In Nederland vervangt de wet Bescherming Persoonsgegevens sinds 1 september 2001 de minder veeleisende en administratief zware wet Persoonsregistraties. Lag bij de oude wet de nadruk op registratie, de WBP omvat alle verwerkingen op persoonsgegevens, van verzamelen tot en met vernietigen. Na een overgangsperiode van één jaar moeten alle organisaties inmiddels voldoen aan de bepalingen van de WBP.
| WBP-aanpak 1 Wat zijn de praktische gevolgen van de wet Bescherming Persoonsgegevens? Hoe implementeer je een WBP-aanpak? Welke specifieke maatregelen zijn nodig voor privacy-bescherming? Henk-Jan van der Molen, ict-beleidsmedewerker ministerie Sociale Zaken en Werkgelegenheid, belicht deze onderwerpen in een tweedelige serie, waarvan deel 2 in week 48 volgt. Aangezien gegevensbeveiliging tegenwoordig voornamelijk slaat op geautomatiseerde dataverwerking, ligt het zwaartepunt bij de impact van de WBP op de informatievoorziening. De juridische achtergrond komt kort aan de orde; meer informatie daarover is te vinden op http://www.cbpweb.nl. |
Hoewel sommigen informatiebeveiliging vooral zien als een technisch onderwerp, is een goede organisatie nodig om de beveiliging in de praktijk effect te laten hebben. Hier is informatiebeveiliging gedefinieerd als maatregelen die waarborgen dat: systemen en gegevens beschikbaar zijn conform de verwachtingen; de authenticiteit van een gebruiker en zijn berichten valt vast te stellen; de integriteit van gegevens is gewaarborgd (juist, tijdig, consistent en volledig); het gebruik van ruimten, systemen en gegevens beperkt blijft tot daarvoor gerechtigde personen (exclusiviteit); en gegevens met handtekening onweerlegbaar zijn door de verzender (non-repudiation).
Schade
Volgens de WBP betreffen persoonsgegevens alle gegevens die te herleiden zijn tot identificeerbare personen. Privacybescherming is onlosmakelijk verbonden met informatiebeveiliging (zie figuur 1). Omdat de WBP meer de nadruk legt op de actieve rechten van betrokkenen, is ‘onweerlegbaarheid’ in deze figuur alleen bij informatiebeveiliging genoemd.
Net als informatiebeveiliging geniet privacybescherming weinig waardering als het onderwerp abstract blijft. Na 11 september 2001 verminderde het draagvlak voor privacy ten opzichte van veiligheid onder het motto ‘goedwillende mensen hebben niets te verbergen’. Als er echter onvoldoende aandacht voor privacy is, kan dat wijzen op slechte inschatting van kwetsbaarheden of zelfs een onvoldoende beveiliging. Hierdoor kunnen incidenten optreden die schade veroorzaken. Pas als bijvoorbeeld door een nalatigheid klantgegevens op straat liggen, snapt iedereen het verband tussen risico’s, maatregelen, incidenten, vertrouwen en bedrijfsresultaat.
|
Het Voorschrift Informatiebeveiliging Rijksdienst verplicht de overheid voor informatiesystemen informatiebeveiligingsplannen op te stellen door afhankelijkheids- en kwetsbaarheidanalyses uit te voeren. Voor het bedrijfsleven golden geen algemene regels voor informatiebeveiliging. Daar bracht de WBP verandering in, omdat deze wet voor alle organisaties eisen stelt aan de beveiliging van persoonsgegevens.
Managementcyclus
Voor een goed effect moeten informatiebeveiliging en privacybescherming onderdeel zijn van de normale bedrijfsvoering. Dit betekent dat het management van een organisatie verantwoordelijk is voor een goede beveiliging. Om de beveiligingsactiviteiten te sturen, is de ‘plan-do-check-act’-managementcyclus bruikbaar.
Plan: in het informatiebeveiligings- en het privacybeleid draagt het management zijn visie uit over de bescherming van de ict-architectuur. Naast de uitgangspunten, richtlijnen en beveiligingseisen omvat dit ook het verdelen van verantwoordelijkheden in de organisatie. Een resultatenketen plaatst zo’n plan in een breder perspectief (zie figuur 2). Door beveiligingsmaatregelen expliciet te koppelen aan doelstellingen is het nut voor iedereen duidelijk. Haalbare en toetsbare doelstellingen zijn ‘smart’ gedefinieerd (specifiek, meetbaar, acceptabel, realistisch en tijdgebonden). Dit vormt de basis voor privacybescherming in de praktijk.
|
Do: als onduidelijk is hoe binnen een organisatie de privacybescherming is ingevuld, is een vooronderzoek nodig. Welke gegevens verwerken we? Inventariseer systemen met persoonsgegevens, gegevensbronnen en ontvangers van persoonsgegevens. Gebruik hiervoor de CBP-privacyscan of de systemenlijst van de organisatie. Wie hebben toegang? Bepaal wie de verantwoordelijke(n), eventuele bewerkers, het personeel dat met persoonsgegevens werkt, de betrokkenen en de beheerders zijn. Zijn deze verwerkingen rechtmatig? Stel de doelstellingen van verzameling en verwerking vast en ga na welke verwerkingen zijn toegestaan. Welke verwerkingen behoeven een voorafgaand onderzoek en welke moeten gemeld worden? Hoe gaan we de verwerkingen beveiligen? De benodigde maatregelen voor privacybescherming worden gepland en ingevoerd.
De kritieke succesfactoren voor zo’n traject zijn deskundig personeel, draagvlak binnen de organisatie en controle of de doelstellingen worden gehaald. Uit de beleidsdocumenten, het vooronderzoek en de kwetsbaarheid van bedrijfsprocessen zijn praktische maatregelen voor de ontwikkeling en het beheer van de informatievoorziening af te leiden. Hierbij worden maatregelen onderscheiden voor preventie, detectie, repressie en evaluatie. Uitgangspunt voor de hier beschreven maatregelen zijn de eisen die de WBP stelt, aangevuld met algemene maatregelen voor informatiebeveiliging. Zoals figuur 1 laat zien, gaat privacybescherming over in informatiebeveiliging als er tussen persoons- en bedrijfsgegevens geen onderscheid wordt gemaakt.
Check: test de effectiviteit en efficiëntie van de ingevoerde beveiligingsmaatregelen. Er bestaan veel verschillende normen en richtlijnen, waaronder tqm (total quality management) voor algemene bedrijfsprocessen, cmm (capability maturity model) voor ict-ontwikkelprocessen, Itil voor ict-beheersprocessen, ISO 17799 voor informatiebeveiliging en ISO 15408 voor beveiligingsproducten. Controleer ook de plannen en voorzieningen, zoals het calamiteitenplan en of de opgestelde procedures in de praktijk worden opgevolgd. Evalueer de opgetreden incidenten, zodat de organisatie daarvan kan leren. Door het al dan niet realiseren van de doelstellingen in de resultatenketen te controleren, valt na te gaan of een maatregel voldoende heeft bijgedragen aan een doelstelling.
Act: stel het pakket maatregelen zodanig bij dat effectiviteit en efficiëntie verbeteren. Corrigeer tekortkomingen en stel ineffectieve maatregelen bij of vervang ze.
Meldingsplicht
De uitgangspunten van de WBP zijn doelbinding en rechtmatige grondslag, melding van verwerkingen, rechten van betrokkenen en transparantie. Maatregelen om persoonsgegevens te beschermen moeten deze uitgangspunten steunen.
Het uitgangspunt ‘doelbinding en rechtmatige grondslag’ betekent dat de WBP niet alle verwerkingen van persoonsgegevens toestaat. Bij de verzameling van gegevens moet een organisatie de betrokkenen informeren over alle verwerkingen. Voor verwerkingen die onder de WBP vallen, moeten de betrokkenen soms expliciet toestemming verlenen. De doelstelling van de verwerkingen op persoonsgegevens moet overeenkomen met het doel van het verzamelen daarvan. Een rechtmatige verwerking van persoonsgegevens volgt bijvoorbeeld uit een wederzijdse overeenkomst of een publiekrechtelijke taak. Het CBP stelt met een voorafgaand onderzoek vast of verwerkingen met een bijzonder risico zijn toegestaan, bijvoorbeeld de koppeling met externe persoonsgegevens zonder een wettelijke basis daarvoor. Doorgeven van persoonsgegevens naar ontvangers buiten de Europese Unie is in de regel alleen toegestaan als deze landen een vergelijkbare privacybescherming kennen.
De WBP kent een algemene meldingsplicht voor verwerkingen van persoonsgegevens en specificeert alle uitzonderingen daarop. Een organisatie moet dus informatie over meldingsplichtige verwerkingen van persoonsgegevens openbaar maken. Zo’n melding bevat statische gegevens over de verwerking, zoals de betrokken organisaties en de contactpersonen hiervoor, een typering van de betrokkenen van wie gegevens worden verwerkt en dat het bijvoorbeeld gaat om naw-gegevens. Ook de doelstelling van de verzameling en andere verwerkingen van deze persoonsgegevens worden opgesomd, inclusief de beveiligingsmaatregelen en wie deze persoonsgegevens ontvangt. Voor het elektronisch registreren van meldingen verstrekt het CBP een meldingsprogramma.
Recht op verzet
Door de WBP zijn de rechten van betrokkenen toegenomen, vooral voor de verwerking van de eigen persoonsgegevens. De informatieplicht werd al genoemd bij doelbinding. Als Jan de Vries ’s avonds wordt gebeld over een voordeelaanbieding, kan hij de organisatie in kwestie vragen om een overzicht van zijn gegevens, waar die vandaan komen en wie zijn gegevens hebben gezien of gemuteerd in de afgelopen zes maanden (inzagerecht). Een organisatie heeft voor het produceren van dit overzicht maximaal vier weken de tijd. Jan heeft vervolgens het recht fouten in zijn gegevens te corrigeren. Door het recht op verzet kan Jan bij de bronorganisatie zijn gegevens laten blokkeren voor telemarketing. Daarvoor is een goede organisatorische verankering van procedures nodig.
De WBP werkt onder andere de eisen voor exclusiviteit verder uit. Naast openbare en niet openbare persoonsgegevens onderkent de WBP bijzondere persoonsgegevens die invloed hebben op iemands positie in de maatschappij. Voorbeelden van bijzondere persoonsgegevens zijn: het strafrechtelijke verleden, het ras, de godsdienst en de seksuele geaardheid. Organisaties mogen bijzondere gegevens niet verwerken, tenzij de WBP daarvoor een specifieke uitzondering bevat. Bovendien moet een organisatie deze verwerkingen zwaarder beveiligen. Naarmate er meer over één persoon bekend is, moet de beveiliging ook navenant strenger zijn. De WBP spreekt daarbij over een passende beveiliging, een afweging van de risico’s, de stand van de techniek en de kosten van beveiliging.
Privacybeleid, procedures en gepubliceerde WBP-meldingen geven inzicht in de verwerkingen van persoonsgegevens binnen een organisatie. Open standaarden en oss (open source software) geven in detail aan hoe de gegevens worden verwerkt. Onafhankelijk toezicht op de WBP-rechten maakt de privacybescherming van organisaties geloofwaardiger. Transparantie vertaalt zich in het vertrouwen dat bij de organisatie persoonsgegevens in goede handen zijn.< BR>
‘Reddend sturen’, https://www.computable.nl/artikels/archief1/d06ag103.htm
‘Beveiliging van persoonsgegevens’, Registratiekamer
‘Mag het een bitje minder zijn?’, CBP
Henk-Jan van der Molen, ict-beleidsmedewerker ministerie Sociale Zaken en Werkgelegenheid
