Privacy: Compliance en Governance Hoe kan privacy binnen de organisatie worden geoptimaliseerd? Mei 2014 I. Privacy als risico voor uw organisatie Veel bedrijven verwerken persoonsgegevens om bepaalde doelen te bereiken, zij het om een dienst of product te leveren of om een klant de best mogelijke aanbieding te doen. Het belang van uw organisatie om persoonsgegevens te verwerken staat echter veelal op gespannen voet met het privacybelang van de betrokkene op wie de door u verzamelde gegevens betrekking hebben. Omdat privacy volop in beweging is in zowel de politiek als de maatschappij is het daarom van groot belang om hier goed mee om te gaan. Het beschermen van de privacybelangen van klanten wordt vaak als een drempel of hindernis gezien voor het uitvoeren van de eigen business-activiteiten. Voorgenomen verwerkingen kunnen worden vertraagd of tegengehouden omdat moet worden onderzocht of deze voldoen aan de privacywetgeving. Niet voldoen aan wet- en regelgeving omtrent privacy kan echter grote risico’s meebrengen voor uw organisatie. Handhaving door de toezichthouder brengt zowel (hoge) financiële kosten als reputatieschade met zich mee. Het wettelijk kader voor privacy-gerelateerde vraagstukken is echter constant in beweging. Zo is de zogenaamde ‘Cookiewet’ al meerdere malen aangepast, zal er een meldplicht komen voor datalekken, rammelt het Europees Hof aan de Richtlijn omtrent de bewaarplicht en komt er een nieuwe Verordening Gegevensbescherming. Dit resulteert in grote onzekerheid bij organisaties over de juiste interpretatie van bestaande regelgeving. Organisaties hebben behoefte aan een gestructureerde aanpak van privacy compliance waarmee veranderingen in wet- en regelgeving efficiënt kunnen worden opgepakt. Maar privacy hoeft geen obstakel te zijn: een verantwoorde en zorgvuldige omgang met persoonsgegevens heeft naast het afwentelen van handhavingsrisico’s ook andere voordelen voor uw organisatie. Zo versterkt u het vertrouwen van uw klanten in uw organisatie, waardoor zij gebruik zullen blijven maken van uw producten of diensten en deze ook bij anderen aanraden. Daarnaast voorkomt u negatieve beeldvorming bij incidenten. Voorts zorgt een gestructureerde aanpak bij gegevensverwerking voor meer duidelijkheid bij uw personeel, waarmee vaak tijdrovende onzekerheden worden weggenomen en het werkproces efficiënter wordt ingericht. Door privacy zorgvuldig te beleggen kunt u het meeste uit uw data halen, zonder handhavingsrisico’s of verlies in vertrouwen. II. Waarom Privacy Governance en Compliance? Waarom Privacy Governance? Privacy Governance stuurt en controleert alle processen in een organisatie waarbij persoonsgegevens worden verwerkt. Privacy Governance is een programmatische aanpak op het gebied van privacy en de bescherming van persoonsgegevens waarmee gegevens op een zorgvuldige manier worden verwerkt. Op verantwoorde wijze persoonsgegevens verwerken gaat verder dan naleving van wet- en regelgeving; om op zorgvuldige wijze met persoonsgegevens om te gaan moet ook worden nagegaan hoe het belang van privacy binnen de eigen organisatie wordt ingevuld (privacy ethiek) en hoe over privacy naar de buitenwereld wordt gecommuniceerd (transparantie). Compliance Ethiek Transparantie De drie pijlers van Privacy Governance De winst van het uitvoeren van een Privacy Governance programma is dat het gehele proces van gegevensverwerking binnen uw organisatie duidelijk en controleerbaar wordt. Voor uw werknemers schept een Privacy Governance programma zekerheid over de manier waarop invulling moet worden gegeven aan het privacybelang van de betrokkenen. Hierdoor worden fouten (die leiden tot onrechtmatige verwerkingen) beperkt of voorkomen en loopt u minder risico op reputatieschade en handhaving door de toezichthouder. Ook helpt een Privacy Governance programma bij de transparantie van uw organisatie; de gegevensverwerking wordt zodanig ingericht dat te allen tijde inzichtelijk kan worden gemaakt hoe de gegevensverwerking is gegaan, welke keuzes daarbij zijn gemaakt en waarom. Hiermee kunt u optimaal verantwoording afleggen over de verwerking van persoonsgegevens aan betrokkenen, media, de toezichthouder en de politiek. III. Wat is Privacy Governance? Als u goed en zorgvuldig om wil gaan met privacy en persoonsgegevens, moet u uw organisatie hierop inrichten. Hiervoor is een gestructureerde en programmatische aanpak noodzakelijk. Een Privacy Governance Programma zorgt ervoor dat uw organisatie consequent en gecoördineerd met privacy en de bescherming van persoonsgegevens aan de slag gaat. Met een privacy governance programma kunt u aantonen dat uw organisatie op een verantwoordelijke manier omgaat met persoonsgegevens (accountability). Bij het formuleren en uitvoeren van een privacybeleid gaat Considerati uit van acht elementen die ingevuld moeten worden om tot een succesvol privacy programma te komen. Deze acht elementen geven een duidelijk raamwerk voor het invullen van concrete acties. Deze elementen worden hierna afzonderlijk toegelicht. IV. De elementen van Privacy Governance De acht elementen van een goed privacy programma In een succesvol privacy programma moet rekening worden gehouden met acht noodzakelijke elementen: 1. Leiderschap U belegt privacy op strategisch niveau binnen de organisatie en ervoor zorgen dat het management het als kernwaarde gaat zien. Het management belegt de privacy ambities in een strategisch privacyplan dat binnen uw organisatie wordt uitgerold. Privacy leiderschap is essentieel voor het vertrouwen in uw organisatie en omvat daarom ook het onderhouden van goede contacten met belanghebbenden. 2. Management en verantwoordelijkheid U belegt de verantwoordelijkheid voor het uitvoeren van het privacyplan binnen uw organisatie (bijvoorbeeld bij een privacy officer). Er moeten voldoende middelen beschikbaar zijn voor de uitvoering van het plan. Uw organisatie moet procedures ingericht hebben om rekenschap af te kunnen leggen over het verzamelen en gebruiken van gegevens en de organisaties aan wie deze gegevens worden doorgegeven. 3. Legitimiteit van verwerkingen Uw organisatie mag alleen persoonsgegevens verwerken op basis van een legitieme grondslag. Uw organisatie moet daarom zicht hebben op alle verwerkingen en kunnen aantonen waarom deze legitiem zijn. Daarnaast moet uw organisatie procedures inrichten die er voor zorgen dat gegevens niet voor andere doelen worden aangewend dan waarvoor zij zijn verzameld. Tenslotte moet uw organisatie de rechten van de betrokkenen kunnen waarborgen. 4. Veiligheid van gegevens Veiligheid van gegevens is een belangrijke eis uit de Wet bescherming persoonsgegevens. Uw organisatie moet een risico-inventarisatie maken en op basis daarvan een duidelijk plan voor informatiebeveiliging opstellen. Bij de beveiliging moet rekening worden gehouden met de fysieke beveiliging, de opslag van gegevens en de beveiliging van dataverkeer. Uitgangspunt voor de beveiliging moeten relevante standaarden zijn zoals bijvoorbeeld ISO 27001. Binnen de overheid kan worden aangesloten bij standaarden als de VIR en VIR-BI. V. De elementen van Privacy Governance 5. Transparantie U moet openheid van zaken geven over de manier waarop uw organisatie persoonsgegevens verwerkt en voor welke doelen. Openheid en transparantie omvat het doen van meldingen bij het College Bescherming Persoonsgegevens, het plaatsen van het privacy notificaties op de website en voorlichting via bijvoorbeeld folders en informatiebladen. 6. Ontwikkeling van producten en diensten Privacybescherming moet een integraal onderdeel van het ontwikkelproces van nieuwe producten en diensten binnen uw organisatie zijn zijn. U moet een Privacy Impact Assessment doen om risico’s te identificeren en de uitslagen van deze assessments vertalen naar ontwerpeisen. 7. Privacycultuur en bewustzijn Een goed privacybeleid werkt alleen als al uw medewerkers op de hoogte zijn van het belang van privacy en duidelijke instructies krijgen over hoe zij om moeten gaan met persoonsgegevens. Door middel van specifieke trainingen, permanente scholing en hulpmiddelen die zorgvuldige omgang met privacy en persoonsgegevens stimuleren, kunt u de privacycultuur binnen uw organisatie verbeteren. 8. Handhaving en monitoring Sluitstuk van een goed privacy programma is monitoring en handhaving. Door het monitoren van het privacy programma kan u het programma bijsturen waar nodig. Handhaving zorgt ervoor dat het belang van privacy wordt onderstreept. Vaak draagt handhaving ook bij aan het versterken van privacy-bewustzijn binnen de organisatie en bij het vasthouden van privacy maturity op lange termijn. VI. De start van een eigen Privacy Governance Programma Plan van Aanpak Bij het opstarten van een eigen Privacy Governance Programma moeten de voorgaande acht elementen van privacy governance binnen de organisatie worden belegd. Optimaal wordt er gebruik gemaakt van de plan-do-check-act cyclus. Deze cyclus vertaalt zich naar een vier-stappenplan in de praktijk: Eerst zal er een evaluatie van de stand van zaken moeten plaatsvinden, aan de hand van deze evaluatie kan een verbeterplan worden opgesteld, de aanbevelingen uit dit plan moeten worden doorgevoerd waarna een nieuwe evaluatie en nieuwe aanpassingen kunnen worden gedaan. Deze stappen worden hierna kort afzonderlijk toegelicht. VI. De start van een eigen Privacy Governance Programma Stap 1: Evaluatie De eerste stap in het opstellen van een eigen privacy governance plan is het is het evalueren van het huidige privacybeleid van de organisatie. De acht elementen van privacy governance worden getoetst om de huidige stand van zaken rondom privacy vast te stellen en verbeterpunten te identificeren. Considerati maakt voor deze evaluatie gebruik van een Privacy Readiness Benchmark, waarmee in één oogopslag duidelijk wordt waar de meeste risico’s liggen voor de organisatie op het gebied van privacy. Bij het vaststellen van de stand van zaken moet daarnaast extra aandacht worden besteedt aan het huidige niveau van privacy compliance van uw organisatie. Dit kan bijvoorbeeld door het uitvoeren van een compliance check. Deze nulmeting dient als uitgangspunt voor het vaststellen van een efficiënt plan van aanpak, specifiek gericht op de behoeften van uw organisatie. Stap 2: Opleveren verbeterplan Aan de hand van de evaluatie en compliance check kan een verbeterplan worden opgesteld. In een verbeterplan worden de ambities van de organisatie op het gebied van privacy benoemd en worden de acties die meoten worden ondernomen om deze ambities te realiseren benoemd en omschreven. Voorts worden de te nemen acties geprioriteerd. Met behulp van dit verbeterplan wordt een privacy strategie voor uw organisatie vastgesteld. Dit verbeterplan kan daarom ook wel worden aangeduid met de term Strategisch Privacy Plan. Act Check Act Check Plan Do Plan Do VI. De start van een eigen Privacy Governance Programma Stap 3: Doorvoeren verbeteringen Op basis van de resultaten van de evaluatie en het daaruit voorvloeiend Strategisch Privacy Plan heeft de organisatie een overzicht van de concrete verbeterpunten. De volgende stap is dan ook het doorvoeren van deze verbeteringen. Hierbij kan bijvoorbeeld gedacht worden aan het trainen van het personeel van de organisatie om het privacy bewustzijn te vergroten, het stroomlijnen van inzage- en correctieprocedures door vaste procedures hiervoor vast te stellen, het opstellen van een privacy beleid, het vastleggen van gegevensverwerkingen, het melden van verwerkingen bij de toezichthouder of het herinrichten van web-omgevingen voor het verkrijgen van de juiste toestemming voor de verwerking. Stap 4: Evaluatie & aanpassing Privacy Governance is een doorlopend proces. Dit betekent dat een organisatie periodiek haar privacy governance programma moet toetsen. Hiermee kunnen veranderingen in wet- en regelgeving makkelijk worden opgepakt en doorgevoerd, kan worden geëvalueerd of het beleid in de praktijk aansluit bij de dagelijkse gang van zaken en kan worden onderzocht of er nog aanvullende punten voor verbetering zijn. Daarnaast kan met een periodieke evaluatie de groei van de organisatie op het gebied van privacy makkelijk inzichtelijk worden gemaakt. Act Check Act Check Plan Do Plan Do VII. Meer weten? Wilt u meer weten over het opstellen van een Privacy Governance Programma voor uw organisatie, of zoekt u naar professionele en praktische hulp bij het uitvoeren van uw privacybeleid? Neem dan contact op met de experts van Considerati. mr. dr. Bart W. Schermer Partner E-mail: [email protected] Telefoon: 06-13433437 mr. drs. Martine Wubben CIPP/E Senior Adviseur E-mail: [email protected] Telefoon: 06-14586741 VIII. Over Considerati Considerati is het enige adviesbureau dat volledig gespecialiseerd is in zowel juridisch advies als strategische communicatie / public affairs voor ICT en nieuwe technologieën. Onze kernspecialismen zijn privacy, cybersecurity, ISPaansprakelijkheid, digitaal vertrouwen en copyright. Wij bieden een unieke combinatie van juridisch advies, public affairs en consultancy en zorgen voor praktische oplossingen die organisaties helpen om juridische en compliance risico’s te vermijden en reputatieschade te voorkomen. Considerati heeft veel ervaring met het uitvoeren van PIA’s voor overheden en bedrijven. Considerati heeft in november 2013 de HP-IAPP Privacy Innovation Award gewonnen voor PrivacyChecker.eu, een tool waarmee bedrijven en overheden snel en gemakkelijk aan de hand van een aantal vragen kunnen kijken of zij voldoen aan de Wet bescherming persoonsgegevens, hoe hoog de boete is die ze riskeren onder de aankomende nieuwe privacywetgeving en of het doen van een Privacy Impact Assessment noodzakelijk is. Considerati bestaat uit een team van ervaren experts met een juridische achtergrond en veel ervaring met technologie. Considerati werkt discreet en op vertrouwelijke basis. Al onze medewerkers hebben een veiligheidsscreening doorlopen. Daarnaast draagt Considerati bij aan het ontwikkelen van kennis van en begrip voor de digitale samenleving door wetenschappelijke publicaties, docentschappen en onderzoeksposities aan gerenommeerde universiteiten als Leiden en Oxford. Wilt u op de hoogte gehouden worden van veranderingen in privacyregels of innova>es op het gebied van privacy, stuur dan een e-­‐mail naar info@considera>.com, schrijf u in voor onze nieuwsbrief of kijk op onze website www.considera>.com.