De Privacy Baseline/voorwoord 3.0

Uit NORA Online
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Alle hoofdstukken bij De Privacy Baseline:

Voorwoord

Het kan voor organisaties een uitdaging zijn om op een juiste manier met persoonsgegevens om te gaan. Wat, waar, door wie en op welke wijze zaken geregeld moeten worden om privacy op een juiste wijze te waarborgen is voor (medewerkers van) organisaties niet altijd duidelijk. Dit is waarom de Privacy Baseline is ontwikkeld: de Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen van de Algemene verordening gegevensbescherming (Avg) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen.

De Avg (ook wel aangeduid als GDPR) is de Europese privacywet en is op 26 mei 2016 in werking getreden. Aan de verordening is vijf jaar is gewerkt en zij bevat nog veel concessies aan de lidstaten. Vooralsnog wordt deze nadere uitwerking aan de Nationale wetgeving van de lidstaten overgelaten. Voor Nederland krijgt dit vorm in de Uitvoeringswet bij de Avg. Deze wet vult de plaatsen in die in de Europese Avg aan de lidstaten ter invulling zijn overgelaten. De ambitie van CIP is om in het najaar van 2018 deze Baseline hiermee volledig te laten overeenkomen.

Het format van de Privacy Baseline is dat van de normenkaders, zoals die al jaren in het domein van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. worden gebruikt. Het is een 'normenkader privacy' geworden en dat maakt het niet direct een gemakkelijk leesbaar document. Het is eerder een naslagwerk waarmee de verwerkingsverantwoordelijke kan controleren in hoeverre hij aan privacy wet- en regelgeving voldoet en afwegingen kan maken bij die zaken die hem daarvoor - volgens de Baseline - nog te doen staan.

Grip op privacy

De Privacy Baseline is onderdeel van een set van samenhangende documenten onder de noemer 'Grip op privacy'. Naast deze Baseline heeft het CIP nog de volgende vier daarop geënte documenten gepubliceerd:

  • Privacy by Design
  • Privacy Governance
  • het Privacy Volwassenheidsmodel
  • het Privacy Self Assessment
”Grip op privacy, invulling van de ACT privacydoelstellingen.jpg
Titel afbeelding

De eerste twee documenten zijn handreikingen voor het toepassen van de juiste maatregelen en het inrichten van de organisatie waarmee "Grip op privacy" op de meest efficiënte en effectieve wijze kan worden bereikt. Het zijn toelichtende verhandelingen over:

  • Hoe je kunt bewerkstelligen dat het aspect privacy niet achteraf nog eens moet worden 'bijgeplakt', maar van begin af aan in de ontwikkeling van programmatuur wordt meegenomen (privacy by design).
  • Hoe je privacy in alle relevante bedrijfsprocessen implementeert, borgt, kunt onderhouden en verbeteren (governance).

Bij deze Baseline hoort een speciaal daarop gebaseerd volwassenheidsmodel. Door privacy actief te hanteren als kwalitetselement in de bedrijfsvoering, kunnen organisaties privacy benutten om de dienstverlening aan klanten op een hoger peil te brengen (privacy als 'unique selling point') en zo naar een hoger niveau van volwassenheid te komen. Dit aspect wordt ter hand genomen in het document 'Privacy Volwassenheidsmodel', een praktische handleiding voor het vaststellen en vergroten van de organisatievolwassenheid in relatie tot de omgang met persoonsgegevens.

Het Privacy volwassenheidsmodel is tevens een referentiemodel, afgeleid van gangbare 5-laagse volwassenheidsmodellen. Het model specificeert 5 niveaus op het aspect van privacy op basis van de mate waaraan voldaan wordt aan de dertien criteria van de Privacy Baseline. Hoe volwassen gaat de organisatie met privacy om? Welk niveau wil de organisatie nastreven en wat is daarvoor nodig? Op deze vragen geeft het Privacy self assessment tool antwoorden. Het tool geeft aan wat nog te doen staat om het (aan het begin zelf gekozen) beoogde volwassenheidsniveau te bereiken.

Grip op privacy biedt concrete handvatten om de juiste omgang met persoonsgegevens te bewerkstelligen, te waarborgen en het privacybeleid passend, effectief en efficiënt in te passen in de bedrijfsvoering. Het gaat niet om de normen. Het gaat erom de ACT principes: Afscherming, Corrigeerbaarheid en Transparantie te realiseren en daarmee de betrokkene maximaal te respecteren in zijn privacy. Dit wordt verderop in het document uitgebreid behandeld.[1]

Draagvlak door brede inbreng uit het CIP-netwerk

De methode 'Grip op Privacy' en de afzonderlijke documenten daarvan zijn tot stand gekomen door nauwe samenwerking met en tussen verschillende partijen in het CIP-netwerk. De auteurs danken alle CIP-ers, geïnterviewde deskundigen, leden van de CIP Domeingroep Privacy, de Werkgroep Pb2Avg en de Werkgroep Privacy By Design, die een bijdrage hebben geleverd aan het samenstellen van de methode. Hun bijdragen en het gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat dat een breed palet van organisaties hen daartoe in staat stelt, geven de auteurs het vertrouwen dat de methode 'Grip op privacy' voldoende draagvlak heeft voor een brede toepassing en verdere ontwikkeling.

Over CIP

CIP is het Centrum Informatiebeveiliging en Privacybescherming van, voor en door overheidsorganisaties. Het heeft zich ontwikkeld tot een publiek-private netwerkorganisatie, waarin ook gespecialiseerde marktorganisaties als kennispartners deelnemen. Het centrum is opgericht voor informatie-uitwisseling en kennisdeling ter verbetering van de informatieveiligheid van de overheidsdienstverlening. Inmiddels bestaat het CIP-netwerk uit een groot aantal overheidsorganisaties en (private) kennispartners. Kennis die in deze organisaties aanwezig is op het vlak van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en privacybescherming wordt binnen de samenwerking in CIP-verband op verschillende manieren gedeeld en toegankelijk gemaakt.

Het produceren van themadocumenten met zoveel mogelijk inbreng vanuit het netwerk is er één van. Aangesloten organisaties leren van elkaars oplossingen en werkwijzen en kunnen samen komen tot afspraken daaromtrent. Door meer samen doen draagt het CIP ook bij aan het optimaal gebruik van overheidsmiddelen. De producten van het CIP worden om niet ter beschikking gesteld onder de bepalingen van Creative Commons Naamsvermelding-GelijkDelen.

Voetnoot

  1. De CIP-publicaties in de serie 'Grip op Privacy' - en meer - zijn te vinden op de site van het CIP, onder de productenrubriek Gegevensbescherming.