Arie van Kooij, Hildo Krop, Tim van Teijlingen, Angelique van der Weiden, Esther Zachariasse
Privacy staat volop in de belangstelling. Dagelijks zijn er in de media termen te vinden als: identiteitsdiefstal, hacken van persoonsgegevens, datalekken, Wet bescherming persoonsgegevens (Wbp) en Europese Algemene Verordening Gegevensbescherming (AVG). Discussies hierover zijn vaak van abstract niveau en ontoegankelijk voor leken en ondernemingen. Wat privacy en privacygerelateerde termen concreet betekenen voor een persoon of een onderneming is vaak niet duidelijk. Dit artikel gaat in op een tweetal zaken:
- In hoeverre zijn de integriteitsrisico’s1 voor een persoon of onderneming inzichtelijk te maken?
- Hoe kunnen deze integriteitsrisico’s worden beoordeeld, zodat een weloverwogen risicoafweging kan worden gemaakt? Dit wil zeggen: zijn deze risico’s acceptabel of moeten er risico-beperkende maatregelen worden genomen.
Juridisch kader
Vanzelfsprekend moet de wet- en regelgeving worden nageleefd, die van toepassing is op de onderneming. Op basis van Wet bescherming persoonsgegevens (Wbp) zijn ondernemingen verantwoordelijk voor de persoonsgegevens2 van hun klanten (zoals consumenten, zakelijke klanten en patiënten) en overige stakeholders (zoals aandeelhouders, zakelijke leveranciers).
Een onderneming is daarmee aansprakelijk indien deze niet voldoet aan de regelgeving omtrent de omgang van persoonsgegevens. Consumenten, patiënten, aandeelhouders kunnen dus bij de onderneming terecht als het hiermee misgaat.3 Hiervan kan sprake zijn als de onderneming bijvoorbeeld wordt gehackt
1.Integriteitsrisico’s zijn risico’s die kunnen ontstaan doordat de onderneming of medewerkers van de onderneming de wettelijke voorschriften ontoereikend naleven of wanneer het handelen niet als maatschappelijk wenselijk word beschouwd.
2.De Wbp omschrijft een persoonsgeven in artikel 1 lid a: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
3. De Wbp omschrijft een persoonsgeven in artikel 1 lid b [geheel of gedeeltelijk geautomatiseerde verwerking] elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
En persoonsgegevens worden daardoor openbaar gemaakt of eenvoudiger, als een van de medewerkers van de onderneming een USB-stick verliest waarop persoonsgegevens staan.
Het juridisch kader beperkt zich echter niet alleen tot de Wet bescherming persoonsgegevens (Wbp). Afhankelijk van de sector waar de onderneming actief in is, kunnen aanvullende regelgeving van toepassing zijn. Voorbeelden hiervan zijn de Wet Openbaarheid van Bestuur, de Wet Computercriminaliteit, de Telecommunicatiewet, de Archiefwet en de Belastingwetgeving. Verder zal naar verwachting in 2017 de Europese Algemene Verordening Gegevensbescherming (AVG) van kracht worden. De AVG vervangt de Wbp en moet zorgdragen voor een uniform beleid ten aanzien van privacyregelgeving binnen Europa.
Privacy en beveiliging
Bescherming van persoonsgegevens vraagt bewustwording en verantwoordelijkheid van alle betrokkenen. Dit zijn zowel de personen die persoonsgegevens ter beschikking stellen4 als de organisaties die deze gegevens gebruiken voor hun bedrijfsvoering.5 Om privacy te kunnen waarborgen, integriteitsrisico’s te kunnen inschatten en indien nodig te beperken, is het van belang te onderkennen dat het beschermen van persoonsgegevens samenhangt met beveiliging in het algemeen. Vakgebieden als informatiebeveiliging en fysieke beveiliging zijn hierin gespecialiseerd en hebben veel overlap met het privacyvraagstuk. Een integrale benadering van deze gebieden is niet alleen wenselijk, maar ook noodzakelijk.
Inzicht in risico’s en bewustwording
Door het uitvoeren van Privacy Impact Assessments (PIA’s) is het mogelijk specifieke privacy gerelateerde risico’s vast te stellen en te koppelen aan de impact6 voor de onderneming die de dreiging met zich mee brengt. Met invoering van de AVG is een PIA niet alleen meer verplicht voor overheden, maar in veel gevallen ook verplicht of in ieder geval heel handig voor bedrijven. Voor elke verwerking van persoonsgegevens die mogelijk van invloed kan zijn op de rechten en vrijheden van betrokkenen, is het uitvoeren van een PIA verplicht.7 Het uitvoeren van dergelijke PIA’s is niet moeilijk, maar vereist vooral veel werk door de grote hoeveelheid verwerkingen van persoonsgegevens. Door standaardisatie vanuit de overheid en toezichthouder zijn er veel hulpmiddelen voorhanden. Deze hulpmiddelen bestaan veelal uit checklists en vragenlijsten die de te nemen stappen duidelijk in kaart brengen. Een aandachtspunt is dat bij een enkele verwerking vaak meerdere afdelingen betrokken zijn. Voor het adequaat afnemen van een PIA is het daarom nodig om met veel verschillende mensen van verschillende afdelingen te praten. Een vraaggesprek zal vaak een sterk informatief karakter hebben.
4.Betrokkene in de zin van de Wbp.
5 Verantwoordelijke in de zin van de Wbp.
6. Voorbeelden van impact zijn; reputatieschade, aansprakelijkheidsstellingen, boetes etc.
7 Een PIA is niet verplicht wanneer bijvoorbeeld de verwerking wordt uitgevoerd met behulp van geanonimiseerde data. Wanneer gegevens niet worden opgeslagen of wanneer het gaat om beperkte aantallen hoeft er ook geen PIA te worden uitgevoerd.
De pia in een projectomgeving
Om privacy risico’s in een vroeg stadium van een project op een gestructureerde en heldere manier in beeld te brengen, kan een Privacy Impact Assessment (PIA) worden uitgevoerd. De PIA stimuleert organisaties om proactief na te denken over zaken als:
- de impact van het project op de privacy van de betrokkenen;
- de risico’s voor de betrokkenen en voor de organisatie;
- een mogelijke aanpak die minder gevolgen heeft voor de privacy binnen de doestellingen van het project.
Na het uitvoeren van een PIA kan er vanuit het project voor worden gezorgd dat privacy als integraal onderdeel wordt meegenomen. Hiermee wordt voorkomen dat in een later stadium kostbare aanpassingen nodig zijn.
Iedere organisatie bestaat uit mensen en informatie. Het is belangrijk om te onderkennen dat mensen tijdens ieder leerproces vanuit een ‘onbewust onbekwame’ situatie naar een ‘onbewust bekwame’ toestand begeleid moeten worden; ook op privacygebied! Dit kan door middel van zogenaamde ‘Awareness Programma’s’. Door het gebruik van Awareness Programma’s binnen een onderneming worden medewerkers bewust gemaakt van privacy-aangelegenheden en de daarmee samenhangende risico’s. Tevens kunnen personen worden gestimuleerd na te denken over privacy in relatie tot de organisatie en de werkzaamheden die het bedrijf verricht. Onderstaand figuur maakt inzichtelijk hoe een leerproces verloopt.
- OnBewust onBekwaam: Aanvankelijk wordt er niet op de juiste manier omgegaan met privacy en is men zich niet bewust over het bestaan van privacy risico’s. Door doelgerichte awareness campagnes wordt dit bewustzijn gecreëerd.
- Bewust onBekwaam: Na een succesvolle awareness campagne bestaat er bewustzijn over de integriteitsrisico’s ten aanzien van privacy maar wordt hier nog niet op de juiste manier mee omgegaan. Hiervoor is training nodig.
- Bewust Bekwaam: Na doorlopen van de trainingen is er voldoende bewustzijn op het gebied van privacy en is er genoeg bekwaamheid om op een juiste manier met privacy gevoelige gegevens om te gaan. Vervolgens vindt er meer en meer automatisch gedrag plaats bij het verwerken van privacy gevoelige gegevens.
- onBewust Bekwaam: Na verloop van tijd is het bewustzijn over de reden waarom bepaalde maatregelen genomen worden verwaterd. Hierdoor loopt de onderneming het gevaar dat medewerkers – als er geen bijsturing wordt gegeven – terugvallen naar 1; onbewust onbekwaam.
De volgende praktijkvoorbeelden maken bovenstaande stappen duidelijker.
Er wordt de laatste tijd veel misbruik gemaakt van kopieën van identiteitsbewijzen. Om deze identiteitsfraude tegen te gaan, is de overheid een campagne gestart. Met deze campagne, die bestaat uit reclames op tv en bijbehorende apps, streeft de overheid ernaar de burger onbewust bekwaam te maken op het gebied van privacy. De burger wordt bewust gemaakt van privacy door reclames. Training van burgers wordt onder andere gedaan met de KopieID app. Met de KopieID app wordt misbruik van kopieën van identiteitsbewijzen moeilijker gemaakt. Zo wordt de burger gewezen op de noodzaak om het BSN nummer door te strepen en kan met een watermerk de datum en het doel van de kopie worden toegevoegd.
Dat privacy voor iedereen van belang is, waarbij de reikwijdte voor iedereen verschillend kan en mag zijn, blijkt bijvoorbeeld uit het volgende scenario: wanneer gevraagd wordt om een lijst met gebruikersaccounts inclusief wachtwoorden. Dan is het onwaarschijnlijk dat deze gegevens afgegeven worden. Als na deze vraag de informatie wordt toegevoegd dat de inhoud van deze accounts zal worden bekeken en dat deze inhoud eventueel gepubliceerd wordt in openbare bronnen, zoals Facebook, Twitter, LinkedIn, tijdschriften etc., dan is vrijwel zeker dat niemand deze inloggegevens daadwerkelijk geeft.8 De wens om privacy te hebben, is dus bij iedereen aanwezig. Om integriteitsrisico’s van privacy in te schatten moet meer inzicht komen door het volgen van trainingen en is centrale begeleiding nodig om privacybekwaam te worden.
Risico beperkende maatregelen
Mochten de integriteitsrisico’s in beginsel onacceptabel zijn, dan kan ervoor gekozen worden risico-beperkende maatregelen te treffen. Deze risicobeperkende maatregelen zijn uitsluitend effectief indien er een juiste samenhang is tussen de sets van juridische (1), organisatorische (2) en technische (3) maatregelen.
Als het zwaartepunt op één van deze categorieën ligt, dan beperkt het beveiligingsniveau zich tot de zwakste set maatregelen. Hier geldt de wet van de zwakste schakel. Een voorbeeld vanuit de praktijk; steeds meer bedrijven maken gebruik van Cloud oplossingen. De fysieke locatie van gegevens in een Cloud is niet (of moeilijk) vast te stellen en gebeurt vaak via externe providers. Hierdoor doen zich specifieke problemen op het gebied van beveiliging voor.
Juridisch (1) is het moeilijk vast te stellen welke wetten (van welk land) van toepassing zijn.
8. Voorbeeld uit: Why privacy matters, van Glenn Greenwald.
9. Voor een MKB onderneming zonder juridische afdeling of ervaring in het buitenland kan het moeilijk zijn te achterhalen welke regelgeving van toepassing is. Dat maakt het lastiger om te voldoen aan de buitenlandse wetgeving.
Organisatorisch (2) is het van essentieel belang dat gewaarborgd wordt dat een externe provider zich op het gebied van privacy aan de relevante geldige wetgeving houdt. Deze waarborging kan worden vastgelegd met behulp van Service Level Agreements (SLA’s) en andere contractuele afspraken. Er moeten dan duidelijke afspraken worden gemaakt over wie welke rol heeft (verwerker/ verantwoordelijke), hoe er met bestaande risico’s wordt omgegaan en hoe gecontroleerd wordt dat men zich inderdaad aan de wet zal houden.
Op technisch gebied (3) is het nodig om goede maatregelen te implementeren op het gebied van toegangsbeveiliging. Hiermee wordt gewaarborgd dat alleen bevoegden toegang hebben tot de privacygevoelige informatie.
In de praktijk is er veel overlap tussen specifiek privacybeschermende maatregelen en algemene maatregelen op het gebied van informatiebeveiliging. Een veel toegepaste norm op het gebied van informatiebeveiliging, de ISO2700x, is daarom ook relevant voor de behandeling van privacybeschermende maatregelen. De ISO2700x kent elf domeinen die zowel juridische, organisatorische als technische maatregelen beschrijven. Deze elf domeinen zijn;
- Beveiligingsbeleid;
- Organisatie van informatiebeveiliging;
- Beheer van bedrijfsmiddelen;
- Beveiliging van personeel;
- Fysieke beveiliging en beveiliging van de omgeving;
- Beheer van communicatie- en bedieningsprocessen;
- Toegangsbeveiliging;
- Verwerving, ontwikkeling en onderhoud van informatiesystemen;
- Beheer van informatiebeveiligingsincidenten;
- Bedrijfscontinuïteitsbeheer;
- Naleving.
Juridische maatregelen
De Wet bescherming persoonsgegevens (Wbp) heeft vastgelegd wat onder persoonsgegevens wordt worden verstaan en hoe met deze persoonsgegevens omgegaan moet worden.
Andere belangrijke aspecten zijn: trans pa rantie in de gegevensverwerking, pro por tio naliteit van gegevensverwerking, in for ma tie plicht bij gegevensvergaring, interne gegevensverstrekking, externe gegevensverstrek king en inzage- en correctierecht. Het verdient aanbeveling deze onderwerpen op te nemen in het tactisch beleid van de onderneming.
De uitbesteding van activiteiten verdient speciale aandacht. Zo is het niet bij iedereen bekend dat ondernemen via google (drive) of Microsoft 365 niet vanzelfsprekend inhoud dat de datagegevens binnen de Europese grenzen bewaard worden, waardoor lokale (dus ook Nederlandse) wetgeving niet van toepassing is. Het Cbp heeft hier een handige tip voor gepubliceerd in haar richtsnoeren, d.d. 27-12-2014.10
Organisatorische maatregelen
Om privacy te beschermen kan deze het best worden opgenomen in het strategisch en tactisch (informatie) beveiligingsbeleid van de organisatie, zodat privacybescherming een integraal onderdeel wordt van de bedrijfsprocessen. Tevens moeten taken en verantwoordelijkheden op het gebied van privacy in de organisatie worden ingebed, met andere woorden, er moet een privacyorganisatie worden ingericht. Deze taken en verantwoordelijkheden zoals wie gegevens verwerkt, wie verwijdert gegevens en wie verzameld gegevens moeten duidelijk worden vastgelegd. De uiteindelijke verantwoordelijkheid kan worden gelegd bij een specifieke functionaris; de functionaris voor gegevensbescherming (of een privacy officer). Richtlijnen over hoe dit proces efficiënt in te richten is, kan worden gevonden in de ISO normen en de handvatten die het College bescherming persoonsgegevens (Cbp) ter beschikking stelt.11
Technische maatregelen
Technische (ICT) maatregelen ondersteunen juridische en organisatorische maatregelen, maar vervangen deze niet. Er zijn tal van technische maatregelen te noemen die de vertrouwelijkheid, beschikbaarheid en integriteit van de (persoon)gegevens kunnen waarborgen zoals:
- Fysieke toegangscontrole tot gebouwen en terreinen dat er voor zorgt dat er geen onbevoegden bij papieren archieven of fysieke systemen (servers e.d.) kunnen komen;
- Logische toegangscontrole tot computers en andere systemen dat er voor zorgt dat onbevoegden niet via elektronische weg bij gegevens kunnen komen;
- Transfer controle dat er voor zorgt dat bij elektronische overdracht, persoonsgegevens voldoende worden afgeschermd tegen diefstal, inzage, foutieve wijzigingen, etc.
- Input controle, dat er onder meer voor zorgt dat de gegevens juist zijn en niet clandestien worden gewijzigd;
- Beschikbaarheidscontrole en business continuïteit, dat er voor zorgt dat gegevens naar behoren beschikbaar zijn voor legitieme doeleinden. Daarbij kan gedacht worden aan de bedrijfsprocessen die voor een beherende organisatie van belang zijn maar bijvoorbeeld ook aan het recht van inzage van de betrokkene die bij de gegevens horen;
- Scheidingscontrole: dat er voor zorgt dat voor verschillende doeleinden verzamelde gegevens ook afzonderlijk worden verwerkt.
Deze lijst kan heel veel langer worden gemaakt; een kader zoals de ISO2700x is een belangrijk hulpmiddel bij het bepalen van welke maatregelen wel en welke juist niet genomen moeten worden binnen een organisatie.
Conclusies Privacy Impact Assessments zijn een goed middel om risico’s rond het beheer en gebruik van privacygevoelige informatie aan het licht te brengen. Het uitvoeren van dergelijke assessments is meestal niet moeilijk maar wel veel werk.
Wanneer een risico niet wordt geaccepteerd moeten er risicobeperkende maatregelen worden genomen. Het vakgebied informatiebeveiliging is in staat om hiervoor gedetailleerde modellering en handvatten te bieden. Deze risicobeperkende maatregelen zijn het meest effectief wanneer ze uit een combinatie van juridische, organisatorische, technische en maatregelen bestaan.
Tevens kan en moet bewustwording op het gebied van privacy worden verhoogd. Dit geldt zowel voor bedrijven en andere organisaties die met persoonsgegevens omgaan, maar ook voor de burger die eigenaar van deze informatie is. Daarbij is belangrijk dat de juridische, organisatorische en technische aspecten goed op het netvlies staan en dat bescherming van privacy niet los gezien kan worden van beveiliging van informatie.