Wat is de taak van een Data Protection Officer?

Transcriptie

1 whitepaper Wat is de taak van een Data Protection Officer? 1 Wat is de taak van een Data Protection Officer?

2 Wat is de taak van een Data Protection Officer? Binnenkort wordt de DPO zelfs verplicht De groeiende vraag naar big data-specialisten zegt veel over de potentie die bedrijven toedichten aan het ophalen, verzamelen en analyseren van digitaal verworven gegevens. Met al die gegevens moet je goed omspringen, en daarbij kan de Data Protection Officer helpen. Maar wat moet die nu eigenlijk doen binnen je bedrijf? Analyse van de grote hoeveelheid digitale gegevens zou moeten leiden tot inzichten die ondernemingen effectiever en efficiënter laten opereren. Zo voorspelt de Boston Consulting Group dat big data in 2020 in Europa een economische waarde vertegenwoordigt van bijna 1 biljoen euro. Dat geeft wel aan hoe belangrijk data is en hoe belangrijk het is om ze goed te beveiligen. Europees bedrijfsleven schiet tekort Hoe intensiever organisaties data verzamelen, hoe meer het belang van dataprotectie toeneemt. Geen enkele manager wil meemaken wat bestuurders van Sony Pictures Entertainment en Ashley Madison ondervonden toen veel vertrouwelijke data van hun onderneming geplunderd en gepubliceerd werd. Ook hebben managers liever niet dat consumenten grote vraagtekens plaatsen bij de vraag hoe en waar hun bedrijf data opslaat. Zo kwam Oostenrijks burger Max Schrems dit jaar met succes in het geweer tegen de manier waarop Facebook in de VS zijn persoonsgegevens mag verwerken. Dit had als gevolg de ongeldigverklaring van het Safe Harbor-verdrag dat tot dan toe de Amerikaanse wijze van dataopslag en -bewerking in Europa legitimeerde. Een groot deel van het Europees bedrijfsleven schiet nog tekort bij het veiligstellen van privacygevoelige gegevens. Dat er vooral grote Amerikaanse hackschandalen bekend zijn, is misleidend: waar bedrijven in de meeste staten van de VS al ruim 10 jaar verplicht zijn om datalekken te publiceren, wordt dat pas vanaf 2016 een plicht voor Nederlandse ondernemingen. Wie hier de ongeldigverklaring van Safe Harbor en een aanstaande strengere Europese Privacy Verordening bij betrekt, begrijpt goed waarom inmiddels een groeiend aantal beursgenoteerde bedrijven aan dataprotectie prioriteit verleent. Hoofdregels Europese Privacy Verordening (naar verwachting ingevoerd in 2017) Boetes tot maximaal 100 miljoen euro of 5 procent van de wereldwijde omzet bij overtreding van de regels Strengere eisen aan de beveiliging van privacygevoelige informatie en een meldplicht aan de toezichthouder bij datalekken (In Nederland gaat de meldplicht al 1 januari 2016 in) Verplichte expliciete toestemming van klanten als bedrijven persoonsgegevens (big data) willen verwerken. Klanten moeten hun permissie ook weer kunnen intrekken NO-NSA clausule: ondernemingen mogen persoonsgegevens alleen mét toestemming van de toezichthouder delen met buitenlandse overheden Het recht om vergeten te worden in zoekmachines Niet alleen verplichte contractuele afspraken met datahosters, maar ook subhosters Eén Europese privacywaakhond, die alle nationale loketten vervangt De verplichting om een Functionaris voor de Gegevensbescherming aan te stellen bij instanties die persoonsgegevens verwerken van meer dan mensen per jaar 2 Wat is de taak van een Data Protection Officer?

3 De Data Protection Officer Een van de verplichtingen die de nieuwe Europese Privacy Verordening (zie kader 1) zal voorschrijven, is de aanstelling van een Data Protection Officer bij organisaties met meer dan 250 medewerkers en die per jaar de persoonsgegevens van 5000 of meer mensen verwerken. De Data Protection Officer (DPO) rapporteert direct aan de Raad van Bestuur en begeleidt deze bij de definiëring van de dataprotectieprocedures en naleving ervan. De DPO analyseert ook alle dataverwerkingsprocessen in het bedrijf. Daarnaast documenteert en beoordeelt hij deze juridisch en scant hij de processen op potentiële bedreigingen en veiligheidslekken. De DPO ontwikkelt op basis van zijn documentaties maatregelen ter verbetering van het beveiligingsniveau in de onderneming en minimaliseert zo risico op schade. Managers kunnen dankzij zijn ondersteuning conform de regels het eigen aansprakelijkheidsrisico drastisch verlagen. De DPO gedraagt zich niet als politieagent De DPO richt zich op databescherming. Hij of zij houdt zich bezig met bescherming van persoonsgegevens, maar ook met bijvoorbeeld vertrouwelijke bedrijfsgegevens. Een zeer grote focus op privacybescherming zou ook onnodig problemen veroorzaken, er moet namelijk nog meer informatie beschermd worden. Pas als de DPO na onderzoek heeft bepaald in welke mate er intern behoefte is aan informatiebeveiliging, kan hij het juiste kader voor voldoende dataprotectie scheppen. De behoefte aan bescherming van de informatie is de basis van de keuze van de juiste technischorganisatorische beschermingsmaatregelen. Het is tegelijkertijd een belangrijke maatstaf voor de expertise die de Data Protection Officer moet hebben. Hoe bepaalt de DPO de juiste mate aan bescherming? In de praktijk hebben bedrijven duidelijk moeite met het vaststellen van de behoefte aan bescherming. Voor alle informatie die ze verzamelen, opslaan of gebruiken, moet het risico van gegevensmisbruik of het verlies van informatie worden vastgesteld. Daarmee wordt ook de behoefte aan bescherming bepaald. De hoeveelheid aan informatie die beveiligd moet worden is zelfs bij kleine bedrijven al enorm en neemt verder toe. Daarom is er vraag naar strategieën en instrumenten die het vaststellen van de beveiligingsbehoefte vereenvoudigen en bespoedigen. Invloeden op de beveiligingsbehoefte Het vaststellen van de behoefte aan dataprotectie gaat makkelijker wanneer de DPO de informatie eerst classificeert en vervolgens bepaalt wat voor soort informatie het is binnen de juiste informatiecategorie. De Europese wet noemt nadrukkelijk bepaalde informatiecategorieën die bijzonder gevoelig zijn en beveiliging nodig hebben. Dit zijn met name gegevens over ras en etniciteit, politieke, religieuze of filosofische overtuigingen, vakbondslidmaatschappen, gezondheid of seksuele voorkeuren. Met deze datasoorten heeft natuurlijk niet elk bedrijf te maken. Er zijn andere typen vertrouwelijke informatie die speciale bescherming nodig hebben en waar veel bedrijven wel mee te maken hebben. Bijvoorbeeld informatie over de constructie van een nieuwe installatie of de bestanddelen van een nieuw chemisch product. Dan volgt de vraag wie binnen het bedrijf kan vastleggen welke gegevenscategorieën er zijn en in hoeverre deze beveiligd moeten worden. Indeling maken De vraag naar de daadwerkelijk aanwezige datacategorieën binnen het bedrijf en de benodigde beveiliging is niet direct besteed aan 3 Wat is de taak van een Data Protection Officer?

4 de Data Protection Officer. Een Data Protection Officer is veel meer gefocust op procedures. Hij weet welke procedures nodig zijn bij de verwerking van persoonsgegevens en de daarbij horende informatiesoort. De DPO zal daarom bij elke interne afdeling nagaan met wat voor datacategorieën ze werken. Het is namelijk heel erg afhankelijk van de business wat voor categorieën in de loop der jaren zijn ontstaan. De visie van de business op de informatie is onmisbaar. De DPO zal vervolgens alle in gebruik genomen categorieën binnen het bedrijf bijeenbrengen. Het helpt bedrijven om eerst een lijst van al hun toepassingen op te stellen en de inkomende en uitgaande informatie te beschrijven. Verwerken zij leveringsgegevens of alleen klantgegevens? Slaan zij adressen op of ook bankgegevens van relaties? Om maar een paar voorbeelden te noemen. Vervolgens wil de DPO de gedefinieerde gegevenscategorieën indelen op behoefte aan vertrouwelijkheid, beschikbaarheid en integriteit. Een eenvoudige indeling van laag, middel en hoog kan daarbij al voldoende zijn. De DPO zal interne afdelingen ook vragen waarderingen te geven aan gegevenscategorieën, en hoe de afzonderlijke beschermingsdoelstelling van deze gegevens zich verhoudt tot de behoefte aan bescherming. Informatie ordenen en achterhalen Wanneer de lijst met categorieën en behoefte aan beveiliging is samengesteld, gaat de DPO aan de slag met het proces waarin alle datasoorten die bescherming nodig hebben opgespoord worden en in categorieën ingedeeld worden. Dat is makkelijker gezegd dan gedaan, maar bij deze stap kunnen softwareprogramma s helpen die de gegevens opzoeken en indelen. Een nevenproduct van gegevensclassificatie verdient een speciale vermelding. Bij dit proces komt ook heel duidelijk aan het licht wat de actuele locatie is waar de gegevens worden opgeslagen. Zoals bekend heeft de opslaglocatie grote invloed op de mate waarin informatie gevaar loopt. Staan ze bijvoorbeeld op een goed beveiligd bedrijfsnetwerk of op de smartphone van een medewerker die snel uit het oog verloren wordt? Als bedrijven moeite gaan doen om meer transparantie in data-opslag te krijgen, zorgt dat dus direct voor versterking van de informatiebescherming: zo kun je informatie lokaliseren, indelen en de mate van bescherming bepalen. Daarmee is een centrale basis gelegd voor alle verdere maatregelen voor DPO s. Zonder transparantie werkt zijn plan niet, ook al denk je bij transparantie niet direct aan dataprotectie. Overzicht op de verwerkingsprocessen De Data Protection Officer heeft een lijst van alle verwerkingsprocessen voor persoonsgegevens van elke verantwoordelijke functie. Hoewel letterlijk volgens de wet eigenlijk de verschillende bedrijfsleiders een verwerkingsoverzicht moeten opstellen, neemt in de praktijk de DPO deze taak op zich of ondersteunt een medewerker ter plekke bij de opstelling ervan. Dit overzicht bevat ook de vereiste maatregelen die getroffen worden bij beveiliging van persoonsgegevens. Hier is het de taak van de Data Protection Officer om nauwkeurig te toetsen of de geplande beveiligingsmaatregelen voor persoonsgegevens voldoende zijn. Na het classificeren, lokaliseren en het vaststellen van de beveiligingsbehoefte van data, heeft de DPO een gezonde basis gelegd waarop hij en het bedrijf in de toekomst op kunnen blijven voortbouwen. Wil het management nieuwe verwerkingsprocessen in het bedrijf doorvoeren, dan moeten zij de DPO hierbij telkens betrekken en hem de gelegenheid geven een standpunt in te nemen. Gaat het om bijzonder gevoelige persoonlijke informatie, 4 Wat is de taak van een Data Protection Officer?

5 dan is binnenkort volgens de wet een eerste controle door de DPO noodzakelijk. Een goed functionerende DPO wordt ook minimaal één keer per jaar gevraagd een rapport over informatiebeveiliging voor het management op te stellen. Dit is (nog) niet verplicht, maar wel aan te raden. Vrijheid van aanstelling Bedrijven hebben de vrijheid om zelf te bepalen op wat voor manier ze een DPO aanstellen en of ze die op de lange termijn aanhouden. Zo mogen ze hun DPO inhuren of vast aanstellen. Maar als ze een DPO aanstellen, schrijft de aanstaande Europese verordening wel voor dat deze dezelfde ontslagbescherming heeft als de leden van de ondernemingsraad. Samenvatting: wat doet een Data Protection Officer? Vastellen van de behoefte aan handelingen of veranderingen rond maatregelen in gegevensbeveiliging; Bepalen van de databeveiligingsdoelstellingen ; Bewaken van de voorgeschreven toepassingen van dataverwerkingsprogramma s; Coördineren van en toezicht houden op de maatregelen voor privacybescherming en beveiliging; Opzetten en onderhouden van de volgens de wet voorgeschreven procesoverzichten; Ontwikkelen van richtlijnen, werkinstructies en formulieren om te voldoen de eisen die privacybescherming stelt; Adviseren bij de keuze en invoer van specifieke IT-oplossingen en het testen van de mate waarin deze oplossingen conform zijn aan privacybescherming; Controle vanuit data protection-perspectief van contracten met zakenrelaties; Bijhouden van de ontwikkelingen rond wetgeving, richtlijnen en rechtspraak die betrekking hebben op informatiebeveiliging; Scholen en informeren van medewerkers over de omgang met persoonsgegevens; Aanspreekpartner voor alle zaken die betrekking hebben op data protection en het beantwoorden van vragen hierover (bijvoorbeeld van de inspectie of betrokkenen); Tussenpersoon voor bevoegde privacybeschermingsautoriteit bij twijfelgevallen. 5 Wat is de taak van een Data Protection Officer?