Door: Ans Duthler en André Biesheuvel
Inleiding
Privacy en informatieveiligheid horen onmiskenbaar bij elkaar. Dat het instaan voor de kwaliteit van data een voorwaarde is voor het kunnen beschermen van de persoonlijke levenssfeer doet in eerste instantie menig wenkbrauw fronsen. Het verwijzen naar de toeslagenaffaire is vervolgens voldoende om uit te leggen dat jouw levenssfeer daadwerkelijk in het geding is als bijvoorbeeld de belastingdienst of een financiële instelling van een onjuiste leeftijd, een onjuist inkomen of een onjuist gezinssamenstelling uitgaat.
Het instaan voor de kwaliteit van data is ook een voorwaarde om artificiële intelligentie (AI) te mogen toepassen. Een bedrijf dat AI wil toepassen moet straks als de AI Act in werking is getreden achteraf kunnen aantonen dat de gebruikte data juist en volledig waren. Ook in de AI Act krijgt gegevensbescherming een prominente rol. De AI Act is te beschouwen als een nadere invulling van de eisen die de AVG aan profiling stelt. De EDPB heeft vervolgens guidelines geschreven om aan de betreffende AVG eisen te kunnen voldoen. De AI Act kleurt de guidelines van de EDPB op haar beurt weer verder in.
In dit artikel wordt onderbouwd dat privacy en veiligheid onlosmakelijk met elkaar zijn verbonden. Ze maken beide onderdeel uit van en hebben invloed hebben op de kwaliteit van de bedrijfsvoering van een organisatie.
Dit artikel is als volgt opgebouwd. Allereerst worden de juridische kaders voor privacybescherming weergegeven, waarbij met name zal worden ingegaan op de Algemene verordening gegevensbescherming (AVG). Een overzicht wordt gegeven van de belangrijkste rechten en verplichtingen van de AVG, alsmede een korte inhoudelijke toelichting op de rechten en verplichtingen. Hierna wordt ingegaan op de wijze van implementeren van de AVG in een organisatie, waarbij een onderscheid wordt gemaakt tussen een zogenaamde formele en een materiële implementatie van de AVG. Ook het aspect van materieel beheer komt daarbij aan de orde. Als laatste wordt ingegaan op de relatie tussen de AVG en informatiebeveiliging. Informatiebeveiliging is immers één van de verplichtingen die voortvloeit uit de AVG.
Algemene verordening gegevensbescherming (AVG)
De AVG is één van de belangrijkste privacywetten die het Nederlands recht kent.[1] De AVG is van toepassing op (bijna) alle organisaties die persoonsgegevens verwerken en er is in feite geen organisatie te bedenken die geen persoonsgegevens verwerkt. Welke organisatie houdt er nu geen verzendlijst bij met namen van contactpersonen of een personeelsadministratie? Het criterium om te bepalen of er sprake is van persoonsgegevens, is of gegevens direct of indirect tot een natuurlijke persoon zijn te herleiden. Ook een combinatie van gegevens die op zichzelf geen persoonsgegevens zijn, maar als combinatie wel tot een natuurlijke persoon zijn te herleiden, valt onder het begrip persoonsgegeven.
Andere begrippen die in de AVG centraal staan, zijn onder andere verwerking van persoonsgegevens (alle handelingen die met persoonsgegevens kunnen worden uitgevoerd, van het verzamelen tot en met het vernietigen), verwerkingsverantwoordelijke (degene die de zeggenschap heeft over de verwerking), betrokkene (degene op wie de persoonsgegevens betrekking hebben) en accountability (verantwoordingsplicht).
Rechten en verplichtingen
De AVG kent aan de betrokkene een aantal belangrijke rechten toe. Aan de verwerkingsverantwoordelijke legt ze een aantal belangrijke verplichtingen op.
Om meer grip te krijgen op de verwerking van zijn eigen persoonsgegevens heeft de betrokkene het recht op inzage in zijn eigen persoonsgegevens. Pas als een betrokkene weet welke gegevens een organisatie van hem verwerkt kan hij een beroep doen op zijn andere privacy rechten. Zo kan hij verzoeken om correctie van de gegevens, hij kan een bezwaar indienen tegen een gegevensverwerking en hij kan verzoeken om vergeten te worden.
De verwerkingsverantwoordelijke moet de persoonsgegevens overeenkomstig de wet en op een behoorlijke en zorgvuldige wijze te verwerken en slechts voor gerechtvaardigde doeleinden. De gerechtvaardigde doeleinden staan limitatief in de AVG genoemd. Indien persoonsgegevens verder worden verwerkt – bijvoorbeeld indien zij worden verstrekt aan een derde – moet dat verenigbaar zijn met het oorspronkelijke doel van de verwerking (de zogenaamde verenigbaarheidstoets). Ook dient de verwerkingsverantwoordelijke beleid te hebben vastgesteld rond de bewaartermijn van persoonsgegevens. Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is[2]. In de praktijk blijkt dat veel organisaties nog geen bewaartermijn hebben vastgesteld, laat staan een bewaarbeleid hebben. Deze organisaties voldoen dan ook per definitie niet aan de AVG.
Daarnaast moet de verwerkingsverantwoordelijke er voor te zorgen dat de medewerkers die met persoonsgegevens werken geheimhoudings in acht nemen. Ook moet hij passende, technische en organisatorische maatregelen treffen om de persoonsgegevens adequaat te beveiligen[3].
Een andere belangrijke verplichting voor de verwerkingsverantwoordelijke is dat hij een informatieplicht heeft en transparant moet zijn over de verwerkingen van persoonsgegevens. De verwerkingsverantwoordelijke moet de betrokkenen schriftelijk informeren over de verwerkingen, waarbij hij in ieder geval zijn eigen identiteit bekend maakt alsmede de doeleinden waarvoor de verwerkingen plaatsvindt. De meest voor de hand liggende manier om aan deze verplichting te voldoen is het publiceren van een privacy verklaring op de website.
De AVG kent ook de verplichting om een register van verwerkingen in te richten en schrijft voor wat er allemaal in een register van verwerkingen moet worden vastgelegd.
Last but not least, een verwerkingsverantwoordelijke, en ook een verwerker, is in veel gevallen verplicht een functionaris voor gegevensbescherming (FG) aan te stellen. De FG is de interne toezichthouder en adviseur en tevens contactpersoon voor de toezichthouder.
Hoe te voldoen aan rechten en verplichtingen?
Om aan al deze verplichtingen te voldoen en blijvend te kunnen voldoen, is het van belang dat de verwerkingsverantwoordelijke maatregelen en procedures treft. De rechten van betrokkenen vragen vooral om uitgewerkte procedures. De verplichtingen van de verwerkingsverantwoordelijke vragen vooral om getroffen maatregelen.
Om aan al deze verplichtingen te voldoen en blijvend te kunnen voldoen, is het van belang dat de verwerkingsverantwoordelijke maatregelen en procedures treft. De rechten van betrokkenen vragen vooral om uitgewerkte procedures. De verplichtingen van de verwerkingsverantwoordelijke vragen vooral om getroffen maatregelen.
Het voldoen aan deze verplichtingen begint met het creëren van een overzicht van alle verwerkingen van persoonsgegevens die plaatsvinden in een organisatie[4]. Per verwerking moet de immers de rechtmatigheid worden beoordeeld, moeten beveiligingsmaatregelen worden getroffen, moet aan de informatieplicht worden voldaan, etc. De inventarisatie van de gegevensverwerkingen vormt daarmee de basis voor het voldoen van de AVG en een register van verwerkingen blijkt dan wel erg handig te zijn. Opgemerkt wordt dat het doel van de gegevensverwerking bepaalt of er sprake is van een gegevensverwerking en niet het bedrijfsproces of de applicatie. Dit laatste levert nog wel eens verwarring op. Hieronder wordt nader ingegaan op de zogenaamde formele en materiële implementatie van de AVG.
Formele en materiële implementatie
De naleving van de AVG houdt meer in dan het voldoen aan “formaliteiten”. De naleving houdt ook in dat aan alle overige rechten en verplichtingen wordt voldaan, en dat daarover op elk willekeurig moment verantwoording kan worden afgelegd. De implementatie van de AVG wordt daarom wel onderscheiden in een formele fase en een materiële fase. Gedurende de formele fase wordt aan de formele vereisten voldaan, zoals het inrichten van een register van verwerkingen of het aanmelden van de FG bij de AP. Gedurende de materiële implementatie van de AVG worden procedures opgesteld en maatregelen geformuleerd, worden het onderhoud en beheer georganiseerd en wordt de AVG geïntegreerd met of verankerd binnen het beveiligingsbeleid. Gebruik zal worden gemaakt van reeds getroffen algemene infrastructurele beheers- maatregelen, controles binnen de applicaties of ingerichte maatregelen van administratieve organisatie.
Nadat de materiële implementatie heeft plaatsgevonden, eist de AVG dat de maatregelen blijvend werken. Periodiek zullen interne audits worden uitgevoerd die een oordeel vormen over het al dan niet adequaat verankerd zijn van de AVG binnen de organisatie. In grotere organisaties wordt veelal samenwerking met een interne accountantsdienst gezocht om een controleraamwerk op te stellen.
Risico-analyse
Niet voor alle verwerkingen zullen dezelfde maatregelen hoeven te worden getroffen. De aard en omvang van de te treffen maatregelen hangen onder meer af van de soort gegevens die worden verwerkt, de omstandigheden waaronder de gegevens worden verwerkt en de hoeveelheid van de gegevens. Daarnaast hangen de aard en omvang van de te treffen maatregelen ook af van de verwachting van de verwerkingsverantwoordelijke van de mate waarin de betrokkene gebruik zal maken van zijn of haar rechten. Hiernaast moeten de te treffen maatregelen in verhouding staan tot de te beschermen rechten van de betrokkene en de verplichtingen van de verwerkingsverantwoordelijke. Het ligt voor de hand dat voor een telefoonlijst of verjaardagslijst andere maatregelen getroffen zullen worden dan voor een verwerking van bijvoorbeeld individuele huursubsidiegegevens, waarin ook BSN’s worden verwerkt. Het is daarom raadzaam om een zogenaamde risicoanalyse uit te voeren.
Netwerk van AVG contactpersonen
Het is aan te bevelen – vooral in grotere organisaties – een netwerk van AVG contactpersonen op te richten. Het is immers niet doenlijk voor één persoon om alleen al alle verwerkingen van persoonsgegevens te inventariseren, laat staan de daarbij horende maatregelen en procedures te treffen. Bij ministeries bijvoorbeeld vinden honderden en soms duizenden verwerkingen plaats. De contactpersonen in zo’n netwerk zouden de verschillende directies/ afdelingen en regio’s moeten vertegenwoordigen en zouden moeten worden aangewezen door de leidinggevende van de betreffende directie, afdeling of regio. Het voordeel van een netwerk is dat de AVG op een uniforme wijze in de organisatie wordt geïmplementeerd, en dat de contactpersonen hun kennis en ervaringen kunnen delen.
Een te benoemen voorzitter kan ten aanzien van het netwerk een coördinerende, aanjagende en eventueel sturende rol hebben. Gezien de relatie met informatiebeveiliging, is het verder raadzaam diegenen aan te wijzen als contactpersoon die ook voor informatiebeveiliging als contactpersoon fungeren. Daarnaast kan het van belang zijn om ook in voorkomende gevallen de Interne Accountantsdienst bij het netwerk te betrekken, evenals de FG.
AVG en informatiebeveiliging
Er zijn verschillende rapporten, handreikingen en adviezen uitgebracht, waarin het vereiste van informatiebeveiliging uit de AVG nader is uitgewerkt. Eén van de bekende handreikingen is bijvoorbeeld de handreiking ‘Privacy Control Framework’ van de Nederlandse Orde van Register EDP Auditors (NOREA).[5]
Voor elke verwerking van persoonsgegevens afzonderlijk, moet bepaald worden welke technische en organisatorische maatregelen getroffen dienen te worden om een passend niveau van beveiliging te bereiken. Technische en organisatorische maatregelen behoren altijd een onderling samenhangend en afgestemd stelsel te vormen, afgeleid uit een (informatie)beveiligingsbeleid, (informatie)beveiligingsplan en terug te vinden in een stelsel van algemene maatregelen en procedures. Het vereiste niveau van beveiliging zal afhangen van de risicoklasse. Naast de bepaling van de risicoklasse zijn ook aspecten relevant als stand der techniek en de kosten van het treffen van maatregelen.
Aan het bepalen van de risicoklasse gaat een risicoanalyse vooraf. Een dergelijke analyse kent een aantal stappen:
- het inventariseren van de (bedrijfs)activiteiten en -processen waarin persoonsgegevens worden verwerkt (dit hoort bij de eerder genoemde formele fase);
- het vaststellen van de aard van de persoonsgegevens in combinatie met de omvang en het gebruik;
- het inventariseren van de mogelijke vormen van onbevoegde of onzorgvuldige ver- werking van de gegevens zoals verlies, aantasting en onbevoegde kennisneming, wijziging of verstrekking; en
- het bepalen van de risicoklasse zelf. De risicoklasse is het product van de kans op ongewenste gevolgen en de schade die dit kan veroorzaken voor de betrokkene, de verwerkingsverantwoordelijke of de verwerker.
Tot slot
Zowel informatiebeveiliging als privacybescherming hebben betrekking op de kwaliteit van de bedrijfsvoering van een organisatie. Privacybescherming maakt onderdeel uit van informatiebeveiliging, en informatiebeveiliging maakt onderdeel uit van privacybescherming. Ze vormen samen een onlosmakelijk verbond.
Ook Register Accountants en Register EDP Auditors zijn steeds vaker van mening dat privacybescherming en informatiebeveiliging bij elkaar horen, en bepalend zijn voor de kwaliteit van de bedrijfsvoering van organisaties. Accountantsdiensten in grotere organisaties controleren niet langer alleen op effectiviteit en efficiëntie, ook kwaliteit hebben zij tot onderwerp van hun controle gemaakt. Zij controleren daarbij zowel op de implementatie van de privacywetgeving als op implementatie van informatiebeveiliging.
In dit artikel lag de nadruk op privacybescherming. Vanuit de AVG werd de relatie met informatiebeveiliging gelegd. Dit is niet gedaan omdat informatiebeveiliging minder belangrijk zou zijn, maar veel meer omdat privacybescherming, de implementatie en het beheer van getroffen maatregelen van de AVG vaak ondergeschoven kindjes van informatiebeveiliging blijken. Dit kan te maken hebben met het feit dat de AVG een wet is, en men de toepassing en implementatie van een wet alleen aan juristen denkt over te kunnen laten. Echter, voor de implementatie en het beheer van passende beheers-, beveiligings- en compliance-maatregelen van de AVG is een multidisciplinaire samenwerking en integrale aanpak vereist. Wel is er een positieve trend waar te nemen dat meer en meer organisaties, tijd en capaciteit vrijmaken om de AVG op een behoorlijke wijze te organiseren en georganiseerd te houden. Ook worden hierbij niet alleen juristen betrokken, maar ook informatiebeveiligers. Dit is een gezonde en positieve ontwikkeling, die het nut van het samen oplopen van privacybescherming en informatiebeveiliging alleen maar onderstreept. Deze ontwikkeling zal als de AI Act in werking treedt, alleen maar versterkt worden.
Samenvatting
Privacybescherming en informatiebeveiliging horen onlosmakelijk bij elkaar. Beide zijn bepalend voor de kwaliteit van de bedrijfsvoering en informatiehuishouding van een organisatie. In dit artikel is allereerst een overzicht gegeven van de belangrijkste rechten en verplichtingen van de AVG. Vervolgens is ingegaan op de formele en materiële implementatie van die rechten en verplichtingen van de AVG. Benadrukt is dat niet alleen juridische kennis is vereist voor de implementatie en het beheer van de getroffen maatregelen, maar dat met name voor de materiële implementatie kennis op het gebied van bedrijfsvoering, ICT en informatiebeveiliging noodzakelijk is. Het blijvend kunnen naleven van de AVG vraagt immers om het treffen van maatregelen en procedures in de organisatie. Als laatste onderwerp is de relatie tussen de AVG en informatiebeveiliging aan de orde gekomen. Aangegeven is dat (continue) risicoanalyse en de indeling in risicoklassen niet alleen ten behoeve van informatiebeveiliging handig zijn, maar ook voor het bepalen van de aard van de te treffen en de effectiviteit van de getroffen maatregelen en procedures in het bredere kader van de materiële implementatie en beheer van de AVG.
Interesse?
Heeft u naar aanleiding van dit artikel vragen, opmerkingen of behoefte een afspraak met Ans Duthler of André Biesheuvel? Neem gerust contact op met de auteurs via +31 (70) 392 22 09 of j.a.duthler@duthler /a.j.biesheuvel@duthler.nl.
Wilt u onze belangrijke updates en publicaties (blogs, artikelen en nieuws) niet missen? Abonneer u dan voor onze nieuwsbrief.
[1] Daarnaast kent het Nederlands recht ook sectorspecifieke wetten, zoals de Wet politiegegevens (Wpg), de Wet Geneeskundige Behandelingsovereenkomst (WGBO) en de Wet basisregistratie personen. Soms komt zo’n wet in de plaats van de AVG, soms werkt zo’n wet aanvullend ten opzichte van de AVG. De Europese AI Act beschouwen wij als een verdere uitbreiding van de AVG.
[4] Wij raden onze klanten het SBC Managementsysteem aan, zie: https://duthler.nl/diensten/beschermen-van-persoonsgegevens/sbc-managementsysteem/
[5] Zie: https://www.norea.nl/uploads/bfile/6ffdfb84-7449-4106-b109-fc5f6ba0636a