Eind januari was het weer een nieuwe Dag van de Europese Privacy, om de noodzaak van de bescherming van persoonlijke gegevens te benadrukken. Voor Norea is het belang van privacy en databescherming allang een vanzelfsprekendheid. De beroepsorganisatie van it-auditors biedt een instrumentarium waarmee organisaties hun privacybeheersing op orde kunnen krijgen. Want, hoewel het onderwerp tegenwoordig veel meer op de radar van organisaties staat, is de praktijk nog weerbarstig.
Privacy is niet iets van de laatste tijd. De term is in de jaren zestig overgewaaid vanuit de Verenigde Staten naar Europa. In Nederland geldt de veertiende algemene volkstelling op 28 februari 1971 als een ijkpunt. Computers werden ingezet voor de gegevensverwerking en dat vonden sommige critici een inbreuk op hun persoonlijk leven. Er brak een discussie los die nu gezien wordt als het eerste brede maatschappelijke debat over privacy in Nederland. Nadien is het privacyvraagstuk alleen maar groter geworden door de toenemende automatisering en het verwerken van persoonlijke gegevens op grote schaal. Norea (Nederlandse Orde van Register EDP-Auditors – tegenwoordig it-auditors) heeft daar sinds de oprichting in 1992 volop aandacht voor. Zoals de beroepsvereniging het tegenwoordig stelt: ‘Privacy en online-security zijn voorwaarden voor het online vertrouwen, economische groei en maatschappelijk welzijn.’
Nederland heeft niet alleen een sterke digitale infrastructuur maar kent dus ook een sterk ontwikkelde it-audit-beroepsgroep. Zo’n it-auditor acteert onafhankelijk van it-leveranciers en toetst de kwaliteit, veiligheid en continuïteit van it-systemen en -infrastructuren, inclusief de bijbehorende (it-)organisatie en processen. En spreekt daarover met de materiedeskundigen en het verantwoordelijk management (ceo, cio en/of ciso) van klanten.
Het Norea Reporting Initiative
Organisaties helpen om een robuuste ict te creëren, dat is een rol die voor een it-auditor is weggelegd, zegt Jan Roodnat, voorzitter van de werkgroep Privacy bij Norea. Hij wijst in dit kader op een belangrijk product van de vereniging: het Norea Reporting Initiative (NRI). Bedrijven leggen verantwoording af over hun financiën en tegenwoordig ook over het duurzaamheidsbeleid (ESG-standaard: Environmental, Social & Governance). Norea pleit ervoor dat een organisatie zich ook moet verantwoorden voor goed ondernemingsbestuur op het gebied van ict, licht Roodnat toe. ‘Laat een register-it-auditor optrekken met een registeraccount. De eerste stelt een rapport op over de robuustheid van de it; de tweede checkt de financiële verslaglegging.’
De NRI is dan een verslaggevingsstandaard om zo’n it-beheerverslag op te stellen en belanghebbenden te informeren over zaken als it-regelgeving, uitbesteding, cybersecurity en continuïteit. Zo’n ict-verantwoording, die nog niet verplicht is, heeft de nodige raakvlakken met internationale regelgeving, zoals de herziene, aangescherpte netwerk- en informatiebeveiligingsrichtlijn NIS2 en Dora (Digital Operational Resilience Act) voor financiële instellingen en hun leveranciers (met aanvullende eisen op het gebied van cyberbeveiliging en -veerkracht). Roodnat verwacht dat het NRI in de nabije toekomst hierop aansluit.
Omgang met persoonsgegevens
Ook privacy is een onderwerp van het NRI met daaraan gekoppeld een goede omgang met persoonsgegevens. ‘Dan gaat het ook over de betrouwbaarheid van it-systemen om die data te verwerken, en dat onderwerp is vanzelfsprekend een onderdeel van ons werkveld’, zegt Ed Ridderbeekx, lid van de werkgroep Privacy bij Norea.
Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) een kleine tien jaar geleden en de instelling van waakhond Autoriteit Persoonsgegevens (AP) staat het onderwerp inmiddels bij veel meer mensen op het netvlies. Ook in de bestuurskamer: de Autoriteit Persoonsgegevens is bevoegd een boete op te leggen aan de organisatie en een persoonlijke boete aan de bestuurders bij overtreding of het niet naleven van de AVG. Ook kan een bestuurder persoonlijk aansprakelijk worden gesteld bij bijvoorbeeld het niet melden van een datalek.
Organisaties hebben de afgelopen jaren dan ook veel energie gestoken om te voldoen aan de regelgeving rondom privacy. ‘Maar’, merkt Ridderbeekx op, ‘het blijkt in de praktijk niet altijd eenvoudig de eisen van de AVG – een ‘dik boekwerk’ – goed te interpreteren en te vertalen naar praktische maatregelen. Bijvoorbeeld om datalekken te voorkomen en vooral wat je moet doen als je een lek ontdekt.’
Beyond compliance
Ook lag er aanvankelijk veel focus op de dreiging van hoge boetes, vindt hij. ‘Terwijl er in bredere zin meer bewustzijn nodig is om de privacybeheersing op orde te hebben. Beyond compliance noem ik dat. Dat er ook voldoende aandacht is voor governance, transparantie over dataverwerking, ethisch gebruik van data én het besef dat je netjes om moet gaan met persoonsgegevens.’ Norea beschikt over een instrumentarium dat organisaties hierbij kan ondersteunen. Zo heeft de beroepsvereniging een zogeheten Privacy Control Framework (PCF) ontwikkeld. Dit raamwerk van maatregelen helpt zowel organisaties als it-auditors bij het beoordelen van de manier waarop persoonsgegevens worden verwerkt. Dit, om inzichtelijk te maken of de organisatie voldoet aan de eisen van de AVG.
Momenteel staat het PCF opnieuw in de steigers, vertelt Ridderbeekx. ‘We kijken of er punten zijn die moeten worden herzien. Denk aan het toenemend gebruik van algoritmen: waar zijn de gegevens uit geput en zijn ze wel waardenvrij. Ook bestaat de wens om het PCF compacter en handzamer te maken.’
Een tweede instrument van Norea, voortvloeiend uit het PCF, is het ‘assurance report’. Daarin stelt een it-auditor op basis van een onderzoek onafhankelijk vast in hoeverre een organisatie voldoet aan de eisen uit framework. Die kan ermee naar buiten treden en dit, eventueel met bijbehorend logo, op haar website plaatsen. Ridderbeekx: ‘Als een soort embleem van: ‘kijk, we zijn getoetst en goed bevonden.’
Een DPIA is dus een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen
Een derde instrument van Norea op het vlak van privacy bevat een handreiking en een raamwerk (een set vragen over gestelde eisen) om een Data Protection Impact Assessment (DPIA; in het Nederlands een GEB: Gegevensbeschermingseffectbeoordeling) uit te voeren in lijn met de eisen van de AVG. Die schrijft voor dat je in bepaalde omstandigheden, voordat je een nieuw systeem invoert of persoonsgegevens gaat verwerken, stilstaat bij de manier waarop je dat wil doen, zegt werkgroepvoorzitter Roodnat. ‘Een DPIA is dus een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico’s te verkleinen.’
Ook de DPIA-producten zullen rekening moeten houden met het toenemend gebruik van artificial intelligence (ai) en algoritmen. Aspecten ervan vallen negatief uit voor de privacy. Daar dienen ook toetsbare normen voor vastgesteld te worden, aldus de Norea-werkgroepleden.
Grondrecht
Op het gebied van privacybescherming gold Nederland met de WPR (Wet persoonsregistraties) en later de WBP (Wet bescherming persoonsgegevens) als een van de voorlopers in de wereld. Met de invoering van de AVG is dit op een hoger en strenger niveau komen te liggen. Maar schiet de huidige wetgeving af en toe niet door? Zo bleek laatst het aantal schoolklassenfoto’s drastisch af te nemen omdat voor elk kind toestemming moet worden gegeven. Of neem een hr-afdeling, die mag niet zomaar meer een adres van een zieke medewerker doorgeven aan een collega die een kaartje wil sturen. Terwijl niet zo heel lang geleden de telefoon- en gouden gidsen nog volop raadpleegbaar waren.
Hier tekent Roodnat bij aan dat de groeiende digitalisering voor een veel omvangrijkere handel in data heeft gezorgd, ook illegaal. En de opkomst van de sociale media vraagt eveneens om een betere bescherming van de persoonlijke levenssfeer. ‘Privacy is een grondrecht’, benadrukt hij. ‘Op de AVG valt heus wel wat af te dingen maar die is wel bedoeld om dit recht te beschermen. Zo’n Dag van de Europese Privacy op 28 januari wordt dan ook georganiseerd om de bewustwording hierover onder mensen te vergroten. Dat ze in bepaalde situaties toch nog even nadenken: mag dit wel?’
Partners
Norea werkt regelmatig samen met partners, zoals Isaca (de internationale beroepsvereniging op het gebied van cybersecurity en it-governance), de eerder genoemde registeraccountants, het CIP (Centrum Informatiebeveiliging en Privacybescherming) en andere deskundigen op het terrein van informatiebeveiliging. Het traditionele vraagstuk van adequate beveiliging van informatie heeft een belangrijke mate van overlap met het waarborgen van een goede bescherming van persoonsgegevens. ‘Maar zelfs een goede beveiliging van je gegevens betekent niet automatisch dat ook privacy in zijn volle breedte is gewaarborgd,’ merkt Ed Ridderbeekx op.
