De Privacy Baseline/Inleiding

Uit NORA Online
< De Privacy Baseline
Versie door Jdirks2 (Overleg | bijdragen) op 27 jun 2018 om 19:09 (hoofdlettergevoelig)

(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Alle hoofdstukken bij De Privacy Baseline:

Inleiding

Eind 2014 kreeg het Centrum Informatiebeveiliging en Privacybescherming (CIP) uit de CIP community de vraag voorgelegd om eens op te schrijven "hoe dat nou moet, met die privacy". De vraag was niet uit voortgekomen uit naïviteit, maar uit de wirwar aan informatie en opvattingen over privacy.

Het antwoord hebben we gezocht in de pragmatiek: pak privacy bij de kop zoals organisaties en bedrijven ermee zouden moeten werken. Daarvoor gelden immers wetten en voorschriften en de discussie over óf het moet en wát moet is dus al gepasseerd. Met de overgang van de Wet bescherming persoonsgegevens naar de Algemene verordening gegevensbescherming (Avg) is op dat laatste punt overigens nog niet alles duidelijk ingevuld. Deze Baselineversie zal daarom nog de nodige aanpassingen moeten krijgen, maar dat heeft het CIP niet belet om de huidige versie alvast beschikbaar te stellen als een bijdrage aan het streven van organisaties om de omgang met persoonsgegevens op een verantwoorde manier in te regelen.

Andere, overigens zeer interessante bespiegelingen die mogelijk zijn over het privacybegrip, begeven zich op terreinen van filosofie, sociologie en psychologie, kennen persoonlijke opvattingen en emoties en zijn plaats-, tijd- en cultuurgebonden. De Avg inclusief de Uitvoeringswet Avg en de daarbij horende Memorie van toelichting (Mvt) vormen de geldende privacykaders en wat je er ook van vindt, daaraan heb je als bedrijf of organisatie te voldoen[1][2].

Informationele privacy als uitgangspunt

Organisaties kunnen ervoor kiezen om 'slechts' te voldoen aan de wet. Maar de Privacywetgeving is niet uitsluitend een hinderpaal. Door verantwoord en efficiënt om te gaan met privacy en de balans te vinden tussen wetgeving, de taakstelling van de organisatie en de persoonlijke levenssfeer van betrokkenen, is 'privacy' ook als een kwaliteitskenmerk ten voordele te benutten. Er zijn al commerciële bedrijven die hun privacybeleid bewust in hun marketing etaleren. Overheidsorganisaties moeten in dit opzicht bij uitstek het goede voorbeeld geven. In dit verband is het zeker nuttig om ook naar de niet-wettelijke aspecten van privacy te kijken en te weten hoe klanten 'privacy' ervaren. In de andere documenten van Grip op privacy besteden we daar ook aandacht aan. Als je als organisatie transparant en concreet wilt zijn over je beleid en als je en passant ook netjes wil voldoen aan de wettelijke vereisten om boetes, imagoschade en schadeclaims te voorkomen, dan moet je proactief werk maken van het type privacy dat informationele privacy wordt genoemd.

Informationele privacy gaat over het beschermen van personen in relatie tot informatie die van of over hen bekend is en/of ten aanzien van hen wordt toegepast.[3] Dit wordt ook wel bescherming van persoonsgegevens (of: gegevensbescherming) genoemd en is verankerd in de Grondwet[4] en verder uitgewerkt in de Avg en de Uitvoeringswet Avg.  

De doelstelling van deze Privacy Baseline

De Privacy Baseline vertaalt de privacywetgeving naar concrete, hanteerbare normen die duidelijk aangeven waar organisaties wat moeten regelen in hun privacybeleid, de uitvoering en de controle erop; de Privacy Baseline biedt concrete handvatten voor een juiste omgang met persoonsgegevens.

Correct omgaan met persoonsgegevens houdt in dat de organisatie voldoet aan de doelstellingen van Afscherming, Corrigeerbaarheid en Transparantie. Deze doelstellingen helpen bij het adequaat borgen van de informationele privacy van betrokkenen en helpen de organisatie rode kaarten, bindende aanwijzingen en/of boetes vanuit de Autoriteit Persoonsgegevens (hierna: AP) te voorkomen. De Baseline is bij uitstek ook het hulpmiddel dat organisaties in staat stelt te voldoen aan de vereisten voor 'accountability', in de Nederlandstalige Avg 'verantwoordingsplicht' genoemd, die inhoudt dat naleving van de wet moet kunnen worden aangetoond. Verantwoordingsplicht impliceert documentatieplicht en ook die vereiste is concreet in de Baseline verwerkt.

Leeswijzer

In Deel I worden de beginselen van informationele privacy behandeld (de ACT-doelen) in relatie tot de wet. Zij geven de criteria in Deel II een verband en context. De Baseline zelf (Deel II: De Privacy Baseline: De Privacy Baseline) bevat de normen of 'criteria' die moeten worden gehaald, 13 stuks in totaal.

Voor wie is de Privacy Baseline geschreven?

De verwerkingsverantwoordelijke heeft vanuit de Avg de opdracht om te bepalen of en hoe persoonsgegevens verwerkt mogen worden. De Privacy Baseline is een naslagwerk dat hem in staat stelt te controleren in hoeverre de verwerking aan de wet voldoet. Daaruit volgt eigenlijk al dat de Privacy Baseline een document is voor professionals die hands-on in de organisatie werken aan privacy-maatregelen en de borging van en de controle op die maatregelen en voor hen die daar leiding aan geven. Zoals de Baseline helpt bij de realisatie van de documentatie- en verantwoordingsplicht ten behoeve van de controlerende autoriteit of de vragende burger, zo kan natuurlijk ook de interne rapportage ten behoeve van de verantwoordingsplicht ermee geholpen zijn.

Deze Privacy Baseline beoogt zo concreet mogelijk aan te geven wat een organisatie moet doen om te voldoen aan de privacywetgeving. Wij hebben dat ingevuld door de wetgeving naar concrete ondubbelzinnige normen te vertalen. Een privacy-normenkader dus. De ingevoerde lezer, de (privacy) professional die thuis is in de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen., zal het format van de Privacy Baseline herkennen en 'normen' op waarde weten te schatten en naar de praktijk weten te vertalen.

Wie zich eerst beter wil inlezen of verdieping zoekt, raadpleegt de twee handleidingen: 'Privacy by design' en 'De borging van privacy in organisaties' ('Privacy Governance')[5].

De Baseline is een gids voor omgang met persoonsgegevens, maar kan niet als vervanger van de wet worden beschouwd. Nauwkeurige naleving van de Baseline brengt een organisatie echter wél naar het privacy-volwassenheidsniveau 3; dit niveau is doorgaans voldoende om de compliancy-toets te doorstaan. Wij komen over de volwassenheidsniveaus nog te spreken.

Deel II: De Privacy Baseline

De Privacy Baseline is verdeeld in de volgende drie delen:

  1. het Privacybeleid van organisaties (2.1 Het beleidsdomein);
  2. de eisen aan de uitvoering van de Avg (2.2 Het uitvoeringsdomein), en:
  3. controle/beheer van het privacybeleid (2.3 Het Control- of Beheerdomein).

Het geheel beschrijft welke concrete eisen worden gesteld aan organisaties bij de omgang met persoonsgegevens.

Deze Privacy Baseline beoogt zo concreet mogelijk aan te geven wat een organisatie moet doen om te voldoen aan de privacywetgeving. Wij hebben dat ingevuld door de wetgeving naar concrete ondubbelzinnige normen te vertalen. Een privacy-normenkader dus. De ingevoerde lezer, de (privacy) professional die thuis is in de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen., zal het format van de Privacy Baseline herkennen en 'normen' op waarde weten te schatten en naar de praktijk weten te vertalen.

Wie zich eerst beter wil inlezen of verdieping zoekt, raadpleegt de twee handleidingen: 'Privacy by design' en 'De borging van privacy in organisaties' ('Privacy Governance').

De Baseline is een gids voor omgang met persoonsgegevens, maar kan niet als vervanger van de wet worden beschouwd. Nauwkeurige naleving van de Baseline brengt een organisatie echter wél naar het privacyvolwassenheidsniveau 3; dit niveau is doorgaans voldoende om de compliancy-toets te doorstaan. Wij komen over de volwassenheidsniveaus nog te spreken.  

Reikwijdte van dit document

Deze Baseline richt zich op de eisen die de privacywetgeving stelt aan organisaties en wat organisaties moeten doen. De bevoegdheden van de Nederlandse toezichthouder - de AP - en de eisen die de wet aan de AP stelt vallen buiten de scope van dit document.

Over de AP nog dit: de Avg spreekt consequent over "de bevoegde toezichthoudende autoriteit". Dat moet, omdat het kan voorkomen dat de toezichthouder die een overtreding behandelt niet altijd de toezichthouder voor het land is waar de overtreding is geconstateerd. Tenzij de context anders vereist spreken wij hierna van de AP als de bevoegde toezichthoudende autoriteit.

Sectorspecifieke wet- en regelgeving

Organisaties die persoonsgegevens willen of moeten verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., moeten in sommige gevallen (ook) voldoen aan sectorspecifieke wetgeving. Denk aan de Telecommunicatiewet of de voorschriften voor financiële instellingen. Zoals de Avg naar specifieke lidstatelijke wet- en regelgeving verwijst maar niet feitelijk behandelt, zo houdt ook de Baseline Privacy géén rekening met eventueel van toepassing zijnde sectorspecifieke wet- en regelgeving.

Wanneer is de Baseline van toepassing?

De Privacy Baseline is van toepassing op organisaties die met persoonsgegevens werken. Ga, alvorens te beginnen met deze Baseline, het volgende na:

Vraag Antwoord
Vraag 1 Wil/moet ik persoonsgegevens verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.? (Een persoonsgegeven bevat informatie over een geïdentificeerde of identificeerbare natuurlijke, levende persoon). Persoonsgegevens kunnen direct of indirect identificeerbaar zijn, zie hiervoor §1.3.3.

Een verwerking is een bewerking of een geheel van bewerkingen met betrekking tot (een) persoonsgegeven(s) en is een zeer breed begrip (zie §1.3.1).

Is het antwoord 'nee', dan is de Avg - en dus deze Baseline - niet van toepassing.
Vraag 2 Kan ik deze verwerking baseren op een van de rechtmatige gronden van de privacywetgeving het criterium U.01 Doelbinding gegevensverwerking (§2.2.1). Is het antwoord op vraag 1 'ja', maar is het antwoord op vraag 2 'nee', dan mag u geen persoonsgegevens verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens..

Aan deze vragen ligt het centrale uitgangspunt van de Avg ten grondslag dat persoonsgegevens slechts mogen worden verwerkt als het doel van de verwerking redelijkerwijs niet op een andere wijze kan worden verwezenlijkt. Dit houdt concreet in dat je persoonsgegevens alleen mag verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. als de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd noodzakelijk zijn om het beoogde doel te bereiken. Ga dus altijd na of het doel ook bereikt kan worden zonder dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd gebruikt worden die te herleiden zijn tot een natuurlijke persoon.

Wijzigingen in versie 3.0

In versie 3.0 is de Baseline aangepast aan de gewijzigde privacywetgeving die van toepassing is per 25 mei 2018. Dit document is geschreven vanuit de kennis van de wetgeving per april 2017; met name de Uitvoeringswet Avg is dan nog niet definitief. Ook zijn de baselinecriteria 'gesaneerd' en is het aantal teruggebracht tot 13. Van een 'trendbreuk' is echter geen sprake.  

Wijzigingen in versie 3.1

In deze versie zijn hoofdzakelijk spelfouten verwijderd en formuleringen aangepast. Dit laatste ook met het oog op geschiktheid voor publicatie in de Nora-wiki[6].

Naslagliteratuur

De feitelijke tekst van de verordening, waarin de overwegingen en artikelen ongerelateerd achter elkaar worden neergezet, is nogal gebruikersonvriendelijk. Even zoeken op internet met "GDPR" (General Data Protection Regulation) levert een reeks aan titels op die in dit opzicht soelaas bieden. Wij noemen enkele . Deze publicaties zijn niet vrijelijk te verkrijgen:

Deze verwijzingen komen uit de CIP-publicatie "20170425 Tussen Wbp en Avg, over de invoering van de Avg" (april 2017), te vinden op https://www.cip-overheid.nl. Op deze site vind je ook alle documenten van de methode 'Grip op privacy'.

Voetnoten

  1. Wij verwijzen naar deze Uitvoeringswet plus de Mvt als: de Uitvoeringswet Avg.
  2. Bedrijven en organisaties: wij hanteren 'organisatie' voor beide aanduidingen in de publieke en private sectoren.
  3. S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens via internet, SDU Uitgevers, Den Haag, 2005, p.19.
  4. Art. 10 lid 2 van de Grondwet.
  5. Beide publicaties zijn te vinden op www.cip-overheid.nl.
  6. Nederlandse Overheid Referentie Architectuur, https://www.noraonline.nl/wiki/NORA_online.

Colofon

Deze versie van de Privacy Baseline is mede tot stand gekomen dankzij de slagvaardigheid van de Werkgroep PB2AVG (2017), die de realisatie van de nieuwe Baseline als project heeft geadopteerd. De werkgroep is ontstaan als een initiatief vanuit de Domeingroep Privacy en zal nog actief blijven totdat een 'definitieve' versie is gemaakt op basis van een vastgestelde Uitvoeringswet Avg - naar verwachting tot uiterlijk eind 2018.

De Domeingroep en de Werkgroep zijn samengesteld uit professionals die bij elkaar een breed palet van organisaties uit het CIP-netwerk bijeen brengen. Zonder anderen te kort te willen doen, zijn bij deze productie in het bijzonder te noemen: Barry Bastiaansen (Min.BZK), Leo Benschop (ControlSolutions International), Remy van den Boom (IND/MinV&J, inmiddels: TNO Delft), Patrick Dersjant (RWS), Meine van Essen (RWS), Ludwig Geers (UvT), Jan de Heer (NOREA), Marcia van den Hil (CBR), Ted Mos (DJI/MinV&J|TBM Groep), Daniëlle Oudhuis (Hoogheemraadschap Hollands Noorderkwartier), Annemarie Paalhaar (CompLions) en Herman Weenink (IBM). Het werk van Marjon Mertens van het BKWI heeft ons een hele goede start gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat; Jan Breeman (CIP) tekende voor een extra redactieslag en de omzetting naar een Excel document, waarmee de NORA-wiki gevoed kan worden.

Het CIP is tevens dank verschuldigd aan de vele organisaties en hun afgevaardigden die betrokken zijn geweest bij de eerste editie van de Privacy Baseline (versies 1 en 2). Hoewel de samenstelling van de huidige groep contribuanten uit het CIP-netwerk een heel andere is, blijft de oorspronkelijke Baseline zeer herkenbaar en in de kern volledig overeind in deze nieuwe editie.

Verantwoordelijk voor de eindredactie en het publicatieklaar maken zijn Ruud de Bruijn en Marcel Koers. Reacties kun je kwijt op de contactpagina van het CIP.

Amsterdam, 17 oktober 2017