De Privacy Baseline/Considerans
Considerans[bewerken]
Met het doel informatie-uitwisseling en kennisdeling te bevorderen, wil CIP onder andere 'good practices' ter beschikking stellen. Dit kunnen praktijkvoorbeelden zijn, handreikingen voor beleid, beschrijvingen van de stand van zaken in bepaalde ontwikkelingen, en dergelijke. De herkomst is van oorsprong een reflectie op een onderwerp door mensen in de CIP-kring, maar het kunnen ook notities zijn uit de praktijk van de CIP-organisaties die zonder verder commentaar worden gepubliceerd. De kern is dat de bijdragen altijd zijn gebaseerd op de expertise van de opstellers en deelnemende reviewers en/of het idee dat wat in één organisatie goed werkt, ook voor andere organisaties nuttig zou kunnen zijn. Soms is het resultaat dus de uitkomst van een groepsproces en in andere gevallen wordt iets 'as is' ter kennisneming of overname aangeboden. CIP heeft categorieën geformuleerd waarmee reikwijdte, intentie, status en/of draagvlak van CIP-publicaties wordt aangegeven. Deze publicatie valt in categorie 2: "becommentarieerde praktijk: een door meerdere professionals veralgemeniseerde praktijk als handreiking voor hergebruik binnen geïnteresseerde organisaties". Een nadere uitleg hiervan staat op www.cip-overheid.nl.
De CIP-documenten hebben geen ander doel dan kennisoverdracht en reflecteren niet noodzakelijk de opvattingen van alle contribuanten, CIP-deelnemers en/of alle CIP-partijen. Publicatie vindt plaats op zowel de openbare website www.cip-overheid.nl als de besloten community site cip.pleio.nl.
CIP-documenten kunnen van tijd tot tijd aanpassingen ondergaan of worden ingetrokken als gevolg van veranderde inzichten. De CIP-redactie streeft binnen haar mogelijkheden naar een zo actueel mogelijke status van de documenten. In de praktijk zal enige tijd verstrijken voordat wijzigingen kunnen zijn doorgevoerd. Suggesties voor aanpassingen kunnen ook door lezers worden aangedragen en worden altijd in behandeling genomen.
Bij deze publicatie[bewerken]
Voor definities en achtergronden van de Privacy Baseline wordt primair verwezen naar de privacywetgeving, i.e. de Algemene verordening gegevensbescherming, De Uitvoeringswet Avg en het Memorie van Toelichting daarbij, secundair naar de publicaties van de Artikel 29-werkgroep en publicaties van de Autoriteit Persoonsgegevens.
In de Privacy Baseline wordt de privacywetgeving zo consciëntieus mogelijk vertaald naar concrete aanwijzingen of perspectieven voor handelen met als doel daarmee aan die wetgeving te kunnen voldoen alsmede een verantwoorde belangenafweging daarvoor te kunnen maken. De samenstellers zijn daarbij uitgegaan van wat bij het schrijven van de teksten praktisch en volgens de vigerende inzichten en beschikbare kennisbronnen juist werd geacht te zijn. Voortschrijdend inzicht, jurisprudentie en mogelijk aanpassing van de wetgeving zullen hierop in de toekomst aanleiding tot herziening, aanvulling of aanpassing zijn.
Vooraf[bewerken]
Het kan voor organisaties een uitdaging zijn om op een juiste manier met persoonsgegevens om te gaan. Wat, waar, door wie en op welke wijze zaken geregeld moeten worden om privacy op een juiste wijze te waarborgen is voor (medewerkers van) organisaties niet altijd duidelijk. Dit is waarom de Privacy Baseline is ontwikkeld: de Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen van de Algemene verordening gegevensbescherming (Avg) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen.
De eerste editie van de Baseline heeft de Wet bescherming persoonsgegevens (Wbp) als uitgangspunt. Dat document (versie 2.0) is geldig tot 25 mei 2018. Op die datum komt de huidige nationale Wbp te vervallen en hebben organisaties zich te houden aan de Europese Avg. De Uitvoeringswet Algemene verordening gegevensbescherming en het Memorie van toelichting maken onderdeel uit van een breder pakket dat in zijn geheel de verordening EU/2016/679 en de richtlijn EU/2016/680 zal uitvoeren respectievelijk implementeren[1].
Déze editie van de Baseline (Versie 3.0) is de eerste versie die de Algemene verordening gegevensbescherming (Avg) als uitgangspunt neemt. De Avg is de eerste Europese privacywet en is op 26 mei 2016 in werking getreden. Aan de verordening is vijf jaar is gewerkt en zij bevat nog veel concessies aan de lidstaten.
Vooralsnog wordt deze nadere uitwerking aan de Nationale wetgeving van de lidstaten overgelaten. Voor Nederland krijgt dit vorm in een uitvoeringswet bij de Avg. Deze wet vult de plaatsen in die in de Europese Avg aan de lidstaten ter invulling zijn overgelaten. De ambitie van CIP is om deze Baseline hiermee uiteindelijk volledig te laten overeenkomen. In dit document verwijzen wij naar deze uitvoeringswet plus de memorie van toelichting als: de Uitvoeringswet Avg.
Het format van de Privacy Baseline is dat van de normenkaders, zoals die al jaren in het domein van informatiebeveiliging worden gebruikt. Het is een 'normenkader privacy' geworden en dat maakt het niet direct een gemakkelijk leesbaar document. Het is eerder een naslagwerk waarmee de verwerkingsverantwoordelijke kan controleren in hoeverre hij aan privacy wet- en regelgeving voldoet en afwegingen kan maken bij die zaken die hem daarvoor - volgens de Baseline - nog te doen staan.
Grip op privacy[bewerken]
De Privacy Baseline is onderdeel van een set van samenhangende documenten onder de noemer 'Grip op privacy'. Naast deze Baseline heeft het CIP nog de volgende vier daarop geënte documenten gepubliceerd:
- Privacy by Design
- Privacy Governance
- Het Privacy Volwassenheidsmodel
- Het Privacy Self Assessment
De eerste twee documenten zijn handreikingen voor het toepassen van de juiste maatregelen en het inrichten van de organisatie waarmee "Grip op privacy" op de meest efficiënte en effectieve wijze kan worden bereikt. Het zijn toelichtende verhandelingen over:
- Hoe je kunt bewerkstelligen dat het aspect privacy niet achteraf nog eens moet worden 'bijgeplakt', maar van begin af aan in de ontwikkeling van programmatuur wordt meegenomen (privacy by design).
- Hoe je privacy in alle relevante bedrijfsprocessen implementeert, borgt, kunt onderhouden en verbeteren (governance).
Bij deze Baseline hoort een speciaal daarop gebaseerd volwassenheidsmodel. Door privacy actief te hanteren als kwalitatief element in de bedrijfsvoering, kunnen organisaties privacy benutten om de dienstverlening aan klanten op een hoger peil te brengen (privacy als 'unique selling point') en zo naar een hoger niveau van volwassenheid te komen. Dit aspect wordt ter hand genomen in het document 'Privacy Volwassenheidsmodel', een praktische handleiding voor het vaststellen en vergroten van de organisatievolwassenheid in relatie tot de omgang met persoonsgegevens.
Het Privacy volwassenheidsmodel is tevens een referentiemodel, afgeleid van gangbare 5-laagse volwassenheidsmodellen. Het model specificeert 5 niveaus op het aspect van privacy op basis van de mate waaraan voldaan wordt aan de dertien criteria van de Privacy Baseline. Hoe volwassen gaat de organisatie met privacy om? Welk niveau wil de organisatie nastreven en wat is daarvoor nodig? Op deze vragen geeft het Privacy self assessment tool (PriSa) antwoorden. Het tool geeft aan wat nog te doen staat om het (aan het begin zelf gekozen) beoogde volwassenheidsniveau te bereiken.
Grip op privacy biedt concrete handvatten om de juiste omgang met persoonsgegevens te bewerkstelligen, te waarborgen en het privacybeleid passend, effectief en efficiënt in te passen in de bedrijfsvoering. Het gaat niet om de normen. Het gaat erom de ACT principes: Afscherming, Corrigeerbaarheid en Transparantie te realiseren en daarmee de betrokkene maximaal te respecteren in zijn privacy. Dit wordt verderop in het document uitgebreid behandeld. Draagvlak door brede inbreng uit het CIP-netwerk De methode 'Grip op Privacy' en de afzonderlijke documenten daarvan zijn tot stand gekomen door nauwe samenwerking met en tussen verschillende partijen in het CIP-netwerk. De auteurs danken alle CIP-ers, geïnterviewde deskundigen, leden van de CIP Domeingroep Privacy, de Werkgroep Pb2Avg en de Werkgroep Privacy By Design, die een bijdrage hebben geleverd aan het samenstellen van de methode. Hun bijdragen en het gegeven dat een breed palet van organisaties hen daartoe in staat stelt, geven de auteurs het vertrouwen dat de methode 'Grip op privacy' voldoende draagvlak heeft voor een brede toepassing en verdere ontwikkeling.
Over CIP[bewerken]
CIP is het Centrum voor informatiebeveiliging en privacybescherming van, voor en door overheidsorganisaties. Het heeft zich ontwikkeld tot een publiek-private netwerkorganisatie, waarin ook gespecialiseerde marktorganisaties als kennispartners deelnemen. Het centrum is opgericht voor informatie-uitwisseling en kennisdeling ter verbetering van de informatieveiligheid van de overheidsdienstverlening. Inmiddels bestaat het CIP-netwerk uit een groot aantal overheidsorganisaties en (private) kennispartners. Kennis die in deze organisaties aanwezig is op het vlak van informatiebeveiliging en privacybescherming wordt binnen de samenwerking in CIP-verband op verschillende manieren gedeeld en toegankelijk gemaakt.
Het produceren van themadocumenten met zoveel mogelijk inbreng vanuit het netwerk is er één van. Aangesloten organisaties leren van elkaars oplossingen en werkwijzen en kunnen samen komen tot afspraken daaromtrent. Door meer samen doen draagt het CIP ook bij aan het optimaal gebruik van overheidsmiddelen. De producten van het CIP worden om niet ter beschikking gesteld.
Amsterdam, 17 oktober 2017
Voetnoot[bewerken]
- ↑ uitvoeringswet betreft de regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevens-bescherming) (PbEU 2016, L 119).
[[Categorie: