De Privacy Baseline/Inleiding en leeswijzer
| ||||||||||
Inleiding en leeswijzer[bewerken]
Eind 2014 werd in de CIP-community de vraag gesteld "hoe dat nou moet, met die privacy". De vraag was niet voortgekomen uit naïviteit, maar uit de wirwar van informatie en opvattingen over privacy op dat moment. Het antwoord hebben we gezocht in de pragmatiek: pak privacy bij de kop zoals organisaties en bedrijven ermee moeten werken. Daarvoor gelden immers wetten en voorschriften en wat je er ook van vindt, daaraan heb je als bedrijf of organisatie te voldoen. NB: wij hanteren 'organisatie' voor beide aanduidingen (bedrijf en organisatie) in de publieke en private sectoren.
Informationele privacy als uitgangspunt[bewerken]
Organisaties kunnen ervoor kiezen om 'slechts' te voldoen aan de wet, een lastige hinderpaal. Maar door verantwoord en efficiënt om te gaan met privacy en de balans te vinden tussen wetgeving, de doelstelling van de organisatie en respect voor de persoonlijke levenssfeer van betrokkenen, is 'privacy' ook als een kwaliteitskenmerk ten voordele te benutten. In dat verband is het zeker nuttig om ook naar de niet-wettelijke aspecten van privacy te kijken en te weten hoe klanten 'privacy' ervaren. In de andere documenten van Grip op privacy besteden we daar ook aandacht aan. Maar als een organisatie transparant en concreet wil zijn over het privacybeleid en ook netjes wil voldoen aan de wettelijke vereisten om boetes, imagoschade en schadeclaims te voorkomen, dan moet zij proactief werk maken van het type privacy dat informationele privacy wordt genoemd.
Informationele privacy gaat over het "beschermen van personen in relatie tot informatie die van of over hen bekend is en/of ten aanzien van hen wordt toegepast" (S. Nouwt 2005, Privacy voor doe-het-zelvers), nu veelal begrepen als bescherming van persoonsgegevens (of: gegevensbescherming).
Het centrale uitgangspunt van de AVG is dat persoonsgegevens slechts mogen worden verwerkt als er een wettelijke grondslag voor is én het doel van de verwerking redelijkerwijs niet op een andere wijze kan worden verwezenlijkt. Dit houdt in dat je persoonsgegevens alleen mag verwerken als de gegevens noodzakelijk zijn om het beoogde doel te bereiken. Ga dus altijd na of het doel ook bereikt kan worden zonder dat gegevens gebruikt worden die te herleiden zijn tot een natuurlijke persoon.
De Privacy Baseline bevat dertien principes (ook wel normen of criteria) die moeten worden gerespecteerd om dat als organisatie goed te doen. De Privacy Baseline is van toepassing op organisaties die met persoonsgegevens werken.
De doelstelling van de Privacy Baseline[bewerken]
De ACT doelen
De Privacy Baseline biedt concrete handvatten voor een juiste omgang met persoonsgegevens. Voor organisaties die met persoonsgegevens werken bieden de AVG en de UAVG een harde maatstaf om concreet, effectief en controleerbaar privacybeleid te voeren, volgens de drie doelstellingen Afscherming, Corrigeerbaarheid en Transparantie (ACT). Deze zijn vergelijkbaar met de BIV-doelstellingen bij informatiebeveiliging: Beschikbaarheid, Integriteit en Vertrouwelijkheid. De ACT-privacydoelstellingen zijn gebaseerd de Privacy Protection Goals van ENISA: Unlinkability, Transparency, Intervenability. (ENISA dec 2014, Privacy and data protection by design. From policy to engineering).
ACT beoogt expliciet de betrokkene te beschermen. De AVG zegt met dezelfde bedoeling dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene "rechtmatig, behoorlijk en transparant" is. Deze beginselen worden geformuleerd en behandeld in Avg art. 5.1, AVG overweging 39 en §4.2 van de Mvt bij Uitvoeringswet AVG (versie april 2017). Met enige lenigheid is deze trits gemakkelijk te verzoenen met het ACT-trio (meer hierover zie: De ACT doelen van privacybescherming).
De ACT doelen helpen bij het adequaat borgen van de informationele privacy van betrokkenen en helpen de organisatie bij het voorkomen van rode kaarten, bindende aanwijzingen en/of boetes vanuit de Autoriteit Persoonsgegevens.
Accountability
Deze baseline is bij uitstek ook het hulpmiddel dat organisaties in staat stelt te voldoen aan de vereisten voor 'accountability', in de Nederlandstalige AVG 'verantwoordingsplicht' genoemd, die inhoudt dat naleving van de wet moet kunnen worden aangetoond. Verantwoordingsplicht impliceert documentatieplicht en ook die vereiste is concreet in de Baseline verwerkt.
Voor wie is de Privacy Baseline geschreven[bewerken]
Het format van de Privacy Baseline is dat van de normenkaders zoals die al jaren in het domein van informatiebeveiliging worden gebruikt. Het is een naslagwerk waarmee je kunt controleren in hoeverre de organisatie aan privacy wet- en regelgeving voldoet en waarmee je afwegingen kunt maken bij die zaken die daarvoor - volgens de Baseline - nog te doen staan. De Privacy Baseline is een document voor professionals die hands-on in de organisatie werken aan privacymaatregelen en de borging van en de controle op die maatregelen. De Privacy Baseline vertaalt de privacywetgeving naar concrete, hanteerbare en ondubbelzinnige normen die aangeven wat een organisatie moet doen om te kunnen voldoen aan de privacywetgeving: wat moet je regelen in het privacybeleid, de uitvoering en de controle erop.
De Baseline is een gids voor omgang met persoonsgegevens, maar kan niet als vervanger van de wet worden beschouwd. Nauwkeurige naleving van de Baseline brengt een organisatie echter wel naar een privacyvolwassenheidsniveau dat doorgaans voldoende is om een basale compliancy-toets te doorstaan.
Sectorspecifieke wet- en regelgeving[bewerken]
Organisaties die persoonsgegevens verwerken moeten in sommige gevallen (ook) voldoen aan sectorspecifieke wetgeving. Denk aan de Telecommunicatiewet, de Gezondheidszorg of de voorschriften voor financiële instellingen. Zoals de AVG naar specifieke lidstatelijke wet- en regelgeving verwijst maar niet feitelijk behandelt, zo houdt ook de Privacy Baseline géén rekening met eventueel van toepassing zijnde sectorspecifieke wet- en regelgeving.