De Privacy Baseline/Inleiding

Uit NORA Online
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Inleiding

Eind 2014 kreeg het Centrum Informatiebeveiliging en Privacybescherming (CIP) uit de CIP-community de vraag om eens op te schrijven "hoe dat nou moet, met die privacy". De vraag was niet uit voortgekomen uit naïviteit, maar uit de wirwar aan informatie en opvattingen over privacy.

Het antwoord hebben we gezocht in de pragmatiek: pak privacy bij de kop zoals organisaties en bedrijven ermee zouden moeten werken. Daarvoor gelden immers wetten en voorschriften en de discussie over: óf het moet en wát moet, is dus al gepasseerd. Alle andere, overigens zeer interessante bespiegelingen die mogelijk zijn over het privacybegrip, begeven zich op terreinen van filosofie, sociologie en psychologie, kennen persoonlijke opvattingen en emoties en zijn plaats-, tijd- en cultuurgebonden. De AVG inclusief de Uitvoeringswet AVG (UAVG) en de daarbij horende Memorie van toelichting (MvT) vormen de geldende privacykaders en wat je er ook van vindt, daaraan heb je als bedrijf of organisatie te voldoen.

Informationele privacy als uitgangspunt

Organisaties kunnen ervoor kiezen om 'slechts' te voldoen aan de wet. Maar de Privacywetgeving is niet uitsluitend een hinderpaal. Door verantwoord en efficiënt om te gaan met privacy en de balans te vinden tussen wetgeving, de taakstelling van de organisatie en de persoonlijke levenssfeer van betrokkenen, is 'privacy' ook als een kwaliteitskenmerk ten voordele te benutten. Er zijn commerciële bedrijven die hun privacybeleid bewust in hun marketing etaleren. Overheidsorganisaties moeten in dit opzicht bij uitstek het goede voorbeeld geven.

In dit verband is het zeker nuttig om ook naar de niet-wettelijke aspecten van privacy te kijken en te weten hoe klanten 'privacy' ervaren. In de andere documenten van Grip op privacy besteden we daar ook aandacht aan. Maar als een organisatie transparant en concreet wil zijn over het privacybeleid en ook netjes wil voldoen aan de wettelijke vereisten om boetes, imagoschade en schadeclaims te voorkomen, dan moet zij proactief werk maken van het type privacy dat informationele privacy wordt genoemd. Informationele privacy gaat over het beschermen van personen in relatie tot informatie die van of over hen bekend is en/of ten aanzien van hen wordt toegepast . Dit wordt ook wel bescherming van persoonsgegevens (of: gegevensbescherming) genoemd en is verankerd in de Grondwet en verder uitgewerkt in de AVG en de UAVG.

Deel II: De Privacy Baseline bevat dertien normen of 'criteria' die moeten worden gehaald. In Deel I worden de beginselen van informationele privacy behandeld (de ACT-doelen) in relatie tot de wet. Zij geven de in Deel II behandelde criteria een verband en context.  

De doelstelling van deze Privacy Baseline

De Privacy Baseline biedt concrete handvatten voor een juiste omgang met persoonsgegevens. Correct omgaan met persoonsgegevens houdt in dat de organisatie voldoet aan de doelstellingen van Afscherming, Corrigeerbaarheid en Transparantie . Deze doelstellingen helpen bij het adequaat borgen van de informationele privacy van betrokkenen en helpen de organisatie rode kaarten, bindende aanwijzingen en/of boetes vanuit de Autoriteit Persoonsgegevens (hierna: AP) te voorkomen. Deze baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. is bij uitstek ook het hulpmiddel dat organisaties in staat stelt te voldoen aan de vereisten voor 'accountability', in de Nederlandstalige AVG 'verantwoordingsplicht' genoemd, die inhoudt dat naleving van de wet moet kunnen worden aangetoond. Verantwoordingsplicht impliceert documentatieplicht en ook die vereiste is concreet in de Baseline verwerkt.

De tekst van de verordening, waarin de overwegingen en artikelen ongerelateerd achter elkaar worden neergezet, is nogal gebruikersonvriendelijk. De Privacy Baseline vertaalt de privacywetgeving naar concrete, hanteerbare en ondubbelzinnige normen die aangeven wat een organisatie moet doen om te kunnen voldoen aan de privacywetgeving: moet je regelen in het privacybeleid, de uitvoering en de controle erop. Wij hebben dat ingevuld door de wetgeving naar concrete ondubbelzinnige normen te vertalen. Een privacy-normenkader dus. De ingevoerde lezer, de (privacy) professional die thuis is in de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen., zal het format van de Privacy Baseline herkennen en 'normen' op waarde weten te schatten en naar de praktijk weten te vertalen. Wie zich eerst beter wil inlezen of verdieping zoekt, raadpleegt de twee handleidingen: 'De borging van privacy in organisaties' ('Privacy Governance') en 'Privacy by design' .

De Baseline is een gids voor omgang met persoonsgegevens, maar kan niet als vervanger van de wet worden beschouwd. Nauwkeurige naleving van de Baseline brengt een organisatie echter wel naar het privacyvolwassenheidsniveau 3; dit niveau is doorgaans voldoende om de basale compliancy-toets te doorstaan. Wij komen over de volwassenheidsniveaus nog te spreken.

Voor wie is de Privacy Baseline geschreven

Het format van de Privacy Baseline is dat van de normenkaders zoals die al jaren in het domein van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. worden gebruikt. Het is een 'normenkader privacy' geworden en dat maakt het niet direct een gemakkelijk leesbaar document. Het is eerder een naslagwerk waarmee je kunt controleren in hoeverre de organisatie aan privacy wet- en regelgeving voldoet en afwegingen kan maken bij die zaken die daarvoor - volgens de Baseline - nog te doen staan.

De verwerkingsverantwoordelijke heeft vanuit de AVG de opdracht om te bepalen of en hoe hij persoonsgegevens mag (laten) verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.. Een verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. De Privacy Baseline stelt hem in staat te controleren in hoeverre de verwerking(en) aan de wet voldoet(n). Daaruit volgt eigenlijk al dat de Privacy Baseline een document is voor professionals die hands-on in de organisatie werken aan privacymaatregelen en de borging van en de controle op die maatregelen en voor hen die daar leiding aan geven. Zoals de Baseline helpt bij de realisatie van de documentatie- en verantwoordingsplicht ten behoeve van de controlerende autoriteit of de vragende burger, zo kan natuurlijk ook de interne rapportage ten behoeve van de verantwoordingsplicht ermee geholpen zijn.

Wanneer is de Baseline van toepassing?

De Privacy Baseline is van toepassing op organisaties die met persoonsgegevens werken. Ga, alvorens te beginnen met deze Baseline, het volgende na:

Vraag Antwoord
Vraag 1 Wil/moet ik persoonsgegevens verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.?

Een persoonsgegeven bevat informatie over een geïdentificeerde of identificeerbare natuurlijke, levende persoon. Persoonsgegevens kunnen direct of indirect identificeerbaar zijn, zie hiervoor §1.4.2. Een verwerking is een bewerking of een geheel van bewerkingen met betrekking tot (een) persoonsgegeven(s) en is een zeer breed begrip (zie §1.2).

Is het antwoord 'nee', dan is de AVG - en dus deze Baseline - niet van toepassing.
Vraag 2 Kan ik deze verwerking baseren op een van de rechtmatige gronden van de privacywetgeving?

Zie het criterium U.01 Doelbinding gegevensverwerking (§2.2.1).

Is het antwoord op vraag 1 'ja', maar is het antwoord op vraag 2 'nee', dan mag je geen persoonsgegevens verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens..

Aan deze vragen ligt het centrale uitgangspunt van de AVG ten grondslag dat persoonsgegevens slechts mogen worden verwerkt als er een wettelijke grondslag voor is én het doel van de verwerking redelijkerwijs niet op een andere wijze kan worden verwezenlijkt. Dit houdt concreet in dat je persoonsgegevens alleen mag verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. als de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd noodzakelijk zijn om het beoogde doel te bereiken. Ga dus altijd na of het doel ook bereikt kan worden zonder dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd gebruikt worden die te herleiden zijn tot een natuurlijke persoon.

Sectorspecifieke wet- en regelgeving

Organisaties die persoonsgegevens willen of moeten verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., moeten in sommige gevallen (ook) voldoen aan sectorspecifieke wetgeving. Denk aan de Telecommunicatiewet, de Gezondheidszorg of de voorschriften voor financiële instellingen. Zoals de AVG naar specifieke lidstatelijke wet- en regelgeving verwijst maar niet feitelijk behandelt, zo houdt ook de Privacy Baseline géén rekening met eventueel van toepassing zijnde sectorspecifieke wet- en regelgeving.

De Richtlijn opsporing en vervolging van strafbare feiten

De Richtlijn gegevensbescherming opsporing en vervolging van strafbare feiten (2016/680) is samen met de AVG aangenomen. Een Europese Richtlijn moet, in tegenstelling tot een Europese Verordening, door de parlementen van de afzonderlijke lidstaten - al dan niet aangepast - worden geïmplementeerd in nationale wetgeving. In Nederland is deze richtlijn per 1 januari 2019 in werking getreden. De richtlijn is geïmplementeerd door wijzigingen in de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en de daaronder liggende Besluiten. Ook deze wetten horen thuis in het rijtje sectorspecifieke wetten waarin de verwerking van (bijzondere) persoonsgegevens wordt behandeld. De Privacy Baseline gaat hier niet specifiek op in. Onverminderd artikel 10 AVG mogen persoonsgegevens van strafrechtelijke aard alleen worden verwerkt voor zover dit krachtens de artikelen 32 en 33 van de UAVG is toegestaan.

De e-Privacyverordening

Voluit heet de e-Privacyverordening (EPV): "Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)" .Ook een verordening dus. De EPV moet de in de Telecomwet geïmplementeerde Richtlijn 2002/58/EC (ook wel bekend als de 'Cookierichtlijn') vervangen en had in de oorspronkelijke planning tegelijk met de AVG in werking moeten treden. Definitieve wetteksten van de Epv zijn nog niet klaar c.q. goedgekeurd. Men denkt rond 2020 met de definitieve wetteksten te komen. Het kan dus nog wel even duren voordat de EPV daadwerkelijk in werking treedt. Een inkijkje over de aanleiding voor deze verordening biedt een kamerbrief uit 2017 (!). De Epv beoogt "de privacy en de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen hij elektronische communicatie te waarborgen" en adresseert in de praktijk vooral de commerciële gegevensmarkten. De EPV is nodig omdat de AVG alleen ziet op verwerkingen met persoonsgegevens. "Dit voorstel [de EPV -red] dient bijgevolg te worden beschouwd als een lex specialis die de algemene verordening gegevensbescherming preciseert en aanvult wat betreft elektronische-communicatiegegevens die als persoonsgegevens worden aangemerkt. Alles wat te maken heeft met de verwerking van persoonsgegevens en niet uitdrukkelijk in het voorstel wordt behandeld, valt onder de algemene verordening gegevensbescherming".