De baas over privacyrisico’s

| Renco Schoemaker | ,

Er wordt tegenwoordig veel over het onderwerp privacy gepubliceerd in de media. Wat je hierbij ziet is dat het vaak gaat over voornamelijk de juridische of voornamelijk technische aspecten van privacy. Maar privacy is meer dan een optelsom van deze twee factoren. Tijd voor een bredere visie op dit onderwerp. Daarbij wordt uitgegaan van een onlangs gepubliceerde artikel ‘Een nieuw Privacy Control Framework als onderdeel van de informatiehuishouding‘.

Een nieuw Privacy Control Framework

In het artikel ‘Een nieuw Privacy Control Framework als onderdeel van de informatiehuishouding’, richten Winfried Nanninga, Ali Ougajou en Maurice Koetsier zich op het privacybegrip, en vooral op de praktische implementatievragen. In hun artikel ontwikkelen ze aan de hand van verschillende internationale privacynormstelsels een nieuw Privacy Control Framework. Daarnaast geven ze praktisch invulling aan dit framework door uit te leggen waar de maatregelen van dit framework te beleggen zijn in het negenvlaksmodel van Rik Maes. In deze blog een samenvatting van dit in mijn ogen boeiende artikel.

Een organisatiebrede informatiehuishouding

Op basis van hun eigen ervaringen en literatuurstudie komen de auteurs allereerst tot twee randvoorwaarden als het gaat om een volwassen privacy-implementatie. Deze beide randvoorwaarden zijn even logisch als complex:

  • Ten eerste moet privacybescherming als onderdeel van informatiemanagement een geschikte plaats binnen de organisatie krijgen. Momenteel wordt het vaak of primair bij juridische zaken of primair bij IT ondergebracht. Beide posities doen geen recht aan de ‘scope’ van privacy.
  • Ten tweede moet de organisatie de privacybescherming systematisch organiseren door uit te gaan van een omvattend raamwerk dat de essentiële maatregelen beschrijft. En dit omvattende raamwerk bevat nadrukkelijk meer dan een positie nabij onder juridische zaken of IT doet vermoeden. We gaan hier verderop in het artikel nader op in.

Privacy Impact Assessment

Uitgaande van beide randvoorwaarden is het van belang dat er aandacht wordt besteed aan het beheersen van privacyrisico’s. Het uitvoeren van een Privacy Impact Analyse (PIA) is hierbij als noodzakelijk hulpmiddel (en dus nooit een doel op zich). Een PIA brengt immers de privacyrisico’s in beeld, waardoor ook de beheersmaatregelen kunnen worden vastgesteld die deze risico’s dienen te reduceren tot een acceptabel niveau. Dit geheel aan beheersmaatregelen wordt een Privacy Control Framework genoemd.

Een control framework dat uitsluitend op de PIA gebaseerd is zal in het beste geval de wettelijke privacy en compliance-risico’s afdekken, maar ook niet meer dan dat. Aangezien persoonsgegevens een bijzondere vorm van informatie zijn, vormen ze daarmee een integraal onderdeel van de informatiehuishoudingsvraag. Informatiemanagement vormt namelijk de brug tussen bedrijfsvoering en IT.

Door gebruik te maken van een Privacy Control Framework wordt voorkomen dat er teveel vanuit alleen juridisch of technisch oogpunt naar privacy wordt gekeken. Dit kan helpen bij het beleggen van de verantwoordelijkheid voor privacy binnen de organisatie. Privacy is immers meer dan of een compliance-, of een organisatorisch, juridisch of IT, vraagstuk. In de praktijk zien we echter dat het vaak bij slechts een van deze disciplines wordt ondergebracht. Dit terwijl het privacyvraagstuk een onderwerp is dat breed belegd dient te worden binnen de organisatie.

Vaststellen beheersmaatregelen

Om de beheersmaatregelen voor het Privacy Control Framework vast te stellen, zijn er diverse internationale en nationale frameworks geanalyseerd, vergeleken en beoordeeld.
Dit is het vertrekpunt geweest voor het ontwikkelen van een informatielevenscyclusmodel voor privacy, waarmee organisaties privacyrisico’s kunnen identificeren. Het model dient als kapstok voor identificatie van privacyrisico’s door organisaties en vormt daarmee de basis voor de selectie van relevante privacy beheersmaatregelen.

Na het analyseren en beoordelen van een tiental nationale en internationale privacy frameworks en good practices, is er een short list van vier specifieke raamwerken opgesteld.

  1. GAPP (AICPA/CICA)
  2. SP800-R53 Privacy Control Catalog (NIST)
  3. Raamwerk Privacy Audit (NOREA)
  4. European Privacy Seal (EuroPriSe)

Bij de uiteindelijke selectie van de beheersmaatregelen was het criterium dat elke maatregel in minstens drie raamwerken diende voor te komen. Dit heeft geleid tot één nieuw privacy raamwerk dat voor iedere fase, en iedere component in het informatielevenscyclusmodel en bijbehorende privacyrisico’s, de daaraan gerelateerde (mogelijke) mitigerende beheersmaatregelen weergeeft.

Negenvlaksmodel Rik Maes

Na het vaststellen van de privacy beheersmaatregelen volgt de vraag waar deze binnen organisaties dienen te worden belegd. Het gebruiken van het negenvlaksmodel van Rik Maes biedt uitkomst. Het negenvlaksmodel is immers specifiek bedoeld voor de inrichting en beheersing van de informatiehuishouding. Zoals al eerder benoemd, zijn persoonsgegevens niks anders dan een bijzondere informatiestroom en daarmee integraal onderdeel van de informatiehuishouding.

13 Privacy beheersmaatregelen

In totaal zijn er 31 belangrijke beheersmaatregelen, waarvan er in het artikel 13 worden besproken:

  1. Privacybeleid & strategie; dat beschrijft hoe werknemers in de gehele organisatie dienen om te gaan met het verzamelen, gebruiken, bewaren, verstrekken en verwijderen van persoonsgegevens.
  2. Privacy Officer & Overlegstructuur; de organisatiestructuur, rollen en verantwoordelijkheden voor het beheersen van de verzameling, het gebruik, het bewaren, het verstrekken en het verwijderen van persoonsgegevens, en voor de operationele afstemming daarover.
  3. Training & Awareness; generieke en specifieke training toegepast op de verzameling, het gebruik, het bewaren, het verstrekken en het verwijderen van persoonsgegevens door de organisatie, en uiteraard de benodigde awareness-activiteiten om de privacykennis te onderhouden.
  4. Privacy Architectuur (Privacy-by-Design); het proces om te borgen dat principes als gegevensminimalisatie en doelbinding, privacy-by-default, en gegevens ontdoen van persoonsinformatie (de-identificatie) vanaf het begin worden toegepast.
  5. Third Party Management; processen die de privacyrisico’s bij externe partijen beheersen.
  6. Informatie Levenscyclus Management; processen en beheersmaatregelen voor de hele informatielevenscyclus van persoonsgegevens, gericht op het verzamelen tot en met het verwijderen van persoonsgegevens.
  7. Privacy Risk & Control Framework; alle concrete maatregelen zoals genoemd in het Privacy Control Framework om de privacyrisico’s in kaart te brengen en de beheersmaatregelen te selecteren om deze risico’s te managen en te verkleinen.
  8. Privacy Processen; privacy specifieke processen die borgen dat de organisatie persoonsgegevens verwerkt conform haar verplichtingen.
  9. Datalek Response Proces; procedure voor het identificeren en beoordelen van incidenten met persoonsgegevens en voor de respons daarop.
  10. Juridische Processen; processen die de huidige en toekomstige eisen in privacywetgeving inzichtelijk maken en monitoren, om zo de juiste processen en beheersmaatregelen in te richten.
  11. Security Management; de interactie tussen privacy en security binnen een organisatie om te borgen dat privacy-eisen voor logische en fysieke toegangsbeveiliging op een voldoende niveau zijn ingericht.
  12. Data Infrastructuur; een overzicht van de datastromen en persoonsgegevens die binnen de organisatie worden verwerkt, inclusief de verschillende doeleinden en de classificatie van persoonsgegevens.
  13. Verantwoording & Auditing (Accountability); het continue proces waarin de organisatie haar beheersmaatregelen toetst op effectiviteit, via rapportages, zelfevaluaties en audits.

Conclusie

Persoonsgegevens, als een bijzondere vorm van informatie, zijn in het voorgestelde Privacy Control Framework een integraal onderdeel van informatiemanagement. Het model draagt hiermee bij aan het voorkomen van teveel focus op het juridische aspect óf het technische aspect. Voor het beleggen van de verantwoordelijkheid voor privacybeheersing hoeft zo geen keuze gemaakt te worden of het privacyvraagstuk nu primair een compliance- (organisatorisch, juridisch) of een securitykarakter (IT) heeft. Waar hoort privacy volgens jou belegd te worden in de organisatie? Dichtbij de bedrijfsvoering, dichtbij de ondersteunende IT of als onderdeel van informatiemanagement vooral in het ‘midden’?

Lees vooral ook het volledige artikel waarop deze samenvattende blog is gebaseerd.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Ga naar website

Meer blogs lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…
Verder lezen

Waarom is privacy eigenlijk belangrijk?

In onze huidige maatschappij, met alle computertechnologie, is privacy belangrijker dan ooit. In deze blog lees je waarom privacy zo belangrijk is, wat de gevaren zijn bij een gebrek eraan en hoe je als organisatie de privacy kan beschermen. Want,…
Verder lezen

Jaarrapportage informatiebeveiliging; waar rapporteer je als CISO over?

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is h…
Verder lezen

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…
Verder lezen

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…
Verder lezen

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap