigheid te betrachten omdat zij het recht op bescherming van de persoonsgegevens van de betrokkene dienen te respecteren op grond van de wet. En dat is een heel andere benadering dan vanuit de gedachte: hoe meer gegevens ik kan verzamelen, hoe beter. Om een cultuurverandering succesvol te bewerkstelligen is een juiste ‘toon’ ten aanzien van de Wbp vanuit het topmanagement derhalve een eerste randvoorwaarde voor een succesvolle implementatie. Eerst nadat het topmanagement voor zichzelf heeft vast gesteld dat zij compliant zijn met de Wbp belangrijk vinden, kan uitrol naar de rest van de organisatie op een gedragen wijze plaatsvinden. Zorg dus voor een juiste toon aan de top.
Benoeming van een data privacy officer Hoewel nog niet wettelijk verplicht, is het geen onverstandige keuze nu al een data privacy officer (hierna: DPO) te benoemen. Immers, indien uw organisatie serieus aan de slag gaat met de implementatie van regels ten aanzien van data privacy, is het goed om één aanspreekpunt te hebben. Daarnaast is het goed voor de organisatie om te weten dat er een medewerker is waarbij men terecht kan voor allerlei vraagstukken omtrent data privacy. Op deze wijze kan dan ook vanuit één centraal punt beleid ten aanzien van data privacy worden geformuleerd. Consistentie in actie is immers leidend in beklijving van de materie bij de medewerkers. De DPO kan tevens fungeren als aanspreekpunt voor externe stakeholders, bijvoorbeeld voor het College Bescherming Persoonsgegevens.
2
326
De Wbp spreekt over een functionaris gegevensbescherming echter legt niet de verplichting op om een functionaris gegevensbescherming te benoemen. De nieuwe Europese verordening wel in een aantal gevallen. Ik zal in dit artikel verder spreken over de ‘DPO’. De DPO kan echter ook de functionaris gegevensbescherming zijn zoals geregeld in de Wbp. Mijn definitie van DPO is dus breeder.
Jaarboek Compliance 2015
Privacyregels in de praktijk
Bij de benoeming van de DPO kunnen onder andere de volgende aandachtspunten een rol spelen: • Door welk orgaan wordt de DPO benoemd? In het kader van ‘tone at the top’ is een benoeming door het bestuur van de organisatie een logische keuze. • Hoe ziet de governance van de DPO er uit? Waar wordt de DPO in de organisatie gepositioneerd? Welk bestuurslid is eindverantwoordelijk voor de DPO? Op welke wijze wordt de onafhankelijkheid van de DPO gewaarborgd? Welke bevoegdheden heeft een DPO? En op welke wijze kan de DPO een kwestie escaleren? • Op welke wijze rapporteert de DPO? Wat zijn de verschillende rapportagevormen en welke daarvan is geschikt voor de DPO? Met welke frequentie rapporteert de DPO? Wie krijgt een kopie van de rapportage van de DPO?
Voorbeeld: De DPO wordt benoemd door de raad van bestuur. De eindverantwoordelijke over de DPO binnen de raad van bestuur is de chief risk officer (hierna: CRO). De DPO rapporteert per kwartaal aan de CRO (al dan niet tezamen met de information security officer). De DPO is werkzaam binnen de afdeling compliance en rapporteert hiërarchisch aan het hoofd afdeling compliance. De DPO kan, in het geval er een kwestie geëscaleerd dient te worden, terecht bij de CRO die dan een standpunt in de betreffende kwestie inneemt.
In de nieuwe Europese verordening is een aantal bepalingen specifiek gewijd aan de aanwijzing en positionering van een DPO3. Nu al een DPO benoemen getuigt van een vooruitziende blik.
Projectmatige aanpak U dient zich te realiseren dat u niet in uw eentje, al dan niet als functionaris gegevensbescherming, er voor kunt zorgen dat uw organisatie compliant is aan de Wbp. U heeft anderen nodig. Ik beveel daarom een projectmatige aanpak aan, aangestuurd door een daartoe opgeleide projectmanager. De projectmanager kan zich op deze wijze richten op het succesvol afronden van het project, terwijl de DPO zich als inhoudsdeskundige kan richten op de inhoud. Een tweede belangrijke stap is daarom, in mijn optiek, een intern project op te zetten en daarvoor budget aan te vragen, waarbij naast de projectmanager en de DPO tevens andere relevante stakeholders participeren in (de stuurgroep van) het project. 3
Zie hoofdstuk IV afdeling 4 in het tekstvoorstel van de Europese Commissie van 25 januari 2012.
Jaarboek Compliance 2015
327
Ontwikkelingen in wet-en regelgeving
Voorbeeld: Stuurgroep van het project bestaat uit: • de projectmanager (als aanstuurder van het project); • de eigenaar van het project (bijvoorbeeld een afgevaardigde van de eindverantwoordelijke ten aanzien van data privacy); • de DPO (als inhoudsdeskundige); • afgevaardigde van de afdeling IT (om de nodige kennis over IT te verschaffen en om mee te denken over keuzes ten aanzien van IT-systemen). Werkgroep van het project bestaat uit: • een afgevaardigde van afdeling HR (er worden immers ook persoonsgegevens van medewerkers verwerkt); • een afgevaardigde van afdeling faciliteiten (bijvoorbeeld in verband met uw bezoekersregistratie of camera’s in of om het gebouw); • een afgevaardigde van de commerciële afdeling(en) (bij voorkeur het hoofd van de afdeling marketing. Deze medewerkers beschikken doorgaans over de persoonsgegevens van de klanten. Bewustwording van de beginselen uit de Wbp is een must bij deze groep mensen); • een afgevaardigde van de afdeling communicatie (het is ten eerste van belang dat de interne communicatie over het project plaatsvindt en ten tweede dat de communicatie op een juiste manier plaatsvindt).
Het voorgaande brengt met zich mee dat het maken van een business case, met daarin opgenomen bijvoorbeeld de investering in IT-systemen, besparingen of extra kosten vanwege een andere manier van werken, een zinvolle exercitie kan zijn.
Gebruikersgroep Om te voorkomen dat er een niet al te grote kloof ontstaat tussen een besluit genomen door (de stuurgroep van) het project en de uitvoerbaarheid daarvan op de werkvloer, is het raadzaam om een zogenaamde gebruikersgroep samen te stellen. Bij het formeren van deze gebruikersgroep kunt u er bewust voor kiezen om kritische medewerkers aan boord te halen. Zo krijgt u waardevolle input ten aanzien van de gebruiksvriendelijkheid van een systeem. De medewerkers zullen immers veel eerder geneigd zijn mee te werken als de andere manier van werken gebruiksvriendelijk is. Daarnaast is het zinvol om medewerkers uit te nodigen die goed op de hoogte zijn van de verschillende werk-
328
Jaarboek Compliance 2015
Privacyregels in de praktijk
processen binnen de verschillende afdelingen. Zo kunt u – indien de stuurgroep van het project bijvoorbeeld besluit om in de toekomst gebruik te gaan maken van een ander IT-systeem dat bijvoorbeeld meer waarborgen met betrekking tot data privacy bevat – de gebruikersgroep vragen om te testen of het voorgestelde IT-systeem werkbaar is voor hen, gegeven hun dagelijkse werkzaamheden. Door een gebruikersgroep samen te stellen kan tevens draagvlak binnen de organisatie worden gecreëerd.
Information security officer Wellicht is binnen uw organisatie reeds een information security officer werkzaam. De scheidslijn tussen een DPO en een information security officer is in mijn optiek vrij dun. De information security officer houdt zich voornamelijk bezig met de beveiliging van de IT-systemen en het aspect beveiliging is een zeer belangrijk aandachtspunt in de Wbp en de nieuwe Europese verordening. In de nieuwe Europese verordening wordt overigens meer nadruk gelegd op privacy-by-design (hoe zorg je al bij het bouwen van een ITsysteem ervoor dat privacy is gewaarborgd en je niet meer persoonsgegevens verwerkt dan nodig, deze niet langer bewaart dan nodig en niet meer mensen toegang hebben tot persoonsgegevens dan nodig). Maar ook het melden van datalekken (voor zover nog niet verplicht voor uw organisatie) wordt verplicht onder de nieuwe Europese verordening, evenals het verplicht uitvoeren van een privacy impact assessment op IT-systemen. Een nauwe samenwerking tussen de DPO en de information security officer is derhalve zeer aan te bevelen. Zo ook het betrekken van de information security officer bij het project. Mocht uw organisatie geen information security officer hebben aangesteld, dan kunt u er ook voor kiezen om een medewerker die zich voornamelijk bezig houdt met de beveiliging binnen de IT-afdeling te betrekken bij het project.
Beschrijving maken van enkele interne werkprocessen Een goede implementatie van een bepaalde werkwijze behelst tevens het in kaart hebben van de werkprocessen. Een beschrijving van een werkproces is niet meer dan een beschrijving van de dagelijkse werkzaamheden. Een werkproces kan onder andere beschreven worden middels een communicatiediagram (een schematechniek met gebruik van een speciaal symbool, het transactiesymbool). Maar natuurlijk is het de beste oplossing als de communicatievorm bij de reeds bestaande systematiek binnen de organisatie aansluit. Op basis van een beschreven werkproces weet een ieder binnen de organisatie welke stappen in het arbeidsproces dienen te worden gezet en wie verantwoordelijk is voor welke stap.
Jaarboek Compliance 2015
329
Ontwikkelingen in wet-en regelgeving
Voorbeeld: U kunt over de volgende onderwerpen een werkproces beschrijven (let op: dit is geen limitatieve opsomming): • Een inzageverzoek van een klant: welk werkproces dient hierbij te worden gevolgd zodat er wordt voldaan aan de wettelijke eisen ten aanzien van inzageverzoeken. • Rechten van betrokkenen: als een klant bijvoorbeeld gebruik maakt van zijn recht op correctie of verzet, welk werkproces dient hierbij te worden gevolgd zodat er wordt voldaan aan de wettelijke eisen. • Een inzage door de DPO in bijvoorbeeld de inbox van de medewerkers: onder welke voorwaarden en volgens welk werkproces moet de DPO werken, zodat wordt voldaan aan de wettelijke eisen ter zake.
Het betrekken van overige kantoren van uw organisatie Het kan zijn dat uw organisatie uit meerdere kantoren bestaat, eventueel zijn deze kantoren gevestigd in andere landen. Indien u werkzaam bent op het hoofdkantoor van uw organisatie verdient het aanbeveling na te denken in hoeverre overige kantoren van uw organisatie meegenomen zouden moeten worden in de scope van het project. Indien de overige kantoren gevestigd zijn in dezelfde jurisdictie als het hoofdkantoor, dan zullen deze kantoren zonder meer meegenomen moeten worden in de scope van het project. Echter, is dit niet het geval dan dient u er rekening mee te houden dat u te maken kunt krijgen met verschillende toepasselijke wetgeving. De volgende vragen kunnen hierbij een rol spelen: • Hoe komt u tot een uniforme aanpak? • Als u beleid schrijft, is dit beleid dan ook van toepassing op de overige buitenlandse kantoren of krijgt ieder kantoor een specifiek beleid toegespitst op de eigen jurisdictie? • Zullen de overige kantoren meedraaien op de nieuwe IT-systemen? • Is het effectiever om binding corporate rules op te stellen? De binding corporate rules nemen een belangrijke plaats in, in de nieuwe Europese ver ordening. Indien u werkzaam bent in een grote internationale organisatie, waarbij er tevens sprake is van vestigingen in andere landen, kunnen binding corporate rules uitkomst bieden. Dan hoeft u niet steeds per jurisdictie te kijken welk recht van toepassing is en aan welke vereisten de verwerking van de persoonsgegevens zou moeten voldoen. Laat u zich hierover vooral adviseren door een deskundige op dit gebied, omdat het werken met binding corporate rules een complexe materie betreft.
330
Jaarboek Compliance 2015
Privacyregels in de praktijk
Voorbeeld: Het hoofdkantoor gevestigd in Amsterdam formuleert een privacy policy. Deze privacy policy wordt doorgestuurd naar de compliance officer van de vestiging in Duitsland met het verzoek aan de compliance officer aldaar na te gaan in hoeverre de Nederlandse privacy policy van toepassing kan zijn op het Duitse kantoor. Omdat het Duitse privacy recht stringenter kan zijn dan het Nederlandse privacy recht, kan de Duitse compliance officer aangeven op welke punten de Nederlandse privacy policy aangepast dient te worden. Vervolgens zijn er de volgende opties: i) de Nederlandse privacy policy wordt aangepast naar het Duits recht en kan daarmee van toepassing zijn op zowel de Nederlandse als de Duitse vestiging of ii) de Nederlandse privacy policy is alleen van toepassing op de Nederlandse vestiging en de privacy policy aangepast naar Duits recht is van toepassing op de Duitse vestiging. Wat ik ook vaak zie is dat er een uniforme policy bestaat met de opmerking dat indien lokaal recht strenger is dan in de uniforme policy is opgenomen, het lokale recht prevaleert. Of er is per land een addendum met de wijzigingen die van toepassing zijn in dat land.
Vaststellen van verschillende (beleids)documenten Zonder limitatief te willen zijn in mijn opsomming, noem ik hieronder een aantal (beleids) documenten die van belang kunnen zijn voor een succesvolle implementatie van de regels met betrekking tot data privacy. Ik heb niet bedoeld de documenten in volgorde van belangrijkheid te noemen. Afhankelijk van de stand van zaken binnen uw organisatie, kunt u zelf het beste bepalen welke documenten als eerste opgesteld zouden moeten worden. Besteed bij het vaststellen van de verschillende beleidsdocumenten tevens aandacht aan de volgende vragen: • Wie is eigenaar van het stuk? Dit kan bijvoorbeeld de DPO zijn en alleen de DPO is bevoegd om wijzigingen in het document aan te brengen. • Welk orgaan keurt het stuk goed? Dit kan bijvoorbeeld het risk committee zijn of de ondernemingsraad in verband met artikel 27 van de Wet op de ondernemingsraden. • Op welke wijze maakt u de verschillende stukken kenbaar aan de medewerkers zodat zij weten wat de inhoud van de stukken is en daarnaar kunnen handelen? De DPO organiseert bijvoorbeeld awareness-trainingen waarbij de inhoud van de stukken aan bod komt. Maar u kunt ook denken aan nieuwe medewerkers. Alle nieuwe medewerkers van de laatste drie maanden krijgen een training van de DPO waarin
Jaarboek Compliance 2015
331
Ontwikkelingen in wet-en regelgeving
de inhoud van de stukken wordt uitgelegd en de manier van werken binnen de organisatie. De veiligheidseisen die uw organisatie stelt, is eveneens een goed onderwerp om in dit verband te behandelen. • Monitoring: aan de hand waarvan kan achteraf worden bekeken of de medewerkers zich houden aan de verschillende beleidsdocumenten? De DPO kan bijvoorbeeld een incidentenregister bijhouden om inzichtelijk te krijgen waar en in welke gevallen er incidenten voordoen. Data privacy policy Een algemeen beleidsstuk met een beschrijving van de kernbeginselen ten aanzien van data privacy, die in acht dienen te worden genomen door de medewerkers. Data Retention Policy Een beleidsstuk waarin per categorie van gegevens een maximale en minimale bewaartermijn is opgenomen. Het opmaken van dit soort beleid is vrij complex, omdat het Nederlands recht vanuit verschillende rechtsgebieden verschillende bewaarter mijnen kent (Burgerlijk Wetboek: zeven jaar, fiscale wetgeving soms korter, etc.). Het is derhalve een uitdaging en tegelijkertijd een ‘must have’ om een leesbaar document te hebben waar de medewerkers in terug kunnen vinden welke minimale en welke maximale bewaartermijnen zij in acht dienen te nemen bij het bewaren van verschillende stukken. Outsourcings Policy bewerkers Een beleidsstuk waarin de interne en externe eisen worden gesteld bij het uitbesteden van werkzaamheden aan een derde partij, waarbij verwerking van persoonsgegevens plaatsvindt.
Voorbeeld: In deze policy geeft u aan wanneer sprake is van uitbesteding en wanneer de policy van toepassing is. Tevens geeft u aan wat de rol is van een verantwoordelijke en de rol van een bewerker. Op deze wijze zijn de verschillende verantwoordelijk heden duidelijker. Maak een opsomming van de minimale beveiligingseisen die uw organisatie stelt. Zowel aan IT-systemen, bijvoorbeeld in termen van NEN of ISO, als eisen die uw organisatie stelt aan de medewerkers van deze derde (bijvoorbeeld verplicht stellen van een verklaring omtrent gedrag). Maar ook de eisen die u stelt aan eventuele onderaannemers van de bewerker. U wilt bijvoorbeeld niet dat er onderaannemers worden ingeschakeld. Beschrijf met welke frequentie en op welke wijze uw organisatie als verantwoordelijke de bewerker zal controleren op naleving van de gemaakte afspraken. Besteed tenslotte aandacht aan doorgifte van persoonsgegevens naar andere landen.
332
Jaarboek Compliance 2015
Privacyregels in de praktijk
Cloud Computing Policy met betrekking tot data privacy
Voorbeeld: Beschrijf wanneer sprake is van cloud. Geef een beschrijving van de eisen die uw organisatie stelt aan clouddiensten. Daarnaast kunt u er voor kiezen om tevens een lijstje te maken van de contractuele eisen die u stelt aan de cloud-dienstverlener. U kunt hierbij denken aan de volgende vragen: Wat als de bewerker failliet gaat, krijgt u dan uw data nog terug en zo ja is dat dan in leesbare vorm? En hoe zit het met uw bdrijfscontinuiteit? Zorgt u ervoor dat na beëindiging de data worden geretourneerd of dat deze op uw verzoek vernietigd worden? Vanuit welke landen is de data benaderbaar? Welke personen binnen de organisatie van de bewerker hebben toegang tot de data en in welke gevallen? Heeft uw organisatie (en indien van toepassing op grond van bijvoorbeeld de Wet financieel toezicht, uw toezichthouder) het recht op een audit bij de bewerker?
Template bewerkersovereenkomst Om te bewerkstelligen dat met elke bewerker, los van de vraag of er sprake is van cloud computing, de juiste afspraken4 worden overeengekomen, is het raadzaam om een standaard bewerkersovereenkomst te ontwikkelen die bruikbaar is voor uw organisatie. Om te bewerkstelligen dat met elke bewerker, los van de vraag of er sprake is van cloud computing, de juiste afspraken worden overeengekomen, is het raadzaam om een standaard bewerkersovereenkomst te ontwikkelen die bruikbaar is voor uw organisatie. In deze bewerkersovereenkomst kunt u alle hierboven genoemde onderwerpen regelen op een wijze die uw organisatie als verantwoordelijke het beste past. In dit verband merk ik op dat het thema ‘documenteren’ een belangrijke thema is in de toekomstige Europese verordening. Het kan geen kwaad om reeds nu bepaalde verplichtingen op te nemen in uw standaard bewerkersovereenkomst. Wellicht is het proces van toestemming verkrijgen van de betrokkene uitbesteed aan een derde. In dat geval is het van belang dat de bewerker de werkwijze op een correcte wijze documenteert ten behoeve van u als verantwoordelijke. Data Breach Protocol Hiermee bedoel ik een stuk waaruit blijkt op welke wijze uw organisatie wenst te acteren indien onverhoopt sprake is van een datalek. U heeft in oktober 2011 ongetwijfeld kennis genomen van ‘Lektober’. Webwereld heeft in oktober 2011 elke werkdag een 4
In artikel 14 Wbp is bepaald dat het afsluiten van een bewerkersovereenkomst verplicht is.
Jaarboek Compliance 2015
333
Ontwikkelingen in wet-en regelgeving
ICT-privacylek in een website of overheidsdienst onthuld. Webwereld heeft zo op het belang van goede beveiliging van privégegevens willen wijzen. Elk datalek is er natuurlijk een teveel. Echter, als het gebeurt, moeten uw directe acties er vooral op gericht zijn om het lek te dichten en te voldoen aan de wettelijke eisen ter zake. Maak daarom een beschrijving van de acties die voor uw organisatie van belang zijn om op dat moment te nemen. Het is raadzaam om na te denken over het instellen van een crisis team. Vanzelfsprekend is het van belang dat de DPO onderdeel is van het crisis team. U kunt zich voorstellen dat het van groot belang is dat de relevante medewerkers binnen uw organisatie op de hoogte zijn van de inhoud van dit stuk. Op die manier weet een ieder op welke wijze geacteerd dient te worden. Overigens verdient het tevens aanbeveling om op gezette tijden een datalek te fingeren. Dit om te bezien of de processen beschreven in dit document ook daadwerkelijk worden uitgevoerd of dat de inhoud van het document wellicht aanpassingen behoeft. Net zoals op gezette tijden een oefening voor een brandalarm plaatsvindt. Privacy Impact Assessment (hierna: PIA) Dit is een document op basis waarvan u nagaat of bepaalde waarborgen ten aanzien van data privacy zijn opgenomen in een IT-systeem. Het is een hulpmiddel om proactief na te denken over vragen als: wat is de impact van het beoogde IT-project op de privacy van betrokkenen? Wat zijn de risico’s voor de betrokkenen en voor de organisatie? De nieuwe Europese verordening heeft ten aanzien van privacy-by-design en privacy-bydefault5 een aantal bepalingen opgenomen. In een PIA kunnen bijvoorbeeld de volgende onderwerpen aan bod komen: Welke type data wordt er verwerkt? Zitten er bijzondere gegevens bij? Is er sprake van een rechtmatige verwerking? Zijn er waarborgen die het doelbindingsvereiste in acht nemen? Wordt alleen relevante data verwerkt (‘need to know’ in plaats van ‘nice to know’)? Op welke wijze is de zuiverheid van de data gewaarborgd? Op welke wijze is toegang tot de data beperkt? Is er een autorisatiematrix? Op welke wijze wordt deze autorisatiematrix up to date gehouden? Op welke wijze wordt rekening gehouden met rechten ten aanzien van opt-out? Privacy Self Assessment (hierna: PSA) Dit is een document aan de hand waarvan alle afdelingen binnen de organisatie kunnen nagaan wat de stand van zaken is ten aanzien van data privacy binnen hun afdeling. Het document kan dus goed gebruikt worden als een gap-analyse. In mijn optiek is dit het belangrijkste document in dit rijtje. Niet alleen omdat het u een handvat geeft om de huidige situatie vast te stellen, maar ook omdat het een handvat is om het bewustzijn bij de medewerkers te verhogen. Uitgangspunt is immers dat de medewerkers van de betreffende afdeling de PSA zelf invullen en niet de DPO. Door het invullen van de PSA 5
334
Zie artikel 23 in het tekstvoorstel van de Europese Commissie van 25 januari 2012.
Jaarboek Compliance 2015
Privacyregels in de praktijk
wordt de medewerker gedwongen om na te denken over een aantal onderwerpen. De DPO kijkt, indien gewenst, alleen naar de uitkomsten van de PSA6. Bij het vervaardigen van een PSA kan de ‘WBP Zelfevaluatie’ van het CBP uitstekend als basis dienen.7
Voorbeeld: Hieronder som ik een aantal onderwerpen op. Per onderwerp heb ik een aantal vragen opgenomen die door de invuller van de PSA beantwoord dienen te worden. Aan de hand van de specifieke situatie van uw organisatie kunnen uiteraard onderwerpen worden toegevoegd of weggelaten. Onderstaand lijstje met onderwerpen en bijbehorende vragen betreft derhalve geen limitatieve opsomming. • Melding: wie is de verantwoordelijke van de persoonsgegevens? Geef een beschrijving van het doel of de doeleinden van de verwerking van persoons gegevens. Geef een beschrijving van de categorieën van betrokkenen en persoonsgegevens. Wordt het BSN gebruikt? Dit BSN mag alleen onder strikte voorwaarden worden verwerkt. • Transparantie: wordt de betrokkene informatie verstrekt over uw identiteit, het doel en de bestemming van de persoonsgegevens? Zo ja, wordt deze informatie voorafgaand aan de verkrijging verstrekt? Of op het moment van vastlegging van de gegevens? In de nieuwe Europese verordening worden eisen gesteld aan de wijze waarop u communiceert met betrokkenen. Zo dient uw privacyverklaring straks transparant en eenvoudig toegankelijk te zijn. U dient begrijpelijke zinnen te construeren en moeilijke woorden te vermijden. • Doelbinding: zijn er maatregelen getroffen die waarborgen dat het verwerken van persoonsgegevens plaatsvindt voor de doelen waarvoor ze zijn verkregen? Worden er persoonsgegevens voor andere doeleinden gebruikt dan waarvoor ze zijn verkregen of verzameld?
6 7
Kijk voor een voorbeeld op <www.norea.nl>. Zie website van het CBP onder ‘wetten en zelfregulering’ en dan vervolgens onder ‘Compliance-instrumenten’.
Jaarboek Compliance 2015
335
Ontwikkelingen in wet-en regelgeving
• Rechtmatige grondslag: op welke in de Wbp genoemde grond worden de persoonsgegevens verwerkt? Is sprake van verwerking van bijzondere persoonsgegevens in de zin van artikel 16 Wbp? • Kwaliteit: zijn er maatregelen getroffen om te waarborgen dat de kwaliteit van de gegevens gewaarborgd wordt? Wordt bijvoorbeeld gebruik gemaakt van invoerformulieren of invoerschermen waarmee fouten worden geminimaliseerd? • Rechten van betrokkenen: is er een procedure waarin is beschreven hoe om te gaan met een verzoek van een betrokkene om inzage? Is er een procedure hoe om te gaan met een verzoek tot verbetering, aanvulling, verwijdering of afscherming indien de gegevens feitelijk onjuist zijn? Worden er gegevens verstrekt voor marketingdoeleinden ? • Beveiliging/bewustzijn: in dit verband is het van belang dat u de CBP Richtsnoeren van februari 2013 in acht neemt. Is er beleid voor de beveiliging van persoonsgegevens? Worden alle medewerkers geïnstrueerd over het beveiligingsbeleid? Wordt regelmatig getoetst of medewerkers zich gedragen overeenkomstig het beveiligingsbeleid? • Beveiliging/IT-voorzieningen: hoe wordt gecontroleerd of de maatregelen en procedures ten aanzien van het beveiligingsbeleid in acht zijn genomen bij het ontwikkelen van de software ten behoeve van uw organisatie? Wordt bij de aanschaf/inhuur van apparatuur en systemen rekening gehouden met de benodigde graad van beveiliging? Is het beheer van informatietechnologie gedocumenteerd? • Beveiliging/toegangsbeveiliging: is er vastgelegd wie toegang heeft tot welke bestanden en welke systemen? Is er vastgelegd wie er bevoegd is om een medewerker autorisatie te geven voor de verwerking van persoonsgegevens? Wordt regelmatig gecontroleerd of de operationele situatie overeenkomt met de toegekende autorisatie? • Beveiliging/netwerken: wordt gebruik gemaakt van de beveiligingsmogelijkheden die de betreffende netwerkapparatuur en software bieden (antivirusprogramma en firewalls)? Zijn er maatregelen getroffen om te voorkomen dat medewerkers eigen apparatuur aan het netwerk aansluiten?
336
Jaarboek Compliance 2015
Privacyregels in de praktijk
• Beveiliging/bewaring en vernietiging: worden er back-ups gemaakt van bestanden? Zo ja, is er een back-up cyclus vastgesteld in een procedure? Is er een bewaartermijn van back-ups? Is bij het vernietigen van de persoonsgegevens geregeld dat: I. gegevens niet fysiek aanwezig blijven op de gegevensdragers; II. speciale vernietigingsmethoden worden gehanteerd voor gegevens die op optische media (bijvoorbeeld een disk) zijn vastgelegd; III. het verwijderen van tussen- en testresultaten die bij de gegevensverwerking horen eveneens plaatsvindt; IV. er een administratie wordt bijgehouden van de gegevens die worden vernietigd met daarin vastgelegd door wie de gegevens zijn vernietigd, het tijdstip waarop de gegevens zijn vernietigd en in opdracht van wie de gegevens zijn vernietigd? • Beveiliging/calamiteitenplan: is er een calamiteitenplan? Zo ja, zijn daar dan minimaal de volgende onderwerpen in geadresseerd:
I. preventie van calamiteiten; II. ontruiming; III. continuïteit van de gegevensverwerking; IV. noodvernietiging; V. intern/extern communicatieplan? Wordt het calamiteitenplan regelmatig geactualiseerd? Wordt het plan regelmatig geoefend?
• Niet EER-landen: is er sprake van doorgifte van persoonsgegevens naar landen buiten de EER? Bijvoorbeeld middels het versturen per e-mail van persoonsgegevens? Maar ook bijvoorbeeld omdat een server waar de persoonsgegevens op staan, gesitueerd is in een land buiten de EER. Of omdat de helpdesk van de bewerker is gevestigd in een land buiten de EER en de mensen van de helpdesk bij uw persoonsgegevens kunnen komen. Let u er op dat doorgifte van persoonsgegevens naar andere landen slechts mogelijk is onder bepaalde voorwaarden. In dit verband kunnen binding corporate rules uitkomst bieden. Zoals eerder aangegeven betreft dit vrij complexe materie.
Jaarboek Compliance 2015
337
Ontwikkelingen in wet-en regelgeving
Door het uitvoeren van een PSA komt in mijn optiek de accountability8, zoals bedoeld in de nieuwe Europese verordening, op microniveau tot zijn recht. Uiteraard is het raadzaam om de uitkomsten van de PSA voor te leggen aan de DPO, die vervolgens een aanwijzing kan geven of kan adviseren om de zaken anders te regelen, zodat de regels die gelden wel worden gerespecteerd. Het verdient ook aanbeveling om de medewerkers van de betreffende afdeling vooraf tijdens een workshop uitleg te geven over de PSA en dan met name over de vragen die daarin worden gesteld. Hiermee vergroot u weer het bewustzijn van de medewerkers en hebben de medewerkers niet het gevoel verloren te zijn in het prachtige woud van regels ten aanzien van data privacy. Een dergelijke sessie biedt tevens een uitstekende gelegenheid om best practices met elkaar te delen. Om te waarborgen dat de uitkomsten van de PSA zijn geadresseerd, is het goed om een actielijst te vervaardigen na het uitvoeren van de PSA en deze actielijst voor te leggen aan de DPO. Die kan op zijn/haar beurt de opvolging van de actielijst monitoren. Als op periodieke basis de PSA wordt uitgevoerd en de daaruit voortvloeiende actiepunten op een juiste wijze worden opgevolgd, zou de volwassenheid van uw organisatie, ten aanzien van de implementatie van regels met betrekking tot data privacy, elk jaar moeten groeien. En als er sprake is van een wetswijzing, bijvoorbeeld als straks de nieuwe Europese verordening in werking treedt, dan kunt u eenvoudigweg de onderwerpen en de vragen die daarbij horen toevoegen. De PSA blijft daardoor een levend document, aanpasbaar aan uw organisatie.
Beleidsstukken ten aanzien van de medewerkers Om de kant van de medewerkers niet onbelicht te laten, kunt u nog denken aan een Social Media Policy. In dit stuk bepaalt u als werkgever wat (on)gewenst gedrag is van uw medewerkers op social media. Ik kan mij zo voorstellen dat u het als werkgever niet op prijs zult stellen als een medewerker aan het eind van de dag de tekst twittert: ‘Wat een drukke dag, de beveiliging van onze IT-systemen heeft de hele dag niet gewerkt. Nu eindelijk naar huis, morgen weer een dag met nieuwe kansen’. Verder kunt u nog denken aan privacy-aspecten die kleven aan ‘bring your own device’. Welke zaken wilt u contractueel met de medewerker regelen? Tenslotte dient u de reglementen die gelden voor medewerkers in algemene zin niet uit het vizier te verliezen. Vanwege uw informatieplicht kunt u de medewerkers middels de reglementen nader inlichten over de wijze waarop u de persoonsgegevens van uw medewerkers verwerkt en voor welke doelen.
8
338
In de nieuwe Europese verordening ligt de nadruk meer op ‘accountability’: het benaderen van privacy in termen van governance, risk en compliance.
Jaarboek Compliance 2015
Privacyregels in de praktijk
Inschakelen van een externe jurist gespecialiseerd in data privacy Bij het opstellen en nalezen van de verschillende documenten die ik hierboven heb genoemd, adviseer ik u zich bij te laten staan door een externe jurist die gespecialiseerd is in data privacy. Het is tevens raadzaam u te laten adviseren in hoeverre u verplicht bent om de ondernemingsraad te betrekken bij het vaststellen van uw documenten, die rechtstreeks betrekking hebben op de persoonsgegevens van de medewerkers zelf.
Trainingen op reguliere basis Last but not least: het verdient aanbeveling om een trainingskalender te maken voor alle medewerkers binnen uw organisatie. Vergeet u hier niet de nieuwe medewerkers bij te betrekken. Zo kunt u blijven werken aan het verhogen van het bewustzijn van de medewerkers ten aanzien van data privacy. En, zoals reeds eerder opgemerkt, mijn ervaring is dat dergelijke sessies uitstekend gelegenheden bieden om van elkaar te leren en om best practices met elkaar uit te wisselen. Een ander tool waaraan u kunt denken bij het vergroten van het bewustzijn van uw medewerkers, is het introduceren van een e-learning. Let er dan wel op dat u een partij kiest in de markt die goede kennis heeft van data privacy en het vermogen heeft om deze kennis om te zetten naar praktische vragen voor de medewerkers. Eventueel kan het volgen van de e-learning verplicht worden gesteld voor de (nieuwe) medewerkers. Ik hoop u met dit artikel in de eerste plaats te hebben geënthousiasmeerd om aan de slag te gaan met data privacy binnen uw organisatie. In de tweede plaats hoop ik u zowel ten aanzien van de huidige wetgeving als voor aankomende Europese regelgeving, enkele praktische aanknopingspunten te hebben aangereikt waar u iets mee kunt om aan de slag te gaan binnen uw organisatie. De vragen die ik hier en daar heb gesteld zijn vooral bedoeld om het denkproces bij u op gang te brengen. Bovenal hoop ik dat u zich realiseert dat u niet in uw eentje er voor kunt zorgen dat uw organisatie compliant is. U heeft hierbij anderen nodig.
Jaarboek Compliance 2015
339