ZBC Kennisbank

Het opzetten van een privacy managementsysteem

 

Privacy wordt voor de meeste organisaties een serieus bedrijfsrisico nu de EU verordening is goedgekeurd en in Nederland het boetebedrag wordt opgetrokken van € 4500 naar € 810.000. Dat is vooral een groot risico voor bedrijven die niet proactief omgaan met privacy van klanten, medewerkers en andere stakeholders.

Bedrijven die privacy zien als een vaststaand kwaad, zullen meestal proberen zich aan wet- en regelgeving te houden. Er zit echter een groot gat tussen de wetgeving waaraan u zich moet houden en de niet-verplichte regelgeving van het College Bescherming Persoonsgegevens (CBP), de toezichthouder in Nederland. Voor de regelgeving geldt het principe van ‘pas toe of leg uit’. Zolang u binnen de wet blijft en u in uw beleidsuitgangspunten aangeeft hoe u omgaat met persoonsgegevens, dan kan het CBP u geen boetes geven. Moeilijk is dat  doorgaans niet. De wet beschrijft namelijk in hoofdzaak administratieve verplichtingen. De wet schrijft bijvoorbeeld voor welke registraties u moet melden bij het CBP en wanneer u privacy incidenten moet melden. Over informatiebeveiliging zegt de wet alleen, dat deze passend moet zijn. Het CBP heeft via zijn ‘richtsnoeren’ een poging gedaan om het begrip passend nader te definiëren. Wanneer u echter een eigen beleid en een eigen norm heeft, die zijn afgestemd op uw specifieke situatie en uw risico’s, dan kan het CBP hooguit met aanbevelingen komen. Heeft u geen beleid en norm, dan beoordeelt het CPB u op zijn richtsnoeren. De  lat ligt dan waarschijnlijk een stuk hoger dan wat voor u nodig is  en u riskeert boetes. (Zie ook ‘CBP misleidend met privacy richtsnoeren’.) Natuurlijk moet u wel kunnen aantonen, dat u zich houdt aan uw eigen beleid en uw eigen norm. En daarvoor is een managementsysteem de aangewezen weg. U zult dus actie moeten ondernemen.

Is een dedicated privacy managementsysteem zinvol?

Tegenwoordig bestaat een managementsysteem uit twee hoofdonderdelen:

  • een high level structure (HLS) die geldt voor alle managementsystemen en waarin beschreven staat:
    • de context van de organisatie met onder andere een beschrijving van de organisatie, de stakeholders en hun eisen, de bedrijfsrisico’s en de scope van de managementsystemen;
    • de wijze waarop de organisatie aantoonbaar maakt, dat zij in control is en daarbij gaat het tegenwoordig niet meer om handboeken, procedures en werkinstructies, maar om de aantoonbaarheid van de werking van het systeem (zie ook ‘Herziening ISO 9001: High Level Structuur – HLS’.)
  • een specifiek deel gericht op bijvoorbeeld kwaliteit (ISO 9001), informatiebeveiliging (ISO 27001), milieu (ISO 14001) of arbo (ISO 18001) met onder andere:
    • specifieke beleidsuitgangspunten en risico’s;
    • de interne norm, afgeleid van de generieke norm (inclusief cross reference);
    • een verbeterplan.

Ieder specifiek managementsysteem kan zijn eigen specialisten hebben, maar het HLS moet bedrijfsbreed gelden.
Vanuit het niets een dedicated privacy managementsysteem opzetten is dus weinig zinvol. Het is beter om vanuit de HLS van een ander managementsysteem invulling te geven aan het privacy managementsysteem. Het meest voor de hand ligt de ISO 27001, want de bescherming van persoonsgegevens wordt in belangrijke mate afgedekt door informatiebeveiliging, maar ook ISO 9001:2015 is zeker een optie. Er wordt dan in elk geval voorkomen dat het managementsysteem opgezet wordt vanuit de invalshoek van wet- en regelgeving. De bedrijfsvoering moet centraal staan en op basis daarvan wordt bepaald hoe omgegaan wordt met privacy.

Welke aanvullingen zijn nodig op ISO 27001?

In de HLS wordt beschreven hoe u zorgt voor de aantoonbaarheid van de werking van het managementsysteem. In feite bent u daarmee klaar. Hooguit zullen de privacy officer of FG en zijn taken moeten worden toegevoegd aan de beschrijving van de organisatie. (Zie ook ‘Privacy Officer of Functionaris Gegevensbescherming – FG’.) Ook heeft u in de HLS waarschijnlijk beschreven hoe u impactanalyses uitvoert bij veranderingen, hoe u incidenten afhandelt en wat de gedragscode voor medewerkers is.
In ISO 27001 staat beschreven hoe omgegaan wordt met informatiebeveiliging. Hiermee heeft u grotendeels het antwoord op de richtsnoeren van het CBP. Van wat overblijft dekt u veel af door de beschrijving van hoe u omgaat met de uitbesteding van informatieverwerking, wat eveneens staat beschreven in ISO 27001. Waarschijnlijk moeten dan alleen de volgende aanvullingen nog worden vastgelegd:

  • de wijze van verwerking van specifiek persoonsgegevens, zeker als deze toegankelijk zijn voor of bewerkt worden door derden, inclusief de noodzakelijke bewerkersovereenkomsten;
  • de wijze waarop bij veranderingen het effect op privacy wordt beoordeeld (projecten);
  • toepassing van privacy by design of privacy by default (zie ook ‘Toegevoegde waarde van een Privacy Officer of FG’.)

Kortom, als u al een up-to-date ISO managementsysteem hebt, dan is het een eenvoudige klus dit uit te bereiden naar een privacy managementsysteem en reduceert u daarmee uw risico’s aanzienlijk.

Wat als u nog geen managementsysteem hebt?

Als u nog geen ISO management systeem hebt, dan is het niet aan te bevelen om uitsluitend een privacy managementsysteem op te zetten. Vrijwel iedere organisatie in Nederland levert diensten aan klanten en verwerk daartoe ook vaak persoonsgegevens van klanten of namens klanten. Denk bijvoorbeeld enerzijds aan bedrijven met grote klantenbestanden zoals financiële instellingen, overheden, zorginstellingen, retailbedrijven, goede doelen organisaties en anderzijds aan hun partners zoals callcenters, datacenters, administratiekantoren, marketingbureaus enzovoort.
Steeds vaker eisen klanten van hun toeleveranciers, dat ze gecertificeerd zijn. Dit geldt zeker als het gaat om de verwerking van persoonsgegevens. Vaak wordt dan, al dan niet in de bewerkersovereenkomst, een ISO 27001 certificaat (eventueel ISO 9001:2015) geëist. Voor de klant heeft dit een aantal aanzienlijke voordelen. Zij regelen hiermee:

  • onafhankelijk toezicht op de naleving van afspraken door toeleveranciers voor IB en privacy, zodat ze dat zelf niet meer hoeven te doen;
  • het verkrijgen van compliance rapportages van toeleveranciers, die zij weer kunnen doorgeven aan klanten en toezichthouders;
  • uitbesteding van het eigen risico’s (verschuiving maatregelen voor het reduceren van operationele risico’s naar de toeleverancier).

Gedacht vanuit het belang van de klant is het voor veel organisaties aantrekkelijker om ISO 27001 gecertificeerd te zijn, dan om veel effort te steken in alleen een privacy managementsysteem.

Privacy is vooral ook een kans

Wie de Wet bescherming persoonsgegevens en de EU privacy verordening ziet als een bedreiging voor de business en via allerlei dure ad hoc reparaties  tracht te voldoen aan wet en regelgeving, zet de continuïteit van de organisatie op het spel. De kostprijs neemt steeds verder toe en de klanttevredenheid neemt af. Verder blijft door de lappendeken aan maatregelen het risico in de lucht hangen van een boete of imagoschade.
Wie proactief met deze wetgeving omgaat, kan er concurrentievoordelen uithalen door een acceptabel blijvende kostprijs en meer vertrouwen van de klant en voorkomt boetes.
Kortom, een privacy managementsysteem is voor iedere organisatie die veel persoonsgegevens verwerkt een must. Maar bouw dit niet op een eiland. Integreer het in een ander managementsysteem zoals bij voorkeur ISO 27001. Dan is slechts een kleine uitbreiding noodzakelijk en zijn de baten voor de organisatie veel hoger. (Zie bijvoorbeeld ook ‘Voor ICT-bedrijven is 2015 het jaar om te certificeren’.)

In de ‘Cursus Privacy Officer in de praktijk’ gaan we dieper in op de wijze, waarop u privacy op de kaart kunt zetten in uw organisatie.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 6 maart 2015


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *