Redactie - 31 oktober 2017

Privacy boekhouding

Privacy boekhouding image

Afgelopen week was ik aanwezig bij een interessante presentatie bij het Trusted Cloud event geïnitieerd door Open Line en QNH in Vught. Daar gaf Matias Kruyen van de organisatie Privacy Sociaal Domein een fraai overzicht van de staat van de gegevensbescherming in Nederland. Door vele organisaties is de implementatie van de nieuwe Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 voor de hele Europese Unie geldt, voortvarend ter hand genomen.

De AVG verlangt van elke organisatie een actieve informatieplicht: welke data heb ik van je nodig, waarvoor heb ik het nodig en hoe moet ik het innen? Maar de AGV verlangt ook een passieve informatieplicht: indien gevraagd, aangeven wat je doet met mijn privacy-data en hoe je dat veilig hebt opgeslagen. En de boekhouding heet in dit kader het Register van Verwerkingen.

Boekhouding

Het aardige vond ik de vergelijking van privacy-stromen met geldstromen: privacy-data stroomt je organisatie binnen, stroomt je organisatie uit en wat in huis is, staat op de privacy-balans. Over die datastromen dien je jaarlijks verantwoording af te leggen en daarom is daar – net als bij financiën – een boekhouding voor nodig. Inclusief een kundige boekhouder en een jaarlijkse audit en goedkeuring.

Elke organisatie in Nederland moet overzicht en inzicht in het verantwoordelijkheids- en aansprakelijkheidsgebied van de aanwezige privacy-data te hebben. De boekhouding hiervoor is voor de meeste organisaties nieuw, net zoals de functionarissen die hiervoor verantwoordelijkheid hebben.

Cliëntenrecht

Vanaf 1 juli 2020 geldt tevens de Wet Cliëntenrechten die de burger recht geeft op kosteloze inzage en afschrift van zijn dossier. Ook kan de burger gespecificeerde toestemming geven voor gegevensuitwisseling met bepaalde (categorieën van) hulpverleners.

De burger kan verzoeken kenbaar te maken wie wanneer bepaalde informatie beschikbaar heeft gemaakt en wie die informatie allemaal heeft kunnen inzien. Dit vereist ook een strikte boekhouding rond het hele privacy-dossier. Niet alleen intern, maar ook over de keten heen, waar een organisatie verantwoordelijkheid – en belangrijker – aansprakelijkheid heeft, dient de datastroom transparant te zijn geadministreerd en worden beheerd.

Stropers en boswachters

Naast de algemene AVG is er een aparte Richtlijn gegevensbescherming politie en justitie. Deze richtlijn is van toepassing op elke verwerking van persoonsgegevens in de lidstaten, zowel in de publieke als in de particuliere sector. Voor opsporingsdiensten gelden speciale regels en speciale bevoegdheden om de taken die zij hebben uit te voeren. Voor hen is het extra belangrijk om de hele gevoelige persoonsgegevens die zij verwerken goed te verwerken en te bewaken. In deze digitale tijd een groeiende uitdaging. We zien steeds meer digitale datastropers en dat vraagt als reactie goed getrainde digitale databoswachters om ons informatie-oerwoud – en zeker de privacy data daarin – adequaat in de gaten te houden en te beschermen.

De nieuwe privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook kleine mkb’ers en zzp’ers die dit soort gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie. Uitdaging is hoe een kleine organisatie de rol van de functionaris voor de gegevensbescherming vorm gaat geven. Temeer als kleine organisaties een onderdeel zijn van een grotere keten van andere processen en organisaties.

Trusted Third Party

Allemaal relevante vragen waar steeds meer organisatie serieus mee bezig zijn. Het spreekt voor zich dat organisaties mogelijkheden zoeken om elektronische dossiers ‘samen’ in hun ketens van informatieverwerking en beheer te organiseren. En hierbij privacy boekhoud-applicaties te gebruiken die voor de hele keten open en eenduidig zijn en vanzelfsprekend volledig aan de AVG voldoen.

Een samenwerkingsorganisatie op dit gebied is MYOBI: Mind Your Own Business Information. MYOBI heeft een Trusted Third Party (TTP) policy uitgewerkt waaraan alle deelnemers in zo’n keten zich conformeren en zij faciliteert smart contracting: de ‘onweerlegbare vastlegging van weerbare bewerkersovereenkomsten’. Een hele mond vol, maar met dit framework kunnen partijen relatief snel en simpel een goed privacy-proces met bijbehorende ondersteunende applicaties inrichten. Vele honderden organisaties zijn al enthousiast gebruiker van deze methodiek die in heel Europa kan worden toegepast.

Geregistreerde vakkennis

Nu de datum van 26 mei 2018 dichterbij komt, blijkt dat geschoolde en vakbekwame medewerkers op dit gebied schaars zijn. En je kunt niet met een workshop van enkele dagen voldoende kennis in huis te halen. Het vergt een hogere opleiding van 2 tot 3 jaar om een FG (functionaris voor de gegevensverwerking) of DPO (data protection officer) te worden. Het is een wettelijk beschermde functie die certificering behoeft. Hiervoor is momenteel de IAPP de bekendste organisatie: de internationale vakvereniging voor privacy professionals. Zij leveren verschillende certificaten die voor hun geldigheid jaarlijks actief moeten worden onderhouden.

Zonder FG moet een organisatie alle gegevensverwerking melden bij de Autoriteit persoonsgegevens. Alle reden dus om die functionaris aan te stellen. In Nederland zijn diverse academies gestart die meerjarige leergangen aanbieden om deze functionarissen op te leiden. De Autoriteit Persoonsgegevens publiceert vervolgens de aanmeldingen van FG’s in een register. Vele FG’s zijn lid van de in 2003 opgerichte NGFG, het Nederlandse genootschap voor deze wettelijk beschermde deskundigen.

Eindelijk

Het lijkt er eindelijk op dat de privacy-boekhouding voor een bedrijf of organisatie net zo belangrijk zal worden als de ‘normale’ financiële boekhouding waar ook jaarlijks verantwoording over moet worden afgelegd. In het Engels heet de AVG de soms bekendere en intussen erg gehypte GDPR en deze vervangt de oude (analoge) wetgeving uit 1995.

Het EU-voorstel is om de AVG op 25 mei 2018 te laten vergezellen door de e-privacy wetgeving met betrekking tot het eerbiedigen van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie. Dat dit grote impact zal hebben op veel van onze social media platformen, maar ook op de uit de hand gelopen en oneerbiedige handel in persoonsgegevens, moge duidelijk zijn. Eindelijk krijgt onze privacy van rechtswege een moderne stevige basis die we zo lang ontbeerden.

Door: Hans Timmerman (foto), CTO Dell EMC Nederland

Axians 12/11/2024 t/m 26/11/2024 BN+BW