De nieuwe Europese privacyverordening heeft een verplicht karakter als het gaat om bescherming van persoonsgegevens. Uitvoeren van alleen een Privacy Impact Assessment is onvoldoende.
Volstaat Privacy Impact Assessment (PIA) voor rechtmatige verwerking van persoonsgegevens?
In een steeds verder digitaliserende wereld, waar organisaties hun gegevens veelal met behulp van informatiesystemen verwerken, hebben deze organisaties ook te maken met privacywetgeving. Organisaties die persoonsgegevens verwerken, dienen zich te conformeren aan privacyrichtlijnen. Om natuurlijke personen te beschermen tegen oneigenlijke of onzorgvuldige verwerking van persoonsgegevens is in 1995 door de Europese Unie een privacyrichtlijn opgesteld. In 2001 heeft Nederland deze richtlijn vertaald naar de Wet bescherming persoonsgegevens (wbp).
De in 1995 opgestelde Europese privacyrichtlijn werd door iedere lidstaat verschillend ingevuld. Om deze lappendeken aan privacywetgeving tot een uniforme wetgeving te maken, is een Europese verordening opgesteld die naar verwachting in 2015 in werking treedt. Vanaf het moment van inwerkingtreding van deze verordening, zal voor elke lidstaat dezelfde invulling van de privacywetgeving gelden. Een van de gevolgen hiervan is het verplichte Privacy Impact Assessment voor alle organisaties die persoonsgegevens verwerken.
Een Privacy Impact Assessment (PIA) is een instrument dat helpt bij het vroegtijdig onderkennen van privacyrisico’s die optreden bij het verwerken van persoonsgegevens. De PIA bestaat uit een gerichte vragenlijst die op gestructureerde wijze de (negatieve) gevolgen van het verwerken van persoonsgegevens bloot legt. Denk daarbij aan vragen gekoppeld aan de privacyprincipes, te weten: dataminimalisatie, gegevenskwaliteit, doelbinding, limitering in gebruik van gegevens, verenigbaarheid van verdere verwerking, beveiliging van gegevens, transparantie, rechten van betrokkenen en verantwoording.
De PIA geeft inzicht in de impact van de verwerking van persoonsgegevens voor de betrokkenen en de organisatie, alsmede waar deze impact is gelokaliseerd. Hiermee worden privacyrisico’s zoveel als mogelijk vroeg onderkend. Daarnaast wordt een beeld geschetst van het type gegevens dat uit het oogpunt van rechtmatigheid door het proces/systeem verwerkt mag worden. Een goed uitgevoerde PIA draagt bij aan een betere gegevenskwaliteit en een verbeterde dienstverlening op basis van de gegevens. Een bijkomend doel is dat het privacybewustzijn van de hierbij betrokken personen wordt vergroot. Een PIA is organisatie-onafhankelijk en kan in alle typen organisaties worden uitgevoerd. Bij voorkeur wordt dit instrument zo vroeg mogelijk toegepast; in de ontwerpfase van een proces en informatiesysteem (Privacy by Design). Hiermee wordt voorkomen
dat kostbare wijzigingen, zoals het herontwerpen van het proces of informatiesysteem, achteraf moeten plaatsvinden.
Op basis van de resultaten van de PIA, moet een risicogerichte benadering worden gevolgd voor het bepalen van de juiste inrichting van het proces en ondersteunende informatievoorziening. De PIA geeft hierbij inzicht in de kwetsbaarheid van de persoonsgegevens die verwerkt worden. De maatregelen die nodig zijn voor de bescherming van deze persoonsgegevens volgen uit de verderop beschreven risicoanalyse.
Artikel 13 Wbp eist maatregelen ten behoeve van het beveiligen van persoonsgegevens tegen verlies of enige vorm van onrechtmatige verwerking en is tevens gericht op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens. De ‘richtsnoeren beveiligen van persoonsgegevens van het CBP’ stellen dat het uitvoeren van een PIA onvoldoende is om te voldoen aan artikel 13 van de Wbp. Om tegemoet te komen aan deze eis en daarmee de bescherming van persoonsgegevens te waarborgen, moet een risicoanalyse worden uitgevoerd.
De risicoanalyse geeft inzicht in de eisen die aan een proces en de informatievoorziening worden gesteld in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Doordat deze risico’s vanuit privacyoogpunt in kaart worden gebracht, wordt steeds vanuit de betrokkene – over wie de persoonsgegevens gaan – geredeneerd. De risicoanalyse leidt op basis van een risicoinschatting tot de beveiligingsmaatregelen die moeten worden ingevoerd. Het is hierbij niet van belang of er van één persoon of meerdere personen informatie wordt verwerkt. Naarmate het vereiste betrouwbaarheidsniveau hoger is, zullen meer en zwaardere beveiligingsmaatregelen moeten worden geïmplementeerd.
Nadat zich een incident in de bescherming van de persoonsgegevens heeft voorgedaan, moet – afhankelijk van de ernst – onverwijld een melding worden gedaan aan de toezichthouder, het College bescherming persoonsgegevens (CBP) en aan diegene die het betreft (data-subject).
Het wetsvoorstel ‘meldplicht datalekken’ is momenteel onderhanden in de Tweede Kamer. Organisaties die geen melding doen van een datalek, worden beboet met een bestuurlijke boete, waarvan de hoogte afhangt van de omvang van het datalek. Om aan te kunnen tonen dat passende beveiligingsmaatregelen zijn genomen, moet in ieder geval kunnen worden aangetoond dat over privacyrisico’s is nagedacht en dat kan worden aangetoond met een uitgevoerde en gedocumenteerde PIA en risicoanalyse.
Op basis van de resultaten van de PIA en de risicoanalyse wordt bepaald welke beveiligingsmaatregelen noodzakelijk zijn. Om verzekerd te zijn van goede dekking van de risico’s zijn enkele maatregelen (uitgaande van de ISO 27002 norm) minimaal noodzakelijk:
Informatiebeveiligingsbeleid en privacybeleid
Het informatiebeveiligings- & privacybeleid dient in de organisatie op bestuurlijk niveau vastgesteld te zijn. Daarnaast dient de organisatie tevens duidelijk uit te dragen hoe het omgaat met privacy. Door middel van een vastgesteld privacybeleid worden de wettelijke verplichtingen en de ambitie van de organisatie op het gebied van privacy tot uitdrukking gebracht.
Toewijzen verantwoordelijkheden
Het beheersproces rond informatiebeveiliging en privacy moet worden belegd door het toewijzen van verantwoordelijkheden. Artikel 15 Wbp stelt dat de eindverantwoordelijkheid ligt bij de bestuurder (directie) van een organisatie. Voor de verwerking van (persoons)gegevens kan het toezicht worden gedelegeerd aan een functionaris gegevensbescherming. Voor wat betreft de informatieveiligheid wordt dit gedelegeerd aan de informatiebeveiligingsfunctionaris (de CISO in een grote organisatie).
Beveiligings- en privacybewustzijn
Onvoldoende bewustzijn van privacy en beveiligingsverantwoordelijkheden bij medewerkers in de organisatie, zorgt voor een toename in de kans op fouten bij het verwerken van (persoons)gegevens. Een trainingsprogramma over het beveiligingsbeleid en privacybeleid, met aandacht voor omgang met (persoons)gegevens, moet bijdragen aan het bewustzijnsniveau van de medewerkers.
Invoeren beveiligingsmaatregelen
De maatregelen uit de risicoanalyse moeten worden ingevoerd in de organisatie. Denk hierbij aan bijvoorbeeld fysieke beveiligingsmaatregelen, toegang tot apparatuur en logische toegangsbeveiliging van informatiesystemen. In dit verband is het belangrijk om onbevoegde toegang tot informatiesystemen en informatie te voorkomen, toegangsrechten te beheren en sluitende procedures hieromtrent na te leven. Daarnaast is een belangrijke rol toebedeeld aan logging en controle. Beide aspecten zijn belangrijk om een datalek te kunnen detecteren en te kunnen voldoen aan het inzagerecht.
Incidentmanagementproces
Het doeltreffend omgaan met beveiligingsincidenten is noodzakelijk om snel en passend te kunnen reageren op bijvoorbeeld een datalek. Hierbij dient specifiek aandacht te zijn voor rollen en verantwoordelijkheden zodat door de juiste mensen uiteindelijk ook melding kan worden gedaan bij de toezichthouder.
De nieuwe Europese privacyverordening zal naar verwachting in 2015 van kracht gaan en zorgt voor een verplicht karakter als het gaat om bescherming van persoonsgegevens. Enkele aanpassingen ten opzichte van de oude richtlijn/wetgeving betreffen het verplichte Privacy Impact Assessment (PIA) en de ‘meldplicht datalekken’. Door verwerking van persoonsgegevens binnen processen en informatiesystemen dusdanig in te richten dat geconformeerd wordt aan de nieuwe richtlijn kunnen forse bestuurlijke boetes worden voorkomen. Enkel het uitvoeren van een PIA is echter niet voldoende. Een risicogerichte benadering van de verwerking van persoonsgegevens bij de inrichting van nieuwe (of aanpassingen van bestaande) processen en informatiesystemen leidt voor wat betreft de persoonlijke data tot een volledig beeld van risico’s op het gebied van betrouwbaarheid, integriteit en vertrouwelijkheid. Op basis van deze gecombineerde/aanvullende strategie kunnen de juiste mitigerende maatregelen worden bepaald door de verantwoordelijken.