WBP Zelfevaluatie. Privacygedragscode (VPB)

Transcriptie

1 WBP Zelfevaluatie Privacygedragscode (VPB) April 2004

2 1. Inleiding In haar beschikking van 13 januari 2004 heeft het College Bescherming Persoonsgegevens (CBP) verklaard dat de in de privacygedragscode van de Vereniging van Particuliere Beveiligingsorganisaties (VPB) opgenomen regels, gelet op de bijzondere kenmerken van de sector particuliere onderzoeksbureaus, een juiste uitwerking vormen van de WBP of van andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens. De bepalingen van de privacygedragscode dienen te worden vertaald in een systeem van administratieve voorschriften en procedures en interne controle. De VPB heeft een toolkit voor haar leden ontwikkeld zodat zij in staat gesteld worden op adequate wijze invulling te geven aan de bepalingen van de privacygedragscode. Deze toolkit bestaat uit: Een modelaanmelding; een praktische handreiking voor particulier onderzoekers met aandachtspunten uit de privacygedragscode; een model voor dossierbeheer en een modelzelfevaluatie. 2. Jaarlijkse zelfevaluatie De zelfevaluatie kan door het management zelf of indien aanwezig - door een privacycoördinator uitgevoerd worden. De uitkomsten van de zelfevaluatie geven een duidelijk beeld over de huidige situatie en de noodzakelijke verbeterpunten. Een van de uitgangspunten van de zelfevaluatie is dat jaarlijks een detailcontrole wordt uitgevoerd op acht onderzoeksdossiers om vast te stellen of alle vereiste elementen uit de privacygedragscode voldoende aandacht is besteed. Het management kan er ook voor kiezen om per maand één dossier na te lopen op de naleving van de bepalingen van de privacygedragscode. Ten behoeve van adequaat dossierbeheer is een lijst met aandachtspunten beschikbaar waarop wordt aangegeven welke documenten daadwerkelijk in het dossier moeten zijn gevoegd. Degene die de zelfevaluatie uitvoert kan aan de hand van de vaststellingen nagaan hoe het onderzoeksbureau scoort op de relevante aandachtsgebieden van de privacygedragscode. 3. Zelfevaluatie-items De zelfevaluatie bestaat uit een set aan vaststellingen, waarvan het van belang is dat iedere vaststelling door het management van het particulier onderzoeksbureau wordt afgefinkt als blijk van bevestiging dat daadwerkelijk is vastgesteld dat wordt voldaan aan de eisen die uit de Wet Bescherming Persoonsgegevens en uit de privacygedragscode voortvloeien. De opbouw van de vaststellingen is naast het algemene deel en het beveiligingsdeel zodanig dat de chronologische volgorde van een doorsnee onderzoek gevolgd wordt. Per vaststelling wordt aangegeven wat de vindplaats in de privacygedragscode of in andere relevante documenten is. 2

3 1. Algemeen Ja Nee (*) De verplichte melding bij het CBP heeft plaatsgevonden en er zijn administratieve procedures en voorschriften vastgelegd opdat de bepalingen van de privacygedragscode nageleefd worden. Voorts wordt gecontroleerd of de individuele medewerkers de maatregelen en procedures naleven. 1. Is de opdrachten- c.q. voorvallenregistratie aangemeld bij het CBP en is een voorafgaand onderzoek aangevraagd? 2. Beschikt het particulier onderzoeksbureau over een verklaring omtrent rechtmatigheid ex artikel 32 lid 5 WBP dan wel een verklaring van het CBP dat niet tot nader onderzoek wordt overgegaan? 3. Vallen de particulier onderzoekers onder een geheimhoudingsplicht die zich zowel tijdens de duur van de dienstbetrekking als na afloop daarvan uitstrekt? (par 5.7 pgc) 4. Beschikt iedere particulier onderzoeker over de praktijkhandleiding privacygedragscode voor particulier onderzoekers waarin de relevante bepalingen van de pgc overzichtelijk op rij zijn gezet? 5. Wordt binnen de organisatie van het particulier onderzoeksbureau regelmatig aandacht besteed aan de uit de pgc en andere wettelijke bepalingen voortvloeiende bepalingen (bijvoorbeeld tijdens werkoverleggen en functionerings- en beoordelingsgesprekken)? 6. Zijn er procedures t.a.v. de mededeling aan onderzochte personen van opname van diens persoonsgegevens in de opdrachten c.q. voorvallenregistratie? (zie verder 5) 7. Is er een procedure hoe om te gaan met verzoeken tot inzage, correctie, afscherming en verwijdering van gegevens? (zie verder 6) 8. Zij er procedures voor adequaat dossierbeheer? (zie verder 4) 3

4 2. Beveiligingsbeleid Ja Nee (*) Het niveau van beveiliging komt minimaal overeen met de eisen die zijn genoemd voor risicoklasse II in het Rapport Beveiliging van persoonsgegevens van het CBP. Beveiligingsbeleid Is er een beveiligingsplan om te voorkomen dat vertrouwelijke gegevens in handen komen van niet geautoriseerde ontvangers? (Rapport Beveiliging van persoonsgegevens van CBP, par. 4.1). Zijn op basis van het beveiligingsplan passende technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking? Beveiligingsbewustzijn Zijn de medewerkers van het particulier onderzoeksbureau regelmatig geïnstrueerd over de afgesproken maatregelen en procedures voor de beveiliging van persoonsgegevens? (Rapport Beveiliging van persoonsgegevens van CBP, par. 4.3) Fysieke beveiliging Kunnen ruimten met geautomatiseerde voorzieningen die persoonsgegevens bevatten worden afgesloten en zijn deze voorzien van inbraakbeveiliging en een inbraakdetectiesysteem? (Rapport Beveiliging van persoonsgegevens van CBP, par. 4.11) Inrichting van de werkplek Worden pc s en andere gegevensdragers waarop persoonsgegevens verwerkt zijn adequaat beveiligd? (Rapport Beveiliging van persoonsgegevens van CBP, par. 4.5). Is er een clean desk policy? Toegangsbeheer en controle Zijn voor de toegang tot persoonsgegevens toegangsbevoegdheden afgegeven? Heeft niet iedere medewerker toegang tot alle gegevens? (Rapport Beveiliging van persoonsgegevens van CBP, par. 4.7) Wordt de identiteit en de authenticiteit van gebruikers van geautomatiseerde voorzieningen vastgesteld door tenminste een gebruikersnaam en een wachtwoord? Is dit wachtwoord slechts gedurende een van tevoren vastgestelde periode geldig? Wordt elke poging (geslaagd of niet) om toegang te krijgen tot een geautomatiseerde voorziening waarin persoonsgegevens worden opgeslagen vastgelegd in een logbestand? Onderhoud aan apparatuur Is bij onderhoud aan apparatuur door derden contractueel vastgelegd dat de derde de vertrouwelijkheid van persoonsgegevens respecteert? (Rapport Beveiliging van persoonsgegevens van CBP, par. 4.6) Calamiteiten Zijn er procedures voor een adequate back-up? 4

5 Wordt een exemplaar van de back-up op een andere locatie bewaard dan waar de originele persoonsgegevens zich bevinden? (Rapport Beveiliging van persoonsgegevens van CBP, par. 4.13) 5

6 3. Opdrachtaanvaarding Ja Nee (*) Het aanvaarden van opdrachten geschiedt overeenkomstig de bepalingen van de privacygedragscode. Deze bepalingen zijn in de organisatie bekend, worden nageleefd en worden gecontroleerd. 1. Wordt bij de aanvaardingen van (nieuwe) opdrachten beoordeeld of het verzoek of het doel van de opdrachtgever overeenstemt met het doel van de verwerking zoals die bij het CBP is gemeld? (par. 5.2 pgc). 2. Wordt telkens vastgesteld dat de opdrachtgever een gerechtvaardigd belang heeft om een onderzoek in te stellen naar iemands gedragingen of de achtergrond van een persoon? (par. 5.3 pgc) 3. Wordt de opdrachtgever in het intakegesprek gewezen op de op het particulier onderzoeksbureau (als verantwoordelijke in de zin van de WBP) rustende informatieverplichting jegens de onderzochte persoon en wordt vastgesteld of de onderzochte persoon al op de hoogte is van een jegens hem in te stellen onderzoek? (par. 8.1 pgc) 4. Wordt het concrete doel van de onderzoeksopdracht zo nauwkeurig mogelijk in de schriftelijke opdrachtbevestiging tussen het particulier onderzoeksbureau en de opdrachtgever vastgelegd? (par. 5.2 pgc) 5. Wordt een afschrift van de opdrachtbevestiging bewaard in het onderzoeksdossier? (par. 5.2 pgc) 6. Worden wijzigingen in de onderzoeksopdracht of aanvullingen daarop die plaatsvinden in de loop van het onderzoek schriftelijk bevestigd aan de opdrachtgever en bewaard in het onderzoeksdossier? (par. 5.2 pgc) 6

7 4. Onderzoeksdossiers Ja Nee (*) Op grond van de administratieve procedures inzake dossierbeheer blijkt de verplichte documenten daadwerkelijk in het onderzoeksdossier zijn opgenomen en dat de verplichte gedragingen daadwerkelijk zijn uitgevoerd. 1. Wordt het afschrift van de opdrachtbevestiging bewaard in het onderzoeksdossier? (par. 5.2 pgc) 2. Worden wijzigingen in de onderzoeksopdracht of aanvullingen daarop die plaatsvinden in de loop van het onderzoek schriftelijk bevestigd aan de opdrachtgever en bewaard in het onderzoeksdossier? (par. 5.2 pgc) 3. Is uit de onderzoeksdossiers gedocumenteerd herleidbaar op welke wijze gegevens verkregen zijn en van wie de in het dossier opgenomen persoonsgegevens afkomstig zijn? 4. Bevat het onderzoeksdossier verslagen van toegepaste onderzoeksmethoden en middelen onder vermelding van de gronden die tot de toepassing van de gehanteerde onderzoeksmethode c.q. middel hebben geleid? (par. 7.9 pgc) 5. Bevat het onderzoeksdossier de correspondentie die betrekking heeft op verzoeken tot het doen van mededelingen uit de opdrachten- c.q. voorvallenregistratie, verzoeken tot correctie en/of verwijdering en verzoeken die betrekking hebben op het recht van verzet? (par. 9.1 t/m 9.3 pgc) 7

8 5. Informatieverstrekking aan onderzochte persoon Ja Nee (*) Er zijn procedures vastgesteld met betrekking tot het informeren van de onderzochte persoon. De verplichting tot het informeren van de onderzochte persoon wordt nageleefd en de naleving wordt (periodiek) gecontroleerd. 1. Worden onderzochte personen in geval van achtergrondonderzoeken (bijvoorbeeld pre-employmentscreening) voorafgaand aan het onderzoek in algemene bewoordingen medegedeeld wat de aard van het onderzoek is waaraan hij onderworpen is, wat daarvan de reden is en tevens wie als opdrachtgever fungeert? (par. 8.1 pgc) 2. Worden onderzochte personen in andersoortige onderzoeken daadwerkelijk in kennis gesteld dat hen betreffende persoonsgegevens zijn opgenomen in de opdrachten c.q. voorvallenregistratie? (par. 8.1 pgc) 3. Worden de redenen (vermeld zijn in paragraaf 8.1 van de privacygedragscode) om onderzochte personen niet in kennis te stellen dat hen betreffende persoonsgegevens zijn opgenomen in de opdrachten c.q. voorvallenregistratie gemotiveerd vastgelegd in het dossier? 4. Wordt aan onderzochte personen medegedeeld dat antecedenten aan derden kunnen worden verstrekt in het kader van achtergrondonderzoeken? (par. 5.4 en par. 8.1 pgc) 8

9 6. Rechten van de onderzochte persoon Ja Nee (*) De regels voor de rechten van de onderzochte persoon voor verzoeken tot inzage, correctie, afscherming en verwijdering van gegevens zijn in de organisatie bekend worden nageleefd en deze naleving wordt (periodiek) gecontroleerd. 1. Wordt in geval van een verzoek tot het doen van mededelingen uit de opdrachten c.q. voorvallenregistratie de juistheid van de identiteit van verzoeker door overlegging door deze van een identiteitsbewijs vastgesteld? (par. 9.1 pgc) 2. Krijgen verzoekers van verzoeken tot inzage, correctie, afscherming en verwijdering van gegevens binnen vier weken bericht of aan hun verzoek wordt tegemoet gekomen? (par.9.1 pgc) 3. Wordt, indien het verzoek van de onderzochte tot correctie of verwijdering van gegevens uit de opdrachten c.q. voorvallenregistratie wordt geweigerd, verwezen naar de geschillenregeling van hoofdstuk 11 van de gedragscode? (par. 9.2 pgc) 4. Wordt, in geval het verzet tegen de (voorgenomen) verwerking van persoonsgegevens door het onderzoeksbureau niet wordt ingewilligd, verwezen naar de geschillenregeling van hoofdstuk 11 van de gedragscode? (par. 9.3 pgc) 9

10 7. Bewaarduur gegevens Ja Nee (*) Er zijn procedures voor het bewaren en vernietigen van gegevens. De naleving van de procedures wordt regelmatig gecontroleerd. 1. Worden gegevens uit de opdrachten c.q. voorvallenregistratie verwijderd binnen een periode van maximaal 5 jaar vanaf het moment dat de onderzoeksrapportage aan de opdrachtgever is aangeboden (par. 5.5) 2. Blijkt uit het onderzoeksdossier waarom een bewaartermijn, indien de gegevens langer worden bewaard, overschreden is? 3. Worden na afloop van de bewaarduur ook de fysieke dossierstukken vernietigd? 4. Wordt er een administratie gevoerd van de vernietigde persoonsgegevens waarin is vermeld welke functionaris, op welk tijdstip, de gegevens heeft vernietigd en wie daartoe opdracht heeft gegeven? (Rapport Beveiliging van persoonsgegevens, par. 4.12) 5. Zijn er afdoende maatregelen getroffen om te voorkomen dat persoonsgegevens fysiek aanwezig blijven op elektromagnetische gegevensdragers en op eenvoudige wijze weer beschikbaar kan worden gemaakt? (Rapport Beveiliging van persoonsgegevens, par. 4.12) 10

11 Overzicht streefnormen en totaalevaluatie 1. De verplichte melding bij het CBP heeft plaatsgevonden en er zijn administratieve procedures en voorschriften vastgelegd opdat de bepalingen van de privacygedragscode nageleefd wordt. Voorts wordt gecontroleerd of de individuele medewerkers de maatregelen en procedures naleven. 2. Het niveau van beveiliging komt minimaal overeen met de eisen die zijn genoemd voor risicoklasse II in het Rapport Beveiliging van persoonsgegevens van het CBP. 3. Het aanvaarden van opdrachten geschiedt overeenkomstig de bepalingen van de privacygedragscode. Deze bepalingen zijn in de organisatie bekend, worden nageleefd en worden gecontroleerd. 4. Op grond van de administratieve procedures inzake dossierbeheer blijkt de verplichte documenten daadwerkelijk in het onderzoeksdossier zijn opgenomen en dat de verplichte gedragingen daadwerkelijk zijn uitgevoerd. 5. Er zijn procedures vastgesteld met betrekking tot het informeren van de onderzochte persoon. De verplichting tot het informeren van de onderzochte persoon wordt nageleefd en de naleving wordt (periodiek) gecontroleerd. 6. De regels voor de rechten van de onderzochte persoon voor verzoeken tot inzage, correctie, afscherming en verwijdering van gegevens zijn in de organisatie bekend worden nageleefd en deze naleving wordt (periodiek) gecontroleerd. 7. Er zijn procedures voor het bewaren en vernietigen van gegevens. De naleving van de procedures wordt regelmatig gecontroleerd. Totaalevaluatie Hieronder kan worden aangegeven wat het eindoordeel over de mate van realisering van de streefnormen en welke ambitie uw organisatie heeft ten aanzien van de verbeterpunten. 11