Ervaringen als Privacy Officer bij het Nederlands Forensisch Instituut (NFI)Externe Professional

Ter ondersteuning van de vaste privacy officer (PO) van het Nederlands Forensisch Instituut (NFI) is Duthler Associates verzocht om een half jaar een aantal PO-werkzaamheden uit te voeren. Wij bespreken hier de uitdaging, de aanpak en het resultaat.

De eerste stap om te kunnen functioneren als PO is het noodzakelijk om kennis te verkrijgen van de belangrijkste processen, diensten en producten van het NFI.

De tweede stap als PO is het in beeld brengen van de toepasselijke wettelijke voorschriften, inclusief de sectorale wetgeving voor sporenonderzoek en forensisch onderzoek. De aanpalende wetgeving van ketenpartners spelen ook een belangrijke rol (o.a. de Wet politiegegevens en de Wet Justitiële en strafrechtelijke gegevens).

Wat was de uitdaging?

Bij het NFI is een privacybeleid opgesteld en goedgekeurd in 2018. Het informatiebeveligingsbeleid is niet actueel en moet nog worden herijkt op de BIR2017. Dit voert de security officer uit.

Een verwerkingenregister is aanwezig en is voor ongeveer 90% actueel. Met het opstellen van verwerkersovereenkomsten is een aanvang gemaakt. In 2018 zijn voor afdelingen AVG – awareness presentaties verzorgd en met enkele afdelingen is een verdiepingssessie uitgevoerd. De vaste PO krijgt veel privacy gerelateerde vragen en zorgt voor de afhandeling van (potentiële) datalekken. Voor de datalekken is een procedure opgesteld en er is een meldingsformulier gemaakt met een daaraan gekoppelde workflow voor de behandeling van incidenten. Met de uitvoering van enkele Data Protection Impact Assessment (DPIA’s) is een begin gemaakt.

Een privacy jaarplan is beschikbaar. Hierin is aangegeven welke activiteiten door de externe FO moeten worden uitgevoerd in 2019.

Het werk bij het NFI heeft met haar forensisch onderzoek een grote impact op betrokkenen en het NFI maakt gebruik van bijzondere persoonsgegevens (medische, biometrische en strafrechtelijke gegevens).

Voor het bewaren/vernietigen gelden veel conflicterende regels voor data, (lichaams)materialen, onderzoeksdata en rapportages. Dit is ook afgezet tegen eisen vanuit de optiek bedrijfsvoering en bewijsvoering. Wat is een juiste interpretatie van de wettelijke eisen?

Wat was de aanpak en het resultaat?

De kennis van de wettelijke kaders is opgedaan door het bestuderen van relevante wetteksten en bijbehorende jurisprudentie. Het inzicht in de wettelijke kaders is aangescherpt door discussies met collega juristen binnen het NFI.

Hiermee kon een basis gelegd worden voor de bepaling van prevalerende wettelijke eisen voor het op te stellen bewaar- en vernietigingsbeleid. Door het uitvoeren van een risicoanalyse uitgaande van twee verschillende benaderingen is er een voorstel met advies uitgebracht aan de directie. Het is mooi om te zien dat je altijd een oplossing kunt uitwerken. Niet het stereotiepe antwoord geven “dat mag niet van de AVG” , maar reageren met “onder welke condities is het wel toegestaan?”.

Forensisch onderzoek: Gericht op waarheid, geleid door wetenschap, voor een veiligere samenleving

Heeft u vragen of behoefte aan een afspraak?

Heeft u vragen over deze casus? Neem gerust contact met ons op.