Privacy in de NORA
Om te toetsen hoe privacy geborgd is in de NORA zijn de basis en afgeleide principes nagelopen door het CIP. Bijkomend doel is om een idee te krijgen over of de (afgeleide) principes van de NORA voldoende houvast bieden vanuit het perspectief van privacy. Hieronder vind je een overzicht van de principes die bijdragen aan het borgen van privacy en de rationale daarachter. Heb je op of aanmerkingen op deze lijst, laat dat dan vooral weten aan ons via nora@ictu.nl
Privacy in de Basis Principes[bewerken]
- BP08 Vertrouwelijkheid
- BP06 Transparant
- BP09 Betrouwbaar
- BP01 Proactief
- BP07 Noodzakelijk
Het Basisprincipe 8 Vertrouwelijkheid is de belangrijkste doelstelling voor overheden in NORA, die bescherming van persoonsgegevens borgt. Want: ‘De dienstverlener garandeert dat informatie alleen toegankelijk is voor bevoegde personen en alleen wordt gebruikt voor het doel waarmee zij is verzameld.’
Basisprincipe 6 Transparant transparant is een voorwaarwaarde om voor controleerbaarheid. Als het onbekend is waarvoor persoonsgegevens worden gebruikt is het lastig om te toetsen of dit rechtmatig wordt gedaan.
Basisprincipe nummer 9 Betrouwbaar heeft vooral betrekking op de juistheid en daarmee betrouwbaarheid van gegevens. Maar afnemers mogen er ook van uitgaan dat de dienstverlener zich aan de afspraken houdt, bijvoorbeeld in het geval van privacy de Wbp en vanaf 25 mei 2018 de AVG.
Proactief (BP01) is de grondhouding van privacy by design. Als organisatie denk je proactief na over hoe je gegevensverwerkingsprocessen zo inricht dat de privacy geborgd is in het ontwerpen van de informatiehuishouding.
BP07 Noodzakelijk stelt dat afnemers niet worden geconfronteerd met onnodige vragen. Daarmee is dit principe gekoppeld aan het afgeleide principe ‘eenmalige uitvraag’. Dit stimuleert de overheid om reeds beschikbare informatie optimaal te gebruiken. Daarmee staat dit principe soms op gespannen voet met het afgeleide principe ‘doelbinding’ en dus met het borgen van privacy.
Privacy in de Afgeleide Principes[bewerken]
- AP05 Nauwkeurige dienstbeschrijving
- AP15 Pas doelbinding toe
- AP16 Identificatie informatie-objecten
- AP17 Informatie-objecten systematisch beschreven
- AP19 Perspectief gebruiker
- AP24 Proactief aanbieden
- AP25 Transparante dienstverlening
- AP26 Afnemer heeft inzage
- AP27 Een verantwoordelijke organisatie
- AP28 Afspraken vastgelegd
- AP29 De dienstverlener voldoet aan de norm
- AP30 Verantwoording dienstlevering mogelijk
- AP31 PDCA-cyclus in besturing kwaliteit
- AP32 Sturing kwaliteit op het hoogste niveau
- AP33 Baseline kwaliteit diensten
- AP34 Verantwoording besturing kwaliteit
- AP42 Integriteit (van gegevens)
- AP43 Vertrouwelijkheid
- AP44 Controleerbaarheid
Doelbinding (AP15) beschrijft dat het doel waarmee gegevens worden gebruikt verenigbaar moet zijn met het doel waarmee ze verzameld zijn. Dit moet voorkomen dat persoonsgegevens voor andere dan de ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden’ worden gebruikt. Deze doelbinding kan vast worden gelegd in de meta-data (AP28).
AP’s 40- 44 zijn recent toegevoegd om ervoor te zorgen dat informatiebeveiliging beter geborgd is in de NORA. Informatiebeveiliging en privacy liggen als thema’s dicht bij elkaar. Het is dan misschien ook niet verwonderlijk dat de nieuwe informatiebeveiliging AP’s 42, 43 en 44 als essentieel voor het borgen van privacy worden gezien. Waarbij AP43 Vertrouwelijkheid direct bijdraagt aan de realisatie van het BP08 Vertrouwelijk. AP44 draagt vooral bij aan de transparantie (BP06). En AP42 houdt vooral verband met de betrouwbaarheid van de gegevens (BP09). Informatiebeveiliging op zichzelf is ook noodzakelijk om bescherming van persoonsgegevens en daarmee privacy überhaupt zo goed mogelijk te borgen.
Vanuit het gebruikersperspectief wordt privacy versterkt door: inzicht in de eigen gegevens door transparante dienstverlening (25), inzage (26) en controleerbaarheid (44). Ook is verantwoording hierover mogelijk (30). Vervolgens mag je ervan uitgaan dat er vertrouwelijk met je informatie wordt omgegaan (43).
AP24 Proactief realiseert BP01 Proactief en daarmee het ‘by design’ aspect van privacy by design.
De AP’s 27-34 zorgen ervoor dat privacy by design bestuurlijk geborgd is doordat; in de keten één organisatie verantwoordelijk is (AP27), de afspraken zijn vastgelegd (AP28), en de dienstverlener aan de norm voldoet (AP29), waarbij verantwoording mogelijk is (AP30), de kwaliteit van de dienst bestuurd wordt op basis van cyclische terugkoppeling (AP31), er op het hoogste niveau op kwaliteit gestuurd wordt (AP32), de kwaliteitscriteria, standaarden en best practices zijn vertaald in een baseline waaraan de dienst voldoet (AP33) en de dienstverlener legt bestuurlijke verantwoording af over de mate van transparantie en control (AP34).