PRIVACY EN VEILIGHEID: EEN ONLOSMAKELIJK VERBOND

Transcriptie

1 Anne-Wil Duthler Privacybescherming en informatiebeveiliging horen onlosmakelijk bij elkaar. Ze zijn bepalend voor de kwaliteit van de bedrijfsvoering en informatiehuishouding van een organisatie. Het kader voor de privacybescherming wordt gevormd PRIVACY EN VEILIGHEID: EEN ONLOSMAKELIJK VERBOND door de Wet bescherming persoonsgegevens (Wbp). Juristen en deskundigen op het gebied van ICT, informatiekunde, informatiebeveiliging en bedrijfsvoering zullen die wet samen in een organisatie moeten implementeren. Politici, bestuurders, maar ook diegenen die men aanspreekt met hooggeleerde of hooggeschatte, wekken nogal eens de suggestie dat privacy en veiligheid op gespannen voet met elkaar staan. Vooral in deze tijden is de roep om veiligheid erg groot. Het is niet nodig daarbij te verwijzen naar de gebeurtenissen op 11 september 2001 en 6 mei jl. Veiligheid zou daarbij boven privacy moeten gaan, want privacywetgeving zo is de onderliggende gedachte staat een effectieve informatie-uitwisseling in de weg. En een effectieve informatie-uitwisseling is een noodzakelijke voorwaarde voor het zo goed mogelijk garanderen van veiligheid. Gesuggereerd wordt dat de privacyregels zouden moeten worden aangepast. Want zo wordt nogal eens geredeneerd: Wie niets te verbergen heeft, heeft ook geen behoefte aan privacybescherming en wie wel wat te verbergen heeft, komt er mooi mee weg. Het is mijns inziens onjuist om de privacyregels te willen aanpassen ter wille van de veiligheid. Het is ook niet nodig. In de privacywetgeving worden juist uitzonderingen toegestaan als het gaat om de veiligheid van de staat of de opsporing en vervolging van strafbare feiten, alsmede de voorkoming daarvan. In dit artikel wordt betoogd dat privacy en veiligheid in het geheel niet op gespannen voet met elkaar staan, 44 MANAGEMENT & INFORMATIE 2002/6

2 PRIVACY EN VEILIGHEID maar dat ze onlosmakelijk met elkaar zijn verbonden. Gesteld kan worden, dat ze beide onderdeel uitmaken van en invloed hebben op de kwaliteit van de bedrijfsvoering van een organisatie. Bewust wordt gesproken over veiligheid en niet over beveiliging. Beveiliging is een term, die een actie suggereert. Veiligheid (net als privacy) is de waarde, die we met beveiliging beogen te beschermen. Het is onjuist en onnodig de privacyregels aan te passen ter wille van de veiligheid Dit artikel is als volgt opgebouwd. Allereerst geef ik hieronder de juridische kaders aan voor privacybescherming, waarbij ik met name zal ingaan op de Wet bescherming persoonsgegevens (Wbp). Een overzicht wordt gegeven van de belangrijkste rechten en verplichtingen van de Wbp, alsmede een korte inhoudelijke toelichting op de rechten en verplichtingen. Hierna ga ik in op de wijze van implementeren van de Wbp in een organisatie, waarbij ik een onderscheid maak tussen een zogenaamde formele en een materiële implementatie van de Wbp. Ook het aspect van materieel beheer komt daarbij aan de orde. Als laatste wordt ingegaan op de relatie tussen de Wbp en informatiebeveiliging. Informatiebeveiliging is immers één van de verplichtingen die voortvloeit uit de Wbp. WET BESCHERMING PERSOONSGEGEVENS (WBP) De Wet bescherming persoonsgegevens (Wbp) is één van de belangrijkste privacywetten die het Nederlands recht kent. 1 In dit artikel staat de Wbp centraal. De Wbp is namelijk van toepassing op (bijna) alle organisaties die persoonsgegevens verwerken en er is in feite geen organisatie te bedenken die geen persoonsgegevens verwerkt. Er is al snel sprake van een persoonsgegeven. Denk aan gegevens als naam, adres, woonplaats, sofi-nummer en beroep. Welke organisatie houdt er nu geen verzendlijst bij met namen van contactpersonen of een personeelsadministratie? Het criterium om te bepalen of er sprake is van persoonsgegevens, is of gegevens direct of indirect tot een natuurlijke persoon zijn te herleiden. Dus ook een combinatie van gegevens die op zichzelf geen persoonsgegevens zijn, maar als combinatie wel tot een natuurlijke persoon zijn te herleiden, valt onder het begrip persoonsgegeven. Andere begrippen die in de Wbp centraal staan, zijn onder andere verwerking van persoonsgegevens (alle handelingen die met persoonsgegevens kunnen worden uitgevoerd, van het verzamelen tot en met het vernietigen), verantwoordelijke (degene die de zeggenschap heeft over de verwerking), betrokkene (degene op wie de persoonsgegevens betrekking hebben) en melding (inhoudelijk te vergelijken met een privacyreglement). RECHTEN EN VERPLICHTINGEN De Wbp kent aan de betrokkene een aantal belangrijke rechten toe, en legt aan de verantwoordelijke een aantal verplichtingen op. Om te beginnen heeft de betrokkene het recht op inzage in zijn eigen persoonsgegevens. De betrokkene kan bij de verantwoordelijke hiertoe een verzoek indienen, die hierop binnen vier weken dient te reageren. Daarnaast heeft de betrokkene het recht op correctie van gegevens, indien gegevens niet juist of volledig zijn. Ook heeft de betrokkene het recht van verzet en kan hij bezwaar indienen tegen een gegevensverwerking. De verantwoordelijke dient de persoonsgegevens overeenkomstig de wet en op een behoorlijke en zorgvuldige wijze te verwerken en slechts voor gerechtvaardigde doeleinden. De gerechtvaardigde doeleinden staan limitatief in artikel 8 van de Wbp genoemd. Indien persoonsgegevens verder worden verwerkt bijvoorbeeld indien zij worden verstrekt aan een derde moet dat verenigbaar zijn met het oorspronkelijke doel van de verwerking (de zogenaamde verenigbaarheidstoets van artikel 9 Wbp). Ook dient de verantwoordelijke beleid te hebben vastgesteld rond de bewaartermijn van MANAGEMENT & INFORMATIE 2002/6 45

3 persoonsgegevens. Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is (artikel 10 van de Wbp). In de praktijk blijkt dat veel organisaties nog geen bewaarbeleid kennen, laat staan een bewaartermijn hebben vastgesteld. Deze organisaties kunnen dan ook per definitie niet aan de Wbp voldoen. Daarnaast dient de verantwoordelijke er voor te zorgen dat de medewerkers die met persoonsgegevens werken een geheimhoudingsplicht in acht nemen. Ook moet hij passende, technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen (artikel 12 en 13). Het College bescherming persoonsgegevens (CBP) heeft ter uitwerking van deze verplichting een studierapport uitgebracht. Verderop in dit artikel wordt op dit studierapport nader ingegaan. Een andere belangrijke actieve verplichting voor de verantwoordelijke is dat hij een informatieplicht heeft. Voorafgaande aan elke verwerking dient de verantwoordelijke de betrokkene te informeren over de verwerking, waarbij hij in ieder geval zijn eigen identiteit bekend maakt alsmede de doeleinden waarvoor de verwerking plaatsvindt. Last but not least, kent de Wbp een meldingsplicht. Indien persoonsgegevens worden verwerkt, dient dat in principe bij het CBP gemeld te worden. In principe, omdat er voor bepaalde verwerkingen een vrijstelling geldt. Deze vrijstellingen zijn beschreven in het Vrijstellingsbesluit. Een verantwoordelijke kan er voor kiezen een functionaris voor de gegevensbescherming (ook wel privacyfunctionaris) aan te stellen. Verwerkingen hoeven dan niet gemeld te worden bij het CBP, maar moeten bij de privacyfunctionaris worden gemeld. HOE TE VOLDOEN AAN RECHTEN EN VERPLICHTINGEN? Om aan al deze verplichtingen te voldoen en blijvend te kunnen voldoen, is het van belang dat de verantwoordelijke maatregelen en procedures treft. De rechten van betrokkenen vragen vooral om uitgewerkte procedures. De verplichtingen van de verantwoordelijke vragen vooral om getroffen maatregelen. Wel zal eerst moeten worden geïnventariseerd welke verwerkingen van persoonsgegevens überhaupt plaatsvinden. Per verwerking moet immers in principe een melding worden gemaakt, moeten beveiligingsmaatregelen worden getroffen, moet aan de informatieplicht worden voldaan, etc. De inventarisatie van de gegevensverwerkingen vormt daarmee de basis voor de implementatie van de Wbp. Opgemerkt wordt dat het doel van de gegevensverwerking bepaalt of er sprake is van een gegevensverwerking en niet het bedrijfsproces of de applicatie. Dit laatste levert nog wel eens verwarring op. Hieronder wordt nader ingegaan op de zogenaamde formele en materiële implementatie van de Wbp. FORMELE EN MATERIËLE IMPLEMENTATIE De naleving van de Wbp houdt meer in dan het voldoen aan formaliteiten zoals het invullen van meldingsformulieren en het sturen van deze formulieren aan de privacyfunctionaris. De naleving van de Wbp houdt ook in dat aan alle overige rechten en verplichtingen wordt voldaan, en dat daaraan op elk willekeurig moment kan worden voldaan. De implementatie van de Wbp wordt daarom wel onderscheiden in een formele fase en een materiële fase. Gedurende de formele fase wordt aan de formele vereisten voldaan, zoals het opstellen en indienen van een melding bij het CBP of de privacyfunctionaris. Gedurende de materiële implementatie van de Wbp worden procedures opgesteld en maatregelen geformuleerd, worden het onderhoud en beheer georganiseerd en wordt de Wbp geïntegreerd met of verankerd binnen het beveiligingsbeleid. Gebruik zal worden gemaakt van reeds getroffen algemene infrastructurele beheersmaatregelen, controles binnen de applicaties of ingerichte maatregelen van administratieve organisatie. Nadat de materiële implementatie heeft plaatsgevonden, eist de Wbp dat de maatregelen blijvend werken. Periodiek zullen audits worden 46 MANAGEMENT & INFORMATIE 2002/6

4 PRIVACY EN VEILIGHEID uitgevoerd die een oordeel vormen over het al dan niet adequaat verankerd zijn van de Wbp binnen de organisatie. In grotere organisaties wordt veelal samenwerking met de interne Accountantsdienst gezocht om een controleraamwerk op te stellen. RISICO-ANALYSE Niet voor alle verwerkingen zullen dezelfde maatregelen hoeven te worden getroffen. De aard en omvang van de te treffen maatregelen hangen onder meer af van de soort gegevens die worden verwerkt, de omstandigheden waaronder de gegevens worden verwerkt en de hoeveelheid van de gegevens. Daarnaast hangen de aard en omvang van de te treffen maatregelen ook af van de verwachting van de verantwoordelijke van de mate waarin de betrokkene gebruik zal maken van zijn of haar rechten. Hiernaast moeten de te treffen maatregelen in verhouding staan tot de te beschermen rechten van de betrokkene en de verplichtingen van de verantwoordelijke. Het ligt voor de hand dat voor een telefoonlijst of verjaardagslijst andere maatregelen getroffen zullen worden dan voor een verwerking van bijvoorbeeld individuele huursubsidiegegevens, waarin ook sofi-nummers worden verwerkt. Het is daarom raadzaam om een zogenaamde risico-analyse uit te voeren. De risico-analyse van het CBP die in het studierapport nummer 23 staat beschreven, kan hiervoor een nuttig handvat bieden. 2 NETWERK VAN WBP CONTACTPERSONEN Het is aan te bevelen vooral in grotere organisaties een netwerk van Wbp contactpersonen op te richten. Het is immers niet doenlijk voor één persoon om alleen al alle verwerkingen van persoonsgegevens te inventariseren, laat staan de daarbij horende maatregelen en procedures te treffen. Bij ministeries bijvoorbeeld vinden honderden en soms duizenden verwerkingen plaats. De contactpersonen in zo n netwerk zouden de verschillende directies/afdelingen en regio s moeten vertegenwoordigen en zouden moeten worden aangewezen door de leidinggevende van de betreffende directie, afdeling of regio. Het voordeel van een netwerk is dat de Wbp op een uniforme wijze in de organisatie wordt geïmplementeerd, en dat de contactpersonen hun kennis en ervaringen kunnen delen. Vooral in grotere organisaties is het aan te bevelen een netwerk van Wbp contactpersonen op te richten Een te benoemen voorzitter kan ten aanzien van het netwerk een coördinerende, aanjagende en eventueel sturende rol hebben. Gezien de relatie met informatiebeveiliging, is het verder raadzaam diegenen aan te wijzen als contactpersoon die ook voor informatiebeveiliging als contactpersoon fungeren en diegene aan te wijzen als voorzitter van het netwerk, die binnen de organisatie ook al informatiebeveiliging coördineert. Daarnaast kan het van belang zijn om ook in voorkomende gevallen de Interne Accountantsdienst bij het netwerk te betrekken, evenals de privacyfunctionaris. WBP EN INFORMATIEBEVEILIGING Er zijn verschillende rapporten en adviezen uitgebracht, waarin het vereiste van informatiebeveiliging uit de Wbp nader is uitgewerkt. Allereerst kan worden genoemd het rapport van de Nederlandse Orde van Register EDP Auditors (NOREA): Een zekere privacy. 3 Daarnaast het studierapport nummer 23 van het CBP. In dit studierapport wordt een indeling in zogenaamde risicoklassen gemaakt en per risicoklasse zijn voorbeelden van maatregelen van informatiebeveiliging gegeven. De indeling in risicoklassen is ook voor het uitwerken van de overige onderdelen van de materiële implementatie aan te bevelen. Artikel 13 van de Wbp vormt de grondslag voor informatiebeveiliging, en dus ook voor de twee genoemde rapporten. Artikel 13 spreekt over technische en organisatorische maatrege- MANAGEMENT & INFORMATIE 2002/6 47

5 len. 4 Voor elke verwerking van persoonsgegevens afzonderlijk, moet bepaald worden welke technische en organisatorische maatregelen getroffen dienen te worden om een passend niveau van beveiliging te bereiken. Technische en organisatorische maatregelen behoren altijd een onderling samenhangend en afgestemd stelsel te vormen, afgeleid uit een (informatie)beveiligingsbeleid, (informatie)beveiligingsplan en terug te vinden in een stelsel van algemene maatregelen en procedures. 5 Het vereiste niveau van beveiliging zal afhangen van de risicoklasse. Naast de bepaling van de risicoklasse zijn ook aspecten relevant als stand der techniek en de kosten van het treffen van maatregelen. Voor de implementatie van Wbp is een multidisciplinaire samenwerking vereist Aan het bepalen van de risicoklasse gaat een risico-analyse vooraf. Een dergelijke analyse kent een aantal stappen 6 : Het inventariseren van de processen waarin persoonsgegevens worden verwerkt (dit hoort bij de eerder genoemde formele fase); Het vaststellen van de aard van de persoonsgegevens in combinatie met de omvang en het gebruik; Het inventariseren van de mogelijke vormen van onbevoegde of onzorgvuldige verwerking van de gegevens zoals verlies, aantasting en onbevoegde kennisneming, wijziging of verstrekking; Het bepalen van de risicoklasse zelf. De risicoklasse is het product van de kans op ongewenste gevolgen en de schade die dit kan veroorzaken voor de betrokkene, de verantwoordelijke of de bewerker. Het volgen van deze stappen levert een bepaalde risicoklasse op. Er worden vier risicoklassen onderscheiden. Elke klasse kent een bijbehorend niveau van beveiliging. In het rapport worden per risicoklasse voorbeelden van mogelijk te treffen maatregelen genoemd. Dit artikel leent zich niet voor een uitgebreide bespreking van mogelijke maatregelen. Hiervoor wordt dan ook verwezen naar het betreffende rapport. TOT SLOT Zowel informatiebeveiliging als privacybescherming hebben betrekking op de kwaliteit van de bedrijfsvoering van een organisatie. Privacybescherming maakt onderdeel uit van informatiebeveiliging, en informatiebeveiliging maakt onderdeel uit van privacybescherming. Ze vormen samen een onlosmakelijk verbond. Ook Register Accountants en Register EDP Auditors zijn steeds vaker van mening dat privacybescherming en informatiebeveiliging bij elkaar horen, en bepalend zijn voor de kwaliteit van de bedrijfsvoering van organisaties. Accountantsdiensten in grotere organisaties controleren niet langer alleen op effectiviteit en efficiëntie, ook kwaliteit hebben zij tot onderwerp van hun controle gemaakt. Zij controleren daarbij zowel op de implementatie van de privacywetgeving als op implementatie van informatiebeveiliging. Naleving van Wbp houdt meer in dan voldoen aan formaliteiten zoals het invullen van meldingsformulieren In dit artikel ligt de nadruk op privacybescherming. Vanuit de Wbp is de relatie met informatiebeveiliging gelegd. Dit is niet gedaan omdat informatiebeveiliging minder belangrijk zou zijn, maar veel meer omdat privacybescherming en de implementatie van de Wbp vaak een ondergeschoven kindje van informatiebeveiliging blijkt. Dit kan te maken hebben met het feit dat de Wbp een wet is, en men de toepassing en implementatie van een wet alleen aan juristen denkt over te kunnen laten. Echter, voor de implementatie van de Wbp is een multidisciplinaire samenwerking vereist, waarbij behalve juristen ook deskundigen op het gebied van ICT, informatiekunde, informatiebeveiliging en bedrijfsvoering moeten worden betrokken. Wel is er een positieve trend waar te nemen dat meer en meer organisaties, tijd en capaciteit vrijmaken om de Wbp op een behoorlijke wijze in de organisatie te implementeren. Ook worden hierbij niet alleen juristen betrokken, maar ook informatiebeveiligers. Dit is een gezonde en po- 48 MANAGEMENT & INFORMATIE 2002/6

6 PRIVACY EN VEILIGHEID sitieve ontwikkeling, die het nut van het samen oplopen van privacybescherming en informatiebeveiliging alleen maar onderstreept. SAMENVATTING Privacybescherming en informatiebeveiliging horen onlosmakelijk bij elkaar. Beide zijn bepalend voor de kwaliteit van de bedrijfsvoering en informatiehuishouding van een organisatie. In dit artikel is allereerst een overzicht gegeven van de belangrijkste rechten en verplichtingen van de Wbp. Vervolgens is ingegaan op de formele en materiële implementatie van die rechten en verplichtingen van de Wbp. Benadrukt is dat niet alleen juridische kennis is vereist voor de implementatie, maar dat met name voor de materiële implementatie kennis op het gebied van bedrijfsvoering, ICT en informatiebeveiliging noodzakelijk is. Het nakomen en blijvend kunnen nakomen van de Wbp vraagt immers om het treffen van maatregelen en procedures in de organisatie. Als laatste onderwerp is de relatie tussen de Wbp en informatiebeveiliging aan de orde gekomen. Met name is ingegaan op het studierapport van het CBP. Aangegeven is dat de daarin gehanteerde risico-analyse en de indeling in risicoklassen niet alleen ten behoeve van informatiebeveiliging handig zijn, maar ook voor het bepalen van de aard van de te treffen maatregelen en procedures in het bredere kader van de materiële implementatie van de Wbp. persoonsgegevens, Achtergrondstudies en Verkenningen 23, Registratiekamer, Den Haag, april Nederlandse Orde van Register EDP Auditors, Een zekere privacy, Technische maatregelen zijn de logische en fysieke maatregelen in en rondom informatiesystemen (zoals toegangscontroles, vastlegging van gebruik en back-up). Ook zogenaamde Privacy Enhancing Technologies vallen onder de technische maatregelen. Organisatorische maatregelen zijn maatregelen voor de inrichting van de organisatie en voor het verwerken van persoonsgegevens (zoals toekenning en deling van verantwoordelijkheden en bevoegdheden, instructies, trainingen en calamiteitenplannen). 5. Zie G.W. van Blarkom, J.J. Borking, Beveiliging van persoonsgegevens, Achtergrondstudies en Verkenningen 23, Registratiekamer, Den Haag, april 2001, p G.W. van Blarkom, J.J. Borking, Beveiliging van persoonsgegevens, Achtergrondstudies en Verkenningen 23, Registratiekamer, Den Haag, april 2001, p. 29. Literatuur G.W. van Blarkom, J.J. Borking, Beveiliging van persoonsgegevens, Achtergrondstudies en Verkenningen 23, Registratiekamer, Den Haag, april T.F.M. Hooghiemstra, Teksten en toelichting op de Wet bescherming persoonsgegevens, Koninklijke Vermande, Nederlandse Orde van Register EDP Auditors, Een zekere privacy, Over de auteur Mr. dr. A.W. Duthler, is ICT-juriste en bestuurskundige, oprichtster en directeur van het adviesbureau Duthler Associates en gepromoveerd op het gebied van juridische aspecten van Public Key Infrastructure (PKI). Noten 1. Daarnaast kent het Nederlands recht ook sectorspecifieke wetten, zoals de Wet politieregisters (Wpolr), de Wet Geneeskundige Behandelingsovereenkomst (WGBO) en de Wet gemeentelijke basisadministratie (Wet GBA). Soms komt zo n wet in de plaats van de Wbp, soms werkt zo n wet aanvullend ten opzichte van de Wbp. 2. G.W. van Blarkom, J.J. Borking, Beveiliging van MANAGEMENT & INFORMATIE 2002/6 49