De Privacy Baseline/Inleiding en leeswijzer

Uit NORA Online
< De Privacy Baseline
Versie door Jbreeman (overleg | bijdragen) op 8 jan 2018 om 10:52
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Deze pagina is deel van ISOR (Information Security Object Repository).
Onderdeel van versie 3.1 van de Privacy Baseline
Publicatie op 16 oktober 2017.

Alle teksten bij de Privacy Baseline:

Inleiding[bewerken]

Eind 2014 kreeg CIP uit de CIP community de vraag om eens op te schrijven "hoe dat nou moet, met die privacy". De vraag was niet uit voortgekomen uit naïviteit, maar uit de wirwar aan informatie en opvattingen over privacy.

Het antwoord hebben we gezocht in de pragmatiek: pak privacy bij de kop zoals organisaties en bedrijven ermee zouden moeten werken. Daarvoor gelden immers wetten en voorschriften en de discussie over óf het moet en wát moet is dus al gepasseerd. Met de overgang van de Wet bescherming persoonsgegevens naar de Algemene verordening gegevensbescherming (Avg) is op dat laatste punt overigens nog niet alles duidelijk ingevuld. Deze Baselineversie zal daarom nog de nodige aanpassingen moeten krijgen, maar dat heeft het CIP niet belet om de huidige versie alvast beschikbaar te stellen als een bijdrage aan het streven van organisaties om de omgang met persoonsgegevens op een verantwoorde manier in te regelen.

Alle andere, overigens zeer interessante bespiegelingen die mogelijk zijn over het privacybegrip, begeven zich op terreinen van filosofie, sociologie en psychologie, kennen persoonlijke opvattingen en emoties en zijn plaats-, tijd- en cultuurgebonden. De Avg inclusief de Uitvoeringswet Avg en de daarbij horende Memorie van toelichting (Mvt) vormen de geldende privacykaders en wat je er ook van vindt, daaraan heb je als bedrijf of organisatie te voldoen.

Informationele privacy als uitgangspunt[bewerken]

Organisaties kunnen ervoor kiezen om 'slechts' te voldoen aan de wet. Maar de Privacywetgeving is niet uitsluitend een hinderpaal. Door verantwoord en efficiënt om te gaan met privacy en de balans te vinden tussen wetgeving, de taakstelling van de organisatie en de persoonlijke levenssfeer van betrokkenen, is 'privacy' ook als een kwaliteitskenmerk ten voordele te benutten. Er zijn al commerciële bedrijven die hun privacybeleid bewust in hun marketing etaleren. Overheidsorganisaties moeten in dit opzicht bij uitstek het goede voorbeeld geven. In dit verband is het zeker nuttig om ook naar de niet-wettelijke aspecten van privacy te kijken en te weten hoe klanten 'privacy' ervaren. In de andere documenten van Grip op privacy besteden we daar ook aandacht aan. Als je als organisatie transparant en concreet wilt zijn over je beleid en als je en passant ook netjes wil voldoen aan de wettelijke vereisten om boetes, imagoschade en schadeclaims te voorkomen, dan moet je proactief werk maken van het type privacy dat informationele privacy wordt genoemd.

Informationele privacy gaat over het beschermen van personen in relatie tot informatie die van of over hen bekend is en/of ten aanzien van hen wordt toegepast. Dit wordt ook wel bescherming van persoonsgegevens (of: gegevensbescherming) genoemd en is verankerd in de Grondwet en verder uitgewerkt in de Avg en de Uitvoeringswet Avg.  

De doelstelling van deze Privacy Baseline[bewerken]

De Privacy Baseline vertaalt de privacywetgeving naar concrete, hanteerbare normen die duidelijk aangeven waar organisaties wat moeten regelen in hun privacybeleid, de uitvoering en de controle erop; de Privacy Baseline biedt concrete handvatten voor een juiste omgang met persoonsgegevens.

Correct omgaan met persoonsgegevens houdt in dat de organisatie voldoet aan de doelstellingen van Afscherming, Corrigeerbaarheid en Transparantie. Deze doelstellingen helpen bij het adequaat borgen van de informationele privacy van betrokkenen en helpen de organisatie rode kaarten, bindende aanwijzingen en/of boetes vanuit de Autoriteit Persoonsgegevens (hierna: AP) te voorkomen. De Baseline is bij uitstek ook het hulpmiddel dat organisaties in staat stelt te voldoen aan de vereisten voor 'accountability', in de Nederlandstalige Avg 'verantwoordingsplicht' genoemd, die inhoudt dat naleving van de wet moet kunnen worden aangetoond. Verantwoordingsplicht impliceert documentatieplicht en ook die vereiste is concreet in de Baseline verwerkt.

Leeswijzer[bewerken]

In Deel I worden de beginselen van informationele privacy behandeld (de ACT-doelen) in relatie tot de wet. Zij geven de criteria in Deel II een verband en context. De Baseline zelf (Deel II: De Privacy Baseline: De Privacy Baseline) bevat de normen of 'criteria' die moeten worden gehaald, 13 stuks in totaal.

Voor wie is de Privacy Baseline geschreven?[bewerken]

De verwerkingsverantwoordelijke heeft vanuit de Avg de opdracht om te bepalen of en hoe persoonsgegevens verwerkt mogen worden. De Privacy Baseline is een naslagwerk dat hem in staat stelt te controleren in hoeverre de verwerking aan de wet voldoet. Daaruit volgt eigenlijk al dat de Privacy Baseline een document is voor professionals die hands-on in de organisatie werken aan privacymaatregelen en de borging van en de controle op die maatregelen en voor hen die daar leiding aan geven. Zoals de Baseline helpt bij de realisatie van de documentatie- en verantwoordingsplicht ten behoeve van de controlerende autoriteit of de vragende burger, zo kan natuurlijk ook de interne rapportage ten behoeve van de verantwoordingsplicht ermee geholpen zijn.

Deel II: De Privacy Baseline[bewerken]

De Privacy Baseline is verdeeld in de volgende drie delen:

  1. het Privacybeleid van organisaties (2.1 Het beleidsdomein);
  2. de eisen aan de uitvoering van de Avg (2.2 Het uitvoeringsdomein), en:
  3. controle/beheer van het privacybeleid (2.3Het Control- of Beheerdomein).

Het geheel beschrijft welke concrete eisen worden gesteld aan organisaties bij de omgang met persoonsgegevens.

Deze Privacy Baseline beoogt zo concreet mogelijk aan te geven wat een organisatie moet doen om te voldoen aan de privacywetgeving. Wij hebben dat ingevuld door de wetgeving naar concrete ondubbelzinnige normen te vertalen. Een privacy-normenkader dus. De ingevoerde lezer, de (privacy) professional die thuis is in de informatiebeveiliging, zal het format van de Privacy Baseline herkennen en 'normen' op waarde weten te schatten en naar de praktijk weten te vertalen.

Wie zich eerst beter wil inlezen of verdieping zoekt, raadpleegt de twee handleidingen: 'Privacy by design' en 'De borging van privacy in organisaties' ('Privacy Governance').

De Baseline is een gids voor omgang met persoonsgegevens, maar kan niet als vervanger van de wet worden beschouwd. Nauwkeurige naleving van de Baseline brengt een organisatie echter wél naar het privacyvolwassenheidsniveau 3; dit niveau is doorgaans voldoende om de compliancy-toets te doorstaan. Wij komen over de volwassenheidsniveaus nog te spreken.  

Reikwijdte van dit document[bewerken]

Deze Baseline richt zich op de eisen die de privacywetgeving stelt aan organisaties en wat organisaties moeten doen. De bevoegdheden van de Nederlandse toezichthouder - de AP - en de eisen die de wet aan de AP stelt vallen buiten de scope van dit document.

Over de AP nog dit: de Avg spreekt consequent over "de bevoegde toezichthoudende autoriteit". Dat moet, omdat het kan voorkomen dat de toezichthouder die een overtreding behandelt niet altijd de toezichthouder voor het land is waar de overtreding is geconstateerd. Tenzij de context anders vereist spreken wij hierna van de AP als de bevoegde toezichthoudende autoriteit.

Sectorspecifieke wet- en regelgeving[bewerken]

Organisaties die persoonsgegevens willen of moeten verwerken, moeten in sommige gevallen (ook) voldoen aan sectorspecifieke wetgeving. Denk aan de Telecommunicatiewet of de voorschriften voor financiële instellingen. Zoals de Avg naar specifieke lidstatelijke wet- en regelgeving verwijst maar niet feitelijk behandelt, zo houdt ook de Baseline Privacy géén rekening met eventueel van toepassing zijnde sectorspecifieke wet- en regelgeving.

Wanneer is de Baseline van toepassing?[bewerken]

De Privacy Baseline is van toepassing op organisaties die met persoonsgegevens werken. Ga, alvorens te beginnen met deze Baseline, het volgende na:

Vraag 1: Wil/moet ik persoonsgegevens verwerken? (Een persoonsgegeven bevat informatie over een geïdentificeerde of identificeerbare natuurlijke, levende persoon). Persoonsgegevens kunnen direct of indirect identificeerbaar zijn, zie hiervoor §1.3.3.

Een verwerking is een bewerking of een geheel van bewerkingen met betrekking tot (een) persoons-gegeven(s) en is een zeer breed begrip (zie §1.3.1).

Is het antwoord 'nee', dan is de Avg - en dus deze Baseline - niet van toepassing.

Vraag 2: Kan ik deze verwerking baseren op een van de rechtmatige gronden van de privacywetgeving het criterium U.01 Doelbinding gegevensverwerking (§2.2.1).

Is het antwoord op vraag 1 'ja', maar is het antwoord op vraag 2 'nee', dan mag u geen persoonsgegevens verwerken.

Aan deze vragen ligt het centrale uitgangspunt van de Avg ten grondslag dat persoonsgegevens slechts mogen worden verwerkt als het doel van de verwerking redelijkerwijs niet op een andere wijze kan worden verwezenlijkt. Dit houdt concreet in dat je persoonsgegevens alleen mag verwerken als de gegevens noodzakelijk zijn om het beoogde doel te bereiken. Ga dus altijd na of het doel ook bereikt kan worden zonder dat gegevens gebruikt worden die te herleiden zijn tot een natuurlijke persoon.

Wijzigingen in versie 3.0[bewerken]

In versie 3.0 is de Baseline aangepast aan de gewijzigde privacywetgeving die van toepassing is per 25 mei 2018. Dit document is geschreven vanuit de kennis van de wetgeving per april 2017; met name de Uitvoeringswet Avg is dan nog niet definitief. Ook zijn de baselinecriteria 'gesaneerd' en is het aantal teruggebracht tot 13. Van een 'trendbreuk' is echter geen sprake.  

Wijzigingen in versie 3.1[bewerken]

In deze versie zijn hoofdzakelijk spelfouten verwijderd en formuleringen aangepast. Dit laatste ook met het oog op geschiktheid voor publicatie in de Nora-wiki.

Naslagliteratuur[bewerken]

De feitelijke tekst van de verordening, waarin de overwegingen en artikelen ongerelateerd achter elkaar worden neergezet, is nogal gebruikersonvriendelijk. Even zoeken op internet met "GDPR" (General Data Protection Regulation) levert een reeks aan titels op die in dit opzicht soelaas bieden. Wij noemen enkele . Deze publicaties zijn niet vrijelijk te verkrijgen:

Deze verwijzingen komen uit de CIP-publicatie "20170425 Tussen Wbp en Avg, over de invoering van de Avg" (april 2017), te vinden op www.cip-overheid.nl. Op deze site vind je ook alle documenten van de methode 'Grip op privacy'.

Colofon[bewerken]

Deze versie van de Privacy Baseline is mede tot stand gekomen dankzij de slagvaardigheid van de Werkgroep PB2Avg (2017), die de realisatie van de nieuwe Baseline als project heeft geadopteerd. De werkgroep is ontstaan als een initiatief vanuit de Domeingroep Privacy en zal nog actief blijven totdat een 'definitieve' versie is gemaakt op basis van een vastgestelde Uitvoeringswet Avg - naar verwachting dus nog tot uiterlijk eind mei 2018.

De Domeingroep en de Werkgroep zijn samengesteld uit professionals die bij elkaar een breed palet van organisaties uit het CIP-netwerk bijeen brengen. Zonder anderen te kort te willen doen, zijn bij deze productie in het bijzonder te noemen: Barry Bastiaansen (Min.BZK), Leo Benschop (ControlSolutions International), Remy van den Boom (IND/MinV&J), Patrick Dersjant (RWS), Meine van Essen (RWS), Ludwig Geers (UvT), Jan de Heer (NOREA), Marcia van den Hil (CBR), Ted Mos (DJI/MinV&J|TBM Groep), Daniëlle Oudhuis (Hoogheemraadschap Hollands Noorderkwartier), Annemarie Paalhaar (CompLions) en Herman Weenink (IBM). Het werk van Marjon Mertens van het BKWI heeft ons een hele goede start gegeven; Jan Breeman (CIP) tekende voor een extra redactieslag en de omzetting naar een Excel document, waarmee de NORA-wiki gevoed kan worden.

Het CIP is tevens dank verschuldigd aan de vele organisaties en hun afgevaardigden die betrokken zijn geweest bij de eerste editie van de Privacy Baseline (versies 1 en 2). Hoewel de samenstelling van de huidige groep contribuanten uit het CIP-netwerk een heel andere is, blijft de oorspronkelijke Baseline zeer herkenbaar en in de kern volledig overeind in deze nieuwe editie.

Verantwoordelijk voor de eindredactie en het publicatieklaar maken zijn Ruud de Bruijn en Marcel Koers. Reacties kun je sturen naar [ruud.cip.debruijn@uwv.nl].

Amsterdam, 17 oktober 2017

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Overgenomen van "https://www.noraonline.nl/index.php?title=De_Privacy_Baseline/Inleiding_en_leeswijzer&oldid=25160"