CONTOUREN voor COMPLIANCE. Overzicht van de Zelfreguleringsproducten

Vergelijkbare documenten
Certificering Het Certificaat bescherming persoonsgegevens Gepubliceerd in Privacy & Informatie, nr. 4 augustus 2004

Inleiding Begrippen en definities 5 3. Doelstellingen van een privacy-audit Opdrachtaanvaarding 8 9 4

CONTOUREN voor COMPLIANCE. Handreiking bij het Raamwerk Privacy Audit

voorzitter NOREA Adri de Bruijn NIVRA-NOREA-aanpak privacy-certificering privacy-audit

Doe het zelf met privacybescherming

de Wet & het College Bescherming Persoonsgegevens Anne Smeets

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

Tweede Kamer der Staten-Generaal

Onderstand treft u de reactie aan van het NGFG op de Handreiking Raamwerk Privacy Audit.

De functionaris voor de gegevensbescherming: een interne toezichthouder Verschenen in Privacy & Informatie, nr. 4 - augustus 2005

Veranderingen privacy wet- en regelgeving

Algemene verordening gegevensbescherming

Privacy by Design & Privacy Auditing

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Privacy wetgeving: Wat verandert er in 2018?

Het einde van de privacy paradox?

AVG Routeplanner voor woningcorporaties

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

Data Protection Impact Assessment (DPIA)

Functieprofiel Functionaris Gegevensbescherming

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Privacy Maturity Scan (PMS)

Plan

WET MELDPLICHT DATALEKKEN

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

Koninkrijksrelaties ONS KENMERK z de bijzondere politieregisters

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

ALGEMENE VERORDENING GEGEVENSBESCHERMING DE GEVOLGEN VAN AVG VOOR HET MIDDEN EN KLEIN BEDRIJF.

PRIVACY EN VEILIGHEID: EEN ONLOSMAKELIJK VERBOND

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Privacy & online. 9iC9I

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

De Algemene Verordening Gegevensbescherming

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Privacybeleid gemeente Wierden

STICHTING AUTORITEIT FINANCIËLE MARKTEN, hierna AFM, Gevestigd te Amsterdam, STICHTING DSI, hierna: DSI, Gevestigd te Amsterdam

Geachte leden van de rekeningencommissie,

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

De Wet Bescherming. Persoonsgegevens. Over de bescherming van uw persoonlijke gegevens. Prins Clauslaan 20 Postbus AJ Den Haag

Rapportage Verkennend onderzoek Gegevensbeschermingsbeleid

Algemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Reglement bescherming persoonsgegevens Nieuwegein

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Addendum NOREA Privacy Audit 2016 (bij Richtlijn 3600n)

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Privacywet en privacyfunctionaris. Val ik in de prijzen?

De AVG en de gevolgen voor de uitvoeringspraktijk

Gegevensbeschermingsbeleid gemeente Beekdaelen

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

AANDACHT VOOR REGLEMENT AUDITCOMMISSIE

De Wbp en personeelsverwerkingen

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

Bewerkersovereenkomst op grond van artikel 14, tweede lid Wbp tussen <naam> en < >

Voorbereid op de nieuwe privacywet in 10 stappen

Algemeen privacybeleid gemeente Asten 2018

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

De Algemene Verordening Gegevensbescherming

FG Register. Policy. Duthler Academy. Versie: 0.9

Definitieve versie d.d. 24 mei Privacybeleid

Compliance Charter. Voor uitvoeringsorganisaties

Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad 1

Compliance Charter. Voor pensioenfondsen met pensioenadministratie en vermogensbeheer in eigen beheer

Verantwoordingsrichtlijn

Klachtenregeling Afier Accountants + Adviseurs 1

Officiële uitgave van het Koninkrijk der Nederlanden sinds Reglement bescherming persoonsgegevens Kansspelautoriteit

Privacy ontwikkelingen in het mbo Informatiebeveiliging en privacy in het mbo

Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland

Privacybeleid.

Algemene verordening gegevensbescherming (AVG)

MKB Cloudpartner Informatie TPM & ISAE

Certificatieproces Kwaliteitsnorm Speciaal Onderwijs

Convenant bescherming leerling-, deelnemer- en studentgegevens op scholen en instellingen

REGLEMENT VAN DE AUDITCOMMISSIE VAN DE RAAD VAN COMMISSARISSEN

Concept Bewerkersovereenkomst Basismobiliteit Achterhoek Perceel 2A: Vraagafhankelijk vervoer

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Leergang Functionaris. de toezichthouder

Bescherming persoonsgegevens (AVG) VastgoedSuurd

BLAD GEMEENSCHAPPELIJKE REGELING

Informatieblad Jaarverslag FG

Herziening regelgevend kader bescherming persoonsgegevens (uitgebreide samenvatting)

Gegevensbescherming/Privacy

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Privacybeleid Gemeente Amersfoort Classificatie: Openbaar

checklist in 10 stappen voorbereid op de AVG. human forward.

Reglement Raad van Toezicht. Commissie Kwaliteit van Onderwijs

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Privacybeleid. Inleiding

sociaal domein privacy impact assessment

Documentnummer Verkorte inhoud document

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

Nieuwe privacy verordening raakt ook de pensioensector

Privacyreglement Werkvloertaal 26 juli 2015

Transcriptie:

CONTOUREN voor COMPLIANCE Overzicht van de Zelfreguleringsproducten College bescherming persoonsgegevens 24 mei 2005

0 Inhoudsopgave 0 Inhoudsopgave... 2 1 Toezicht en zelfregulering... 3 1.1 Zelfregulering... 3 1.2 Status van de zelfreguleringsproducten... 4 2 Privacy-audit en kwaliteitsoordeel... 4 3 Rol van de toezichthouder... 5 3.1 Het kwaliteitsoordeel... 5 3.2 Toezicht... 5 2005 College bescherming persoonsgegevens Pagina 2 van 6

1 Toezicht en zelfregulering 1.1 Zelfregulering Onder de naam: Contouren voor Compliance 1 zijn vier zelfreguleringsproducten voor het verwerken van persoonsgegevens ontwikkeld. De hier onder beschreven producten bevatten in beginsel dezelfde hoofdthema s. De toenemende diepgang van de vraagstelling en de wijze van verwerking van de antwoorden is productspecifiek. Quickscan doelstelling: hulpmiddel voor het bevorderen van het privacybewustzijn 2 in de organisatie van de verantwoordelijke en het bepalen van de plaats van de organisatie op de kwaliteitsschaal van de gegevensverwerking. WBP Zelfevaluatie doelstelling: hulpmiddel bij het verkrijgen van inzicht in het toepassen van de WBP in de organisatie van de verantwoordelijke en het nader bepalen van de plaats van de organisatie op de kwaliteitsschaal van de gegevensverwerking. Raamwerk Privacy Audit doelstelling: basis voor het beoordelen van de kwaliteit van de bescherming van persoonsgegevens over de gehele verwerking. Handreiking bij het Raamwerk Privacy Audit doelstelling: handreiking bij het beoordelen van de kwaliteit van de bescherming van persoonsgegevens over de gehele verwerking. De handreiking is gebaseerd op het Raamwerk Privacy Audit en geeft aan hoe een concretisering van de wettelijke norm kan plaatsvinden. Elke verwerking van persoonsgegevens waarop de Wet bescherming persoonsgegevens (WBP) als algemene kaderwet van toepassing is, kan onderzocht worden op basis van het Raamwerk Privacy Audit. Het Raamwerk Privacy Audit biedt namelijk een handvat voor het opstellen van een onderzoeksplan dat is toegesneden op de specifieke situatie van de organisatie. Wanneer er sprake is van aanpalende wetgeving, wordt deze meegenomen in het onderzoeksplan. In het raamwerk is geen normering aangegeven voor de criteria die de wet stelt aan organisaties als het gaat om de bescherming van persoonsgegevens. Een handreiking voor het concretiseren van de wettelijke norm is beschreven in het document Handreiking bij het Raamwerk Privacy Audit. Dit document is opgesteld met het doel richting te geven aan het gebruik van het raamwerk. De professionele oordeelsvorming van de onderzoeker blijft een grote rol spelen bij de beoordeling, gezien de open normen binnen de WBP. Het object van onderzoek betreft één specifiek door de verantwoordelijke benoemde verwerking van persoonsgegevens. De beoordeling heeft betrekking op de wijze waarop de verantwoordelijke de verwerking van persoonsgegevens heeft ingericht. Het kwaliteitsoordeel heeft, in het algemeen, geen betrekking op de inhoud van de producten en de diensten die de verantwoordelijke levert in relatie tot deze 1 Compliance is een algemene Engelse term waarmee aangegeven wordt dat men voldoet aan de eisen gesteld in desbetreffende wet- en regelgeving. 2 In Contouren voor Compliance wordt onder privacy verstaan de bescherming van persoonsgegevens. 2005 College bescherming persoonsgegevens Pagina 3 van 6

verwerking van persoonsgegevens. Indien binnen het product of de dienst persoonsgegevens zijn opgenomen, wordt wel een beoordeling gegeven over het in overeenstemming zijn met de privacywet- en regelgeving 3 verwerken van die persoonsgegevens. 1.2 Status van de zelfreguleringsproducten Het College bescherming persoonsgegevens (CBP) stelt de zelfreguleringsproducten ter beschikking aan de vrije markt, voor zowel het bedrijfsleven als de overheid. De producten worden aan de hand van evaluaties periodiek inhoudelijk en redactioneel bijgesteld. Het CBP stelt zich op het standpunt dat een privacy-audit geen wettelijke verplichting mag zijn. Het staat aan een ieder vrij om een geheel of gedeeltelijk compliance onderzoek uit te (laten) voeren. De producten zijn bedoeld als hulpmiddel bij de toetsing op het voldoen aan relevante privacywet- en regelgeving. Omdat de toepasselijkheid van wet- en regelgeving afhankelijk is van een veelheid van factoren kan geen eenduidig kader gegeven worden. In de praktijk betekent dit dat de toepasselijke wet- en regelgeving altijd kaderstellend is boven de zelfreguleringsproducten. Een compliance onderzoek kan bijvoorbeeld uitgevoerd worden door: de toezichthouder; een Functionaris voor de Gegevensbescherming; een onafhankelijke derde zoals een accountant of een auditor; een interne auditor of een medewerker van een interne kwaliteitsafdeling. 2 Privacy-audit en kwaliteitsoordeel De vraag naar wat gemakshalve een privacy-audit heet, neemt toe. Privacy-audits worden niet alleen uitgevoerd ten behoeve van de verantwoordelijke zodat deze zijn interne processen kan bijstellen, maar er bestaat ook bij derden behoefte aan een kwaliteitsoordeel van een onafhankelijke partij over de kwaliteit van de bescherming van persoonsgegevens over de gehele verwerking. Volgens het CBP geeft een afgegeven kwaliteitsoordeel zekerheid binnen het maatschappelijk verkeer wanneer aan de aandachtspunten beschreven in de onderstaande tekst wordt voldaan. Bij de uitvoering van het onderzoek door een onafhankelijke partij moeten de volgende vier documenten als uitgangspunt worden genomen: Wet bescherming persoonsgegevens, de wet van 6 juli 2000, Staatsblad 302, houdende regels inzake de bescherming van persoonsgegevens; Achtergrondstudies & Verkenningen nummer 23, Beveiliging van persoonsgegevens ; Raamwerk Privacy Audit; Handreiking bij het Raamwerk Privacy Audit. 3 Hieronder worden verstaan alle op de te beoordelen verwerking van persoonsgegevens van toepassing zijnde wetten en regels, waarin bepalingen ten aanzien van de bescherming van persoonsgegevens zijn opgenomen. 2005 College bescherming persoonsgegevens Pagina 4 van 6

De verantwoordelijke die een onderzoek laat instellen met als doel een kwaliteitsoordeel te krijgen, dient eisen te stellen aan de deskundigheid, onpartijdigheid, onafhankelijkheid en geheimhouding van de onderzoeker. De onderzoeker dient minimaal te beschikken over kennis op hbo-niveau van auditing in het algemeen, kennis over privacywet- en regelgeving, vertrouwd te zijn met informatie- en communicatietechnologie, inzicht te hebben in administratieve organisatie en een verplichting om op de hoogte te blijven van de ontwikkelingen op deze deskundigheidsgebieden. Voorts dient de onderzoeker te zijn onderworpen aan kwaliteitstoetsing en tuchtrecht. Daarnaast dienen eisen te worden gesteld aan de organisatie van de onderzoeker en de organisatie van het beroep. Aan de organisatie worden eisen gesteld ten aanzien van interne kwaliteitstoetsing en kwaliteitsborging. Vervolgens zijn de onpartijdigheid en onafhankelijkheid ten opzichte van de verantwoordelijke, onafhankelijkheid ten opzichte van de opdracht en geheimhouding geregeld. Er is een onafhankelijke geschillen- of klachtenprocedure en er is mogelijk extern kwaliteitstoezicht. Tot slot is het raadzaam eisen te stellen aan een zorgvuldige opdrachtuitvoering (opdrachtformulering, uitvoering, oordeelsvorming, rapportage en dossieropbouw). 3 Rol van de toezichthouder 3.1 Het kwaliteitsoordeel Een kwaliteitsoordeel wordt afgegeven door een onderzoeker op basis van een uitgevoerd onderzoek en heeft betrekking op de kwaliteit van het stelsel van maatregelen en procedures gericht op het beschermen van persoonsgegevens over de gehele verwerking. Het CBP moedigt het verkrijgen van een (positief) kwaliteitsoordeel over een verwerking van persoonsgegevens aan omdat de verantwoordelijke daarmee aangeeft belang te hechten aan de bescherming van de persoongegevens. Het feit dat een verantwoordelijke een verwerking van persoonsgegevens heeft laten beoordelen, betekent niet dat daarmee de bevoegdheid van het CBP tot het instellen van een onderzoek vervalt. In geval van twijfel aan de rechtmatigheid van een verwerking zal het CBP eigen onderzoek instellen. Het CBP kan in zijn toezichtsbeleid wel rekening houden met een afgegeven kwaliteitsoordeel. Een (ambtshalve) onderzoek van het CBP heeft een andere scope, diepgang en doel en moet niet verward worden met een privacy-audit of compliance onderzoek. Het CBP voert geen compliance onderzoeken uit in het kader van zelfregulering zoals hier bedoeld en geeft geen kwaliteitsoordelen af. 3.2 Toezicht Het CBP ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Het CBP stimuleert zelfregulering van overheid en bedrijfsleven voor een adequate privacybescherming. Het CBP geeft daarmee aan zich te willen opstellen als tweedelijnsorganisatie. Die rol is alleen mogelijk indien de eerste lijn beschikt over kennis van zaken en zich bewust is van de eigen verantwoordelijkheid. 2005 College bescherming persoonsgegevens Pagina 5 van 6

Het CBP heeft vanuit die visie de afgelopen jaren een tweetal projecten gestart: het ontwikkelen van producten in het kader van zelfregulering; het ontwikkelen van een systeem dat voorziet in een handreiking voor compliance onderzoeken. In samenwerking met marktpartijen (accountantsorganisaties, adviesbureaus en beroepsorganisaties) is een viertal zelfreguleringsproducten ontwikkeld waarmee overheid en bedrijfsleven, zelfstandig of met behulp van een (externe) adviseur, kunnen nagaan hoe zij er voorstaan bij de implementatie en naleving van de privacywet- en regelgeving. De WBP gaat uit van de eigen verantwoordelijkheid van overheid en bedrijfsleven voor een adequate privacybescherming en geeft de maatstaven daarvoor aan in een stelsel van rechten en verplichtingen. Een ander uitgangspunt van de WBP is dat de burger primair voor zijn eigen rechten moet opkomen. Die eigen verantwoordelijkheid aan beide kanten zal door het CBP worden gevoed door voorlichting, normontwikkeling en stimulering van privacyvriendelijke technologieën in de vorm van Privacy-Enhancing Technologies (PET) en Privacy by Design (het meenemen van privacybeschermende maatregelen in de architectuurfase). Daarbij past het bevorderen van zelfregulering via gedragscodes en de aanstelling van een Functionaris voor de Gegevensbescherming (FG), die in de WBP een prominente plaats hebben gekregen. Het gebruik van de bevoegdheden tot handhaving komt in deze benadering pas aan de orde indien andere middelen falen of ongeschikt blijken. 2005 College bescherming persoonsgegevens Pagina 6 van 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback