Privacy compliant? Of een vette boete!

27 Maart 2015

Bent u verantwoordelijk voor gegevensverwerking, bewerkt u zelf gegevens of adviseert u mensen die met gegevensverwerking te maken hebben? Lees dan vooral door.

Valt u niet binnen deze doelgroep? Lees dan vooral ook door. De kans dat Privacy Compliancy u raakt, is groter dan u denkt.

In Control

De bescherming van onze privacy komt steeds verder onder druk te staan. Denk aan het toenemende gebruik van sociale media en de volledige digitalisering van werkprocessen. De Wet Bescherming Persoonsgegevens (WBP), organisatie- en branche specifieke normenkaders (bv. BIR en BIG) zijn helder in de aanpak die nodig is om “in control” te zijn ten aanzien van uw privacy-compliance.

 

Deze noodzaak tot “in control” zijn op het vlak van privacy wordt alleen maar groter. 
Dit komt doordat:

  • er steeds meer persoonsgegevens worden verwerkt en gecombineerd,
  • de complexiteit van de processen en ICT alleen maar toeneemt en
  • de kaders waar u aan dient te voldoen, steeds dwingender worden.

 

Denk hierbij ook aan dwangsommen die worden opgelegd indien u bij een “lek” of bij klachten niet “in control” bleek te zijn.

 

“Last but not least”, het is gewoon een maatschappelijke en bestuurlijke verantwoordelijkheid om de privacy van burgers en medewerkers te beschermen, te meer omdat kwaadwillenden of veiligheidsdiensten graag eens een kijkje in uw digitale “kaartenbak” willen nemen om hier hun voordeel mee te doen.

Privacy Impact Assessment

Een zeer praktische aanpak om u van al deze hoofdpijn te ontzorgen, is het uitvoeren van een Privacy Impact Assessment (PIA). Deze korte verkenning wordt uitgevoerd met alle direct betrokkenen en geeft u een overzicht van risicogebieden ten aanzien van uw gegevensverwerking. 
De PIA levert een rapportage en een beknopt verbeterplan op binnen een afgesproken “time box”.

 

Naast dit resultaat levert de PIA bewustwording op bij alle betrokken, over de privacy-compliance van uw gegevensverwerking. Dit geeft extra draagvlak om de voorgestelde maatregelen te implementeren. Bewustwording  en een basaal kennisniveau over privacy bescherming is essentieel van CEO tot en met uitzendkracht van een callcenter. Daarmee voorkomt u eventuele “slordigheden”, zoals het geven van demo’s of het uitvoeren van testen op productiedata.

 

Zeker indien u de PIA in de voorbereiding van een project direct meeneemt dan is privacy een vanzelfsprekend onderdeel van uw beoogde verandering en werkt  u conform “privacy by design”. Voor de Nederlandse overheid is het uitvoeren van een PIA tijdens een project verplicht gesteld.

Aanpak

De aanpak van een PIA is eenvoudig en goed beheerbaar. Na de intake wordt de omgeving van uw verwerking of uw veranderproject in kaart gebracht. Hierna wordt op basis van een vastgestelde vragenlijst een workshop georganiseerd met alle betrokkenen. Op basis van deze workshop volgt de impactbepaling, de aanbevelingen en de rapportage naar u als opdrachtgever. Let op: alleen met het invullen van de vragenlijst bent u er nog niet. Op basis van de vragenlijst krijgt u een helder beeld van de risicogebieden ten aanzien van uw gegevensverwerking. Nog steeds heeft u adequaat advies nodig om deze risicogebieden af te dekken met compenserende maatregelen.

Perspectieven

Het prettige van de PIA-vragenlijst is dat de privacy thematiek wordt bekeken vanuit diverse perspectieven zonder al te veel juridische taal. Denk hierbij bijvoorbeeld aan het type gegevensverwerking, de gegevenseigenschappen, de betrokken (keten)partijen, de manier van verzamelen, het gebruik van gegevens, bewaren, vernietigen en de gegevensbescherming. Hiermee verrijst het privacy onderwerp uit de stoffige wetboeken en wordt het weer een onderwerp van ons allemaal.

De zoektocht naar de verantwoordelijken

Het uitvoeren van PIA’s bij grote organisaties wordt effectiever als de verantwoordelijkheden helder zijn belegd. Deze verantwoordelijkheden gaan specifiek over de kwaliteit van het verwerken van de informatie en de bescherming van die zelfde informatie.  Steeds meer organisaties kiezen er voor om hiervoor een Corporate Privacy Officer (CPO) te benoemen. De CPO houdt regie over het beleggen van de verantwoordelijkheden (conform beleid), het uitvoeren van PIA’s en het implementeren van adequate maatregelen. Zeker indien uw organisatie persoonsgegevens deelt in informatieketens helpt een strakke regie ten aanzien van privacy-compliance u om het vertrouwen te behouden bij uw klanten en uw toezichthouders.

 

Met dank aan

Graag wil ik Klaas Zondervan en Roger Wannee bedanken voor hun actieve bijdrage aan deze blog.

Auteur

Ben Elsinga