De Privacy Baseline/Voorwoord

Uit NORA Online
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Voorwoord

Het kan voor organisaties een uitdaging zijn om op een juiste manier met persoonsgegevens om te gaan. Wat, waar, door wie en op welke wijze zaken geregeld moeten worden om privacy op een juiste wijze te waarborgen is voor (medewerkers van) organisaties niet altijd duidelijk. Dit is waarom de Privacy Baseline is ontwikkeld: de Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen. Het niet naleven van de AVG kan verregaande (negatieve) consequenties hebben; zie hiervoor: Aanvullende informatie: risico's bij niet voldoen aan de AVG.

De samenstellers zijn uitgegaan van wat bij het schrijven van de teksten praktisch en volgens de vigerende inzichten en beschikbare kennisbronnen geacht werd juist te zijn. Zij voelen zich daarbij gesteund door de reviews in het kennisnetwerk van CIP, de Domeingroep Privacy in het bijzonder. In géén geval is de Privacy Baseline een vervanger voor de privacywetgeving zelf.

Bij deze versie

Het uitgangspunt voor deze Privacy Baseline pagina's is de versie 3.2 van de 'papieren' editie (gepubliceerd in mei 2019). De 3.2 versie is een aanpassing van de voorgaande versie op grond van de in het voorjaar van 2018 van kracht geworden Uitvoeringswet (UAVG). Het uitgangspunt van de wetgever voor de UAVG is nadrukkelijk geweest de bestaande Nederlandse wetgeving (de Wbp - Wet bescherming persoonsgegevens) zoveel mogelijk 'beleidsneutraal' over te nemen in de UAVG, daar waar de AVG dat toelaat of om 'lidstatelijke' invulling vraagt. Zonder volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. te claimen noemen wij hier daarvan de volgende voorbeelden:

  • De handhaving van de leeftijdsgrens van 16 jaar voor de verwerking van de persoonsgegevens van kinderen op grond van toestemming, waar de AVG de mogelijkheid van 13 jaar geeft.
  • De handhaving (ex Wbp) van enkele specifieke uitzonderingen voor de verwerking van bijzondere gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. NB: in Nederland kunnen specifieke uitzonderingen gelden die andere EU-lidstaten niet kennen.
  • De UAVG breidt de reikwijdte van het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de AVG uit naar (ook) activiteiten die buiten de werkingssfeer van het Unierecht vallen. Dit betekent dat in Nederland de AVG eigenlijk altijd geldt buiten de uitzonderingen die nog overeind zijn gebleven. Alleen gegevensverwerkingen op terreinen die in hun geheel zijn uitgezonderd van de werking van Europees recht, vallen buiten de materiële werkingssfeer van de verordening. Dit zijn uitsluitend verwerkingen in het kader van nationale veiligheid en verwerkingen door de krijgsmacht, en verwerkingen waarop de Gegevensbeschermingsrichtlijn opsporing en vervolging van strafbare feiten van toepassing is.
  • De Uitvoeringswet voor de AVG (UAVG) heft het verbod om mensen te onderwerpen aan geautomatiseerde besluitvorming (met aanmerkelijke gevolgen voor betrokkenen) op, indien de wet dat verplicht stelt. De UAVG vult hiermee AVG Art. 22 lid 2b in.
  • Verwerking van biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd is toegestaan voor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en beveiligingsdoeleinden.
  • De uitzondering voor financiële instellingen om een datalek niet te hoeven te melden bij de betrokkene blijft bestaan. Zij moeten het datalek wel melden bij de Autoriteit Persoonsgegevens (AP) en de financiële toezichthouders. De financiële sector heeft eigen wetgeving die de zorgplicht jegens betrokkenen regelt.
  • Ook overheidsorganisaties kunnen boetes krijgen van maximaal 10 respectievelijk 20 miljoen Euro.

Als direct gevolg van de UAVG is ook de Baseline zelf aangepast. Met name het criterium 'U.01 Doelbinding gegevensverwerking' is grondig gereviseerd met betrekking - maar niet beperkt - tot bijzondere categorieën persoonsgegevens (blok /04); waar nodig zijn ook de overeenkomstige toelichtingen bij dit criterium en de indicatoren aangepast.

Veel artikelen in de AVG/UAVG gaan direct of indirect over de Autoriteit Persoonsgegevens. De bevoegdheden van de Nationale toezichthouder - de AP - en de eisen die de wet aan de AP stelt vallen buiten de scope van dit document. Het betreft Hoofdstuk 2 van de UAVG en de hoofdstukken VI en VII, en X en XI van de AVG. De bepalingen in deze hoofdstukken zijn voor de toepassing van de Privacy Baseline niet direct van belang. Hoofdstuk VIII en zeker hoofdstuk IX daarentegen ('Beroep, aansprakelijkheid en sancties' resp. 'Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking') kunnen voor organisaties c.q. verwerkingsverantwoordelijke en verwerkers nog wel degelijk relevant zijn. Dat kan ook gelden voor de UAVG Art. 15-20 (waaronder het al genoemde Art. 18: "Bestuurlijke boete aan overheden").

Over de AP nog dit: de AVG spreekt consequent over "de bevoegde toezichthoudende autoriteit". Dat moet, omdat het kan voorkomen dat de toezichthouder die een overtreding behandelt niet altijd de toezichthouder voor het land is waar de overtreding is geconstateerd. Tenzij de context anders vereist spreken wij hierna van 'de AP' als de bevoegde toezichthoudende autoriteit.

Wij verwijzen naar deze Uitvoeringswet plus de Memorie van toelichting als: 'de Uitvoeringswet' of: 'de UAVG'. Wanneer we zonder verdere specificatie spreken van 'de AVG' of 'de privacywetgeving', dan bedoelen we daarmee de combinatie van de AVG en de UAVG. De Europese Unie heeft de AVG in verschillende talen (ook in het Nederlands) gepubliceerd op: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679. Bij onduidelijkheid over de betekenis van de teksten in een andere taal dan het Engels geldt de Engelstalige versie als de maatstaf. De UAVG (BWBR0040940) en de Memorie van toelichting vind je hier:

Over CIP

CIP is het Centrum voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en privacybescherming van, voor en door overheidsorganisaties. Het is opgericht voor informatie-uitwisseling en kennisdeling ter verbetering van de informatieveiligheid van de overheidsdienstverlening en heeft zich ontwikkeld tot een publiek-private netwerkorganisatie, waarin ook gespecialiseerde marktorganisaties als kennispartners deelnemen. Kennis die in de aangesloten organisaties aanwezig is op het vlak van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en privacybescherming wordt binnen de samenwerking in CIP-verband op verschillende manieren gedeeld en toegankelijk gemaakt. Voldragen producten worden op de publieke site van het CIP gepubliceerd.

Door meer samen te doen en zo mogelijk te uniformeren draagt het CIP ook bij aan het optimaal gebruik van overheidsmiddelen. De publicaties van het CIP worden in principe om niet ter beschikking gesteld en kunnen, met inachtneming van de voorwaarden van Creative Commons Naamsvermelding-GelijkDelen, vrijelijk gebruikt worden.