Privacy: Compliance en Governance

advertisement
Privacy:
Compliance en Governance
Hoe kan privacy binnen de organisatie worden
geoptimaliseerd?
Mei 2014
I. Privacy als risico voor uw organisatie
Veel bedrijven verwerken persoonsgegevens om bepaalde doelen te bereiken, zij het om
een dienst of product te leveren of om een klant de best mogelijke aanbieding te doen.
Het belang van uw organisatie om persoonsgegevens te verwerken staat echter veelal
op gespannen voet met het privacybelang van de betrokkene op wie de door u
verzamelde gegevens betrekking hebben. Omdat privacy volop in beweging is in zowel
de politiek als de maatschappij is het daarom van groot belang om hier goed mee om te
gaan.
Het beschermen van de privacybelangen van klanten wordt vaak als een drempel of
hindernis gezien voor het uitvoeren van de eigen business-activiteiten. Voorgenomen
verwerkingen kunnen worden vertraagd of tegengehouden omdat moet worden
onderzocht of deze voldoen aan de privacywetgeving. Niet voldoen aan wet- en
regelgeving omtrent privacy kan echter grote risico’s meebrengen voor uw organisatie.
Handhaving door de toezichthouder brengt zowel (hoge) financiële kosten als
reputatieschade met zich mee.
Het wettelijk kader voor privacy-gerelateerde vraagstukken is echter constant in
beweging. Zo is de zogenaamde ‘Cookiewet’ al meerdere malen aangepast, zal er een
meldplicht komen voor datalekken, rammelt het Europees Hof aan de Richtlijn omtrent de
bewaarplicht en komt er een nieuwe Verordening Gegevensbescherming. Dit resulteert in
grote onzekerheid bij organisaties over de juiste interpretatie van bestaande regelgeving.
Organisaties hebben behoefte aan een gestructureerde aanpak van privacy compliance
waarmee veranderingen in wet- en regelgeving efficiënt kunnen worden opgepakt.
Maar privacy hoeft geen obstakel te zijn: een verantwoorde en zorgvuldige omgang met
persoonsgegevens heeft naast het afwentelen van handhavingsrisico’s ook andere
voordelen voor uw organisatie. Zo versterkt u het vertrouwen van uw klanten in uw
organisatie, waardoor zij gebruik zullen blijven maken van uw producten of diensten en
deze ook bij anderen aanraden. Daarnaast voorkomt u negatieve beeldvorming bij
incidenten. Voorts zorgt een gestructureerde aanpak bij gegevensverwerking voor meer
duidelijkheid bij uw personeel, waarmee vaak tijdrovende onzekerheden worden
weggenomen en het werkproces efficiënter wordt ingericht.
Door privacy zorgvuldig te beleggen kunt u het meeste uit uw data halen, zonder handhavingsrisico’s of verlies in vertrouwen. II. Waarom Privacy Governance en
Compliance?
Waarom Privacy Governance?
Privacy Governance stuurt en controleert alle processen in een organisatie waarbij
persoonsgegevens worden verwerkt. Privacy Governance is een programmatische
aanpak op het gebied van privacy en de bescherming van persoonsgegevens waarmee
gegevens op een zorgvuldige manier worden verwerkt. Op verantwoorde wijze
persoonsgegevens verwerken gaat verder dan naleving van wet- en regelgeving; om op
zorgvuldige wijze met persoonsgegevens om te gaan moet ook worden nagegaan hoe
het belang van privacy binnen de eigen organisatie wordt ingevuld (privacy ethiek) en
hoe over privacy naar de buitenwereld wordt gecommuniceerd (transparantie).
Compliance
Ethiek
Transparantie
De drie pijlers van Privacy Governance
De winst van het uitvoeren van een Privacy Governance programma is dat het gehele
proces van gegevensverwerking binnen uw organisatie duidelijk en controleerbaar
wordt. Voor uw werknemers schept een Privacy Governance programma zekerheid
over de manier waarop invulling moet worden gegeven aan het privacybelang van de
betrokkenen. Hierdoor worden fouten (die leiden tot onrechtmatige verwerkingen)
beperkt of voorkomen en loopt u minder risico op reputatieschade en handhaving door
de toezichthouder. Ook helpt een Privacy Governance programma bij de transparantie
van uw organisatie; de gegevensverwerking wordt zodanig ingericht dat te allen tijde
inzichtelijk kan worden gemaakt hoe de gegevensverwerking is gegaan, welke keuzes
daarbij zijn gemaakt en waarom. Hiermee kunt u optimaal verantwoording afleggen
over de verwerking van persoonsgegevens aan betrokkenen, media, de toezichthouder
en de politiek.
III. Wat is Privacy Governance?
Als u goed en zorgvuldig om wil gaan met privacy en persoonsgegevens, moet u uw
organisatie hierop inrichten. Hiervoor is een gestructureerde en programmatische
aanpak noodzakelijk. Een Privacy Governance Programma zorgt ervoor dat uw
organisatie consequent en gecoördineerd met privacy en de bescherming van
persoonsgegevens aan de slag gaat. Met een privacy governance programma kunt u
aantonen dat uw organisatie op een verantwoordelijke manier omgaat met
persoonsgegevens (accountability).
Bij het formuleren en uitvoeren van een privacybeleid gaat Considerati uit van acht
elementen die ingevuld moeten worden om tot een succesvol privacy programma te
komen. Deze acht elementen geven een duidelijk raamwerk voor het invullen van
concrete acties. Deze elementen worden hierna afzonderlijk toegelicht.
IV. De elementen van Privacy Governance De acht elementen van een goed privacy programma
In een succesvol privacy programma moet rekening worden gehouden met acht
noodzakelijke elementen:
1. Leiderschap
U belegt privacy op strategisch niveau binnen de organisatie en ervoor zorgen dat het
management het als kernwaarde gaat zien. Het management belegt de privacy
ambities in een strategisch privacyplan dat binnen uw organisatie wordt uitgerold.
Privacy leiderschap is essentieel voor het vertrouwen in uw organisatie en omvat
daarom ook het onderhouden van goede contacten met belanghebbenden.
2. Management en verantwoordelijkheid
U belegt de verantwoordelijkheid voor het uitvoeren van het privacyplan binnen uw
organisatie (bijvoorbeeld bij een privacy officer). Er moeten voldoende middelen
beschikbaar zijn voor de uitvoering van het plan. Uw organisatie moet procedures
ingericht hebben om rekenschap af te kunnen leggen over het verzamelen en
gebruiken van gegevens en de organisaties aan wie deze gegevens worden
doorgegeven.
3. Legitimiteit van verwerkingen
Uw organisatie mag alleen persoonsgegevens verwerken op basis van een legitieme
grondslag. Uw organisatie moet daarom zicht hebben op alle verwerkingen en kunnen
aantonen waarom deze legitiem zijn. Daarnaast moet uw organisatie procedures
inrichten die er voor zorgen dat gegevens niet voor andere doelen worden aangewend
dan waarvoor zij zijn verzameld. Tenslotte moet uw organisatie de rechten van de
betrokkenen kunnen waarborgen.
4. Veiligheid van gegevens
Veiligheid van gegevens is een belangrijke eis uit de Wet bescherming
persoonsgegevens. Uw organisatie moet een risico-inventarisatie maken en op basis
daarvan een duidelijk plan voor informatiebeveiliging opstellen. Bij de beveiliging moet
rekening worden gehouden met de fysieke beveiliging, de opslag van gegevens en de
beveiliging van dataverkeer. Uitgangspunt voor de beveiliging moeten relevante
standaarden zijn zoals bijvoorbeeld ISO 27001. Binnen de overheid kan worden
aangesloten bij standaarden als de VIR en VIR-BI.
V. De elementen van Privacy Governance 5. Transparantie
U moet openheid van zaken geven over de manier waarop uw organisatie
persoonsgegevens verwerkt en voor welke doelen. Openheid en transparantie omvat
het doen van meldingen bij het College Bescherming Persoonsgegevens, het plaatsen
van het privacy notificaties op de website en voorlichting via bijvoorbeeld folders en
informatiebladen.
6. Ontwikkeling van producten en diensten
Privacybescherming moet een integraal onderdeel van het ontwikkelproces van nieuwe
producten en diensten binnen uw organisatie zijn zijn. U moet een Privacy Impact
Assessment doen om risico’s te identificeren en de uitslagen van deze assessments
vertalen naar ontwerpeisen.
7. Privacycultuur en bewustzijn
Een goed privacybeleid werkt alleen als al uw medewerkers op de hoogte zijn van het
belang van privacy en duidelijke instructies krijgen over hoe zij om moeten gaan met
persoonsgegevens. Door middel van specifieke trainingen, permanente scholing en
hulpmiddelen die zorgvuldige omgang met privacy en persoonsgegevens stimuleren,
kunt u de privacycultuur binnen uw organisatie verbeteren.
8. Handhaving en monitoring
Sluitstuk van een goed privacy programma is monitoring en handhaving. Door het
monitoren van het privacy programma kan u het programma bijsturen waar nodig.
Handhaving zorgt ervoor dat het belang van privacy wordt onderstreept. Vaak draagt
handhaving ook bij aan het versterken van privacy-bewustzijn binnen de organisatie en
bij het vasthouden van privacy maturity op lange termijn.
VI. De start van een eigen Privacy
Governance Programma Plan van Aanpak
Bij het opstarten van een eigen Privacy Governance Programma moeten de
voorgaande acht elementen van privacy governance binnen de organisatie worden
belegd. Optimaal wordt er gebruik gemaakt van de plan-do-check-act cyclus.
Deze cyclus vertaalt zich naar een vier-stappenplan in de praktijk: Eerst zal er een
evaluatie van de stand van zaken moeten plaatsvinden, aan de hand van deze
evaluatie kan een verbeterplan worden opgesteld, de aanbevelingen uit dit plan
moeten worden doorgevoerd waarna een nieuwe evaluatie en nieuwe aanpassingen
kunnen worden gedaan. Deze stappen worden hierna kort afzonderlijk toegelicht.
VI. De start van een eigen Privacy
Governance Programma Stap 1: Evaluatie
De eerste stap in het opstellen van een eigen
privacy governance plan is het is het evalueren
van het huidige privacybeleid van de organisatie.
De acht elementen van privacy governance
worden getoetst om de huidige stand van zaken
rondom privacy vast te stellen en verbeterpunten
te identificeren. Considerati maakt voor deze
evaluatie gebruik van een Privacy Readiness
Benchmark, waarmee in één oogopslag duidelijk
wordt waar de meeste risico’s liggen voor de
organisatie op het gebied van privacy. Bij het
vaststellen van de stand van zaken moet
daarnaast extra aandacht worden besteedt aan
het huidige niveau van privacy compliance van uw
organisatie. Dit kan bijvoorbeeld door het
uitvoeren van een compliance check. Deze
nulmeting dient als uitgangspunt voor het
vaststellen van een efficiënt plan van aanpak,
specifiek gericht op de behoeften van uw
organisatie.
Stap 2: Opleveren verbeterplan Aan de hand van
de evaluatie en compliance check kan een
verbeterplan worden opgesteld. In een
verbeterplan worden de ambities van de
organisatie op het gebied van privacy benoemd
en worden de acties die meoten worden
ondernomen om deze ambities te realiseren
benoemd en omschreven. Voorts worden de te
nemen acties geprioriteerd. Met behulp van dit
verbeterplan wordt een privacy strategie voor uw
organisatie vastgesteld. Dit verbeterplan kan
daarom ook wel worden aangeduid met de term
Strategisch Privacy Plan.
Act
Check
Act
Check
Plan
Do
Plan
Do
VI. De start van een eigen Privacy
Governance Programma Stap 3: Doorvoeren verbeteringen
Op basis van de resultaten van de evaluatie en
het daaruit voorvloeiend Strategisch Privacy Plan
heeft de organisatie een overzicht van de
concrete verbeterpunten. De volgende stap is dan
ook het doorvoeren van deze verbeteringen.
Hierbij kan bijvoorbeeld gedacht worden aan het
trainen van het personeel van de organisatie om
het privacy bewustzijn te vergroten, het
stroomlijnen van inzage- en correctieprocedures
door vaste procedures hiervoor vast te stellen, het
opstellen van een privacy beleid, het vastleggen
van gegevensverwerkingen, het melden van
verwerkingen bij de toezichthouder of het
herinrichten van web-omgevingen voor het
verkrijgen van de juiste toestemming voor de
verwerking.
Stap 4: Evaluatie & aanpassing
Privacy Governance is een doorlopend proces.
Dit betekent dat een organisatie periodiek haar
privacy governance programma moet toetsen.
Hiermee kunnen veranderingen in wet- en
regelgeving makkelijk worden opgepakt en
doorgevoerd, kan worden geëvalueerd of het
beleid in de praktijk aansluit bij de dagelijkse gang
van zaken en kan worden onderzocht of er nog
aanvullende punten voor verbetering zijn.
Daarnaast kan met een periodieke evaluatie de
groei van de organisatie op het gebied van
privacy makkelijk inzichtelijk worden gemaakt.
Act
Check
Act
Check
Plan
Do
Plan
Do
VII. Meer weten?
Wilt u meer weten over het opstellen van een Privacy Governance Programma voor
uw organisatie, of zoekt u naar professionele en praktische hulp bij het uitvoeren van
uw privacybeleid? Neem dan contact op met de experts van Considerati.
mr. dr. Bart W. Schermer
Partner
E-mail: [email protected]
Telefoon: 06-13433437
mr. drs. Martine Wubben CIPP/E
Senior Adviseur
E-mail: [email protected]
Telefoon: 06-14586741
VIII. Over Considerati
Considerati is het enige adviesbureau dat volledig gespecialiseerd is in zowel juridisch
advies als strategische communicatie / public affairs voor ICT en nieuwe
technologieën. Onze kernspecialismen zijn privacy, cybersecurity, ISPaansprakelijkheid, digitaal vertrouwen en copyright. Wij bieden een unieke combinatie
van juridisch advies, public affairs en consultancy en zorgen voor praktische
oplossingen die organisaties helpen om juridische en compliance risico’s te vermijden
en reputatieschade te voorkomen. Considerati heeft veel ervaring met het uitvoeren
van PIA’s voor overheden en bedrijven.
Considerati heeft in november 2013 de HP-IAPP Privacy Innovation Award gewonnen
voor PrivacyChecker.eu, een tool waarmee bedrijven en overheden snel en
gemakkelijk aan de hand van een aantal vragen kunnen kijken of zij voldoen aan de
Wet bescherming persoonsgegevens, hoe hoog de boete is die ze riskeren onder de
aankomende nieuwe privacywetgeving en of het doen van een Privacy Impact
Assessment noodzakelijk is.
Considerati bestaat uit een team van ervaren experts met een juridische achtergrond
en veel ervaring met technologie. Considerati werkt discreet en op vertrouwelijke
basis. Al onze medewerkers hebben een veiligheidsscreening doorlopen. Daarnaast
draagt Considerati bij aan het ontwikkelen van kennis van en begrip voor de digitale
samenleving door wetenschappelijke publicaties, docentschappen en
onderzoeksposities aan gerenommeerde universiteiten als Leiden en Oxford.
Wilt u op de hoogte gehouden worden van veranderingen in privacyregels of innova>es op het gebied van privacy, stuur dan een e-­‐mail naar info@considera>.com, schrijf u in voor onze nieuwsbrief of kijk op onze website www.considera>.com. 
Download