Onderstand treft u de reactie aan van het NGFG op de Handreiking Raamwerk Privacy Audit.

Transcriptie

1 Aan het College bescherming persoonsgegevens Betreft: reactie op Handreiking Raamwerk Privacy Audit Datum : 10 mei 2005 Geacht College, Onderstand treft u de reactie aan van het NGFG op de Handreiking Raamwerk Privacy Audit. Voorafgaand aan die reactie hecht het NGFG er aan u mee te delen het op prijs te stellen dat het Cbp wat meer afstand heeft genomen bij het uitbrengen van de Handreiking. Dat biedt FG n meer ruimte de Handreiking al dan niet te gebruiken bij een toetsing aan de hand van het onder auspiciën van het Cbp opgestelde Raamwerk privacy audit, dan wel deze audit uit te (doen) voeren met een eigen invulling. In algemene zin wil het NGFG opmerken met waardering kennis te nemen van deze Handreiking en van de manier, waarop dit stuk is uitgezet. Het oproepen aan het veld om een reactie te sturen stimuleert de zelfwerkzaamheid, iets waarvan uw College voorstander is en waaraan het NGFG door het leveren van deze reactie een bijdrage hoopt te leveren. Onze reactie start met enkele algemene opmerkingen, en vervolgens wordt per paragraaf ingegaan op de respectieve onderdelen. Mochten er nog vragen zijn naar aanleiding van onze reactie, dan wel een verzoek om mee te denken over bepaalde aspecten, kunt u ons daarover benaderen via de bekende kanalen. Hoogachtend, het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming, J.M.Titulaer-Meddens Voorzitter a.i. Secretariaat: Westzijde EK Zaandam Telefoon Postgiro KvK info@ngfg.nl 1

2 Reactie NGFG op Handreiking Raamwerk Privacy Audit Algemeen 1. De kernvraag die in dit documenten beantwoord zou moeten worden, is: wat is de status van het kwalititeitsoordeel. Wat is de relatie tussen audit, Handreiking, kwaliteitsoordeel, certificering en de rol van de auditor, de FG, en het CBP? Uiteindelijk draait het om de vraag: is een verwerking Wbp-proof, en welke zekerheid krijgt de opdrachtgever daarover? Graag had het NGFG meer uitgewerkt gezien hoe dit product daaraan kan bijdragen, en hoe de relatie is met de relevante spelers. 2. Het NGFG heeft behoefte aan meer duidelijkheid over wat precies het doel is van de Handreiking, en over de wijze waarop het CBP tegen een afgegeven kwaliteitsoordeel aankijkt, en wat de relatie is tot de FG. Wat dat laatste betreft biedt het stuk wel enige duidelijkheid, maar helaas in negatieve zin. In paragraaf 2.2 wordt immers uitgesproken dat het de voorkeur verdient de verwerking te melden bij het CBP ook indien ( ) voor de organisatie van de verantwoordelijke een Functionaris voor de gegevensbescherming is benoemd. Hieruit spreekt impliciet de opvatting, dat een melding bij (en daarmee kennelijk het toezicht door) het CBP in het algemeen is aan te bevelen. Het NGFG kan dit niet rijmen met de tekst en bedoeling van de Richtlijn en de Wbp op dit punt, en met de eerder geuite opvatting van het CBP dat zij het aanstellen van FG-en bevordert, en zich daarna terughoudend zal opstellen. Reeds hierom kan het NGFG zich niet achter dit document scharen. 3. Het NGFG merkt op dat de relatie FG/verantwoordelijke/CBP op zich al erg complex is. De situatie wordt er niet duidelijker op, wanneer daar ook nog een onderzoeker (auditor?) aan toegevoegd wordt met de bevoegdheid een (onafhankelijk) kwaliteitsoordeel uit te spreken. Het NGFG is van mening dat het uitgangspunt wordt gevormd door de materiele normen van wet, en de driehoek CBP/FG/verantwoordelijke. Alles wat daar nog bijkomt, dient adequaat uitgewerkt binnen die kaders geplaatst te worden. Als daarin niet wordt geslaagd, ontstaat het risico op onzekerheid over de status en de meerwaarde van het product, die nadelig is voor alle betrokken partijen. 4. Bij de leden van het NGFG bestaat de indruk dat de Handreiking nog niet helemaal consistent is en toegespitst is op de praktijk van het beschermen van verwerkingen van persoonsgegevens. E.e.a. lijkt nog wat te veel gericht op de accountancy. Daarnaast verdient aanbeveling de handreiking nog eens goed door te lopen op de juridische normeringen en de jurisprudentie, die daarover bestaat. Zie ook onder punt De aanpak hinkt op 2 gedachten, men creëert een bepaalde zekerheid door een scoringslijst met punten te introduceren, terwijl tegelijkertijd duidelijk wordt gesteld dat het professionele oordeel van de onderzoeker de consequenties van de scoringslijst terzijde kan leggen. 6. Bij de non-conformiteiten, deficiënties en incidenten loopt het onderzoek op operationeel, tactisch en uitvoeringsniveau door elkaar heen. Dat maakt de strekking van het onderzoek onduidelijk. Ook voor het schrijven van het referentiemodel zal dit problemen opleveren, terwijl het gevaar dreigt dat de uitkomsten plus aanbevelingen voor de leiding (of de fg), die als opdrachtgever fungeren, te weinig houvast bieden. 2

3 7. Juridische basis voor gehanteerde criteria: Het NGFG heeft op onderdelen behoefte aan een nadere onderbouwing van de juridische basis voor de gehanteerde normen nu de nadruk kennelijk ligt op beveiligingsaspecten. Zie ook paragraaf 2.3 waarin de kwaliteitsaspecten worden benoemd. De Wbp-kwaliteitsaspecten ontbreken hier grotendeels. En zie ook de opmerking op blz. 27 dat het stelsel van maatregelen en procedures voor informatiebeveiliging en voor de bescherming van persoonsgegevens een geïntegreerd geheel dienen te vormen. Is dat verplicht? Naleven van de Wbp is bovendien meer dan alleen adequaat beveiligen. Juridische beoordelingen en daarmee juridische expertise blijft zodoende onmisbaar bij gebruik van de Handreiking. 8. Aanbevolen wordt gebruikte begrippen en terminologie te definiëren, en een consequent gebruik ervan te maken. Het gaat met name om de begrippen compliance, zelfregulering, zelfreguleringproducten, kwaliteitsoordeel/oordeel ten behoeve van het maatschappelijk verkeer, zekerheid binnen het maatschappelijk verkeer, onderzoek/privacy-audit/audit, onderzoeker/onafhankelijke partij. Verandert overigens de naam van de serie Auditproducten hiermee in: Contouren voor compliance? Zijn deze producten werkelijk als zelfreguleringproducten aan te merken? Puntsgewijze opmerkingen 1.1. In randvoorwaarden worden 3 documenten als uitgangspunt genoemd, w.o. de tekst van de Wet bescherming persoonsgegevens. Als daarmee ook de onderliggende besluiten en regelingen worden bedoeld is dat prima, als die daar niet onder vallen zouden we die graag toegevoegd willen zien. Immers: de audit heeft ten doel te onderzoeken of de wet wordt nageleefd. 1.3 De derde alinea, beginnend met Volgens het Cbp. is een riskante. Het voldoen aan de daaronder genoemde uitgangspunten zegt nl. niets over de kwaliteit van de audit, maar hooguit iets over de uitgangssituatie bij de start van de audit. 2.1 De aanvangszin van dit tekstblok is verwarrend, het begrip privacy kan zowel meer als minder zijn dan de daaronder genoemde aspecten van privacy. Misschien kan dit ondervangen worden door achter privacy toe te voegen in het raamwerk o.i.d. In de laatste alinea van deze paragraaf komt het woord compliance op. Afgezien van de principiële vraag of dit onderzoek onder die noemer moet worden ondergebracht, verdient het aanbeveling ergens uiteen te zetten waarom dit begrip in dit kader opdoemt. 2.2 Zowel de beperking van het onderzoek tot één benoemde verwerking als de tekst daarna, over het vrijwillig melden bij het Cbp roept de vraag naar het waarom daarvan op. Een vraag die in de daaronder opgenomen tekst niet wordt beantwoord. Over welke afbakening heeft men het eigenlijk? En waarom is de afbakening door de verantwoordelijke belangrijk en moet die door de auditor worden getoetst? En wat heeft dat te maken met de naleving van de bepalingen uit de Wbp? En last but not least: is die afbakening dan bij de melding in het register van het Cbp als zodanig ook benoemd? De laatste alinea van dit tekstblok, over het verwerken in de keten roept spanning op met de wettelijke definities van persoonsgegeven, verwerking en bestand en neigt naar de oude definitie van registratie van de Wpr. 3

4 2.3 De hier genoemde kwaliteitsaspecten zijn afkomstig uit de wereld van de informatiebeveiliging. Het benoemen van kwaliteitsaspecten aldaar was nodig, omdat een wettelijk normenkader ontbrak. De Wbp bevat echter wèl een dergelijk normenkader, zij het dat dit soms erg abstract is, en de genoemde vier kwaliteitsaspecten voegen daaraan nauwelijks iets toe. Het inbrengen van deze zogenaamde kwaliteitsaspecten vormen eerder deels een dubbeling met de open normen van de Wbp en voor een deel doorkruisen deze de Wbp normen. In het kwaliteits aspect controleerbaarheid zit bovendien een cirkelredenering, die de auditor behoorlijk voor de voeten kan lopen. Beter was het geweest de abstracte normeringen van de wet nader uit te werken in kwaliteitsaspecten, zoals bijvoorbeeld hoe de elementen van het verenigbaarheidsvereiste gekwalificeerd kunnen worden, of hoe het verborgen optimaliseringvereiste uit artikel 13 gelezen moet worden. Laatste alinea: Wanneer gesproken wordt over het niet introduceren van een kwaliteitsaspect privacy, wordt dan niet adequate privacybewaking of bescherming bedoeld? 2.5 Het verschilt tussen materiële en niet-materiële tekortkoming wordt niet uitgelegd. 3.1 Eerste alinea: de algemene privacywet? Eerste toets: Is er sprake van een persoonsgegeven in de zin van de Wbp? Pas daarna: is er sprake van een verwerking en is er sprake van een bestand In artikel 13 Wbp wordt de verantwoordelijke verplicht de persoonsgegevens te beschermen tegen. enige vorm van onrechtmatige verwerking. De tweede alinea is dus feitelijk overbodig Hoewel het begrijpelijk is dat met punten wordt gewerkt, kleven er ook risico s aan een dergelijke waardering. Een deficiëntie in een verwerking uit risicoklasse 0 wordt met 1 aangegeven, terwijl de privacyschending fors kan zijn en dus dan eigenlijk een zwaarder negatief oordeel gewenst is detail: waarom gesproken over italics als volstaan kan worden met cursief? Of, nog leuker, zoals in de titelzin: schuin schrift? V. Zijn de genoemde non-conformiteit, deficiënties en incidenten voorbeelden of zijn dit uitputtende lijsten? V 1. Voornemen en melden: waarom staat artikel 24 hierbij genoemd? Non-conformiteit nummer 2: waar staat in de Wbp dat er een `procedure` moet zijn voor het verstrekken van inlichtingen over de melding? En wie is de adressaat die hier bedoeld wordt? Non-conformiteit nummer 4: sinds wanneer geeft het Cbp een verklaring van rechtmatigheid af na een melding? Laatste non-conformiteit: op welke wettelijke regel is deze gebaseerd? 3. Voorafgaand onderzoek door het Cbp: het niet aanvragen van een dergelijk onderzoek: een non-conformiteit dunkt ons.. 4

5 6. Zie de al eerder gemaakte opmerking over het ontbreken van een wettelijk voorschrift vor een procedure voor het verstrekken van inlichtingen over een melding. V.2. Laatst genoemde non-conformiteit: de term anonimiseren wekt verwarring, is namelijk geen wettelijk vereiste. punt 4 Geheimhoudingsverplichting: de hier genoemde non-conformiteit is niet rechtstreeks uit de Wbp af te leiden, maar wel uit de materiewetgeving. Dit dient hierbij expliciet te worden vermeld. V.4. Hieraan dient artikel 24 te worden toegevoegd. 2. De hier genoemde deficiënties zijn onbegrijpelijk.. V.5. Detailopmerking: tweede non-conformiteit tweemaal gebruik van juistheid V.6. Ook hier: het hebben van een procedure voor het verstrekken van inlichtingen aan de betrokkene etc. is niet wettelijk voorgeschreven en kan dus ook geen non-conformiteit zijn. 4. Wat betekent hier onvoldoende transparant? V.7. De eerste en vierde tot en met zevende non-conformiteit staan op gespannen voet met de wettelijke bepalingen van de Wbp. In feite zijn dat dus meer deficiënties. 3.Beveiligingsbewustzijn: de melding van incidenten. is onvoldoende? Wat is onvoldoende? Worden er te weinig incidenten gemeld? En hoe constateert een auditor dat? 10. Op welke wettelijke bepaling berust het bijhouden van een logboek voor bulkverwerkingen? 12. Waar staat dat gegevens vernietigd moeten worden onder direct toezicht van de verantwoordelijke? Hoe staat het dan met archiefvernietigingbedrijven? V.8. Non-conformiteit 1: in de Wbp staat dat de verantwoordelijke er voor zorg dient te dragen dat de bewerker.. etc. (artikel 14). Het ontbreken van een dienstenniveau overeenkomst hoeft geen non-conformiteit te betekenen, dat kan nl. ook op andere manieren geregeld worden, met name bij overheden. Deficiënties: maakt het niet uit wèlke maatregelen er genomen zijn? V.10 Deficiënties: waarom staat dit specifiek als deficiëntie genoemd bij bulkverwerkingen? Dit geldt toch in feite voor alle verwerkingen? Pagina 41: is een calamiteitenplan hetzelfde als een back-upprocedure? Pagina 43: het onderzoek verwordt tot een papieren onderzoek als er alleen gekeken wordt of er een archief is van het onderzoek op de naleving van het SLA. Is het niet belangrijker iets te doen met de resultaten van deze onderzoeken? -o-o-o-o-o- 5