ZBC Kennisbank

Toegevoegde waarde van een Privacy Officer of FG

 

De privacy officer is geen waakhond die zich vooral bezighoudt met het blokkeren van initiatieven in het bedrijf. Hij of zij is juist degene die het op een slimme wijze omgaan van de organisatie met wet- en regelgeving faciliteert. Hij zorgt  er met zijn adviezen voor, dat de organisatie in de toekomst niet onaangenaam verrast wordt door betrokkenen die het recht uitoefenen, dat zij hebben om hun gegevens op te vragen, te wijzigen of zelfs te verwijderen (een belangrijk risico voor organisaties met grote klantenbestanden) of door hoge boetes van het College Bescherming Persoonsgegevens (CBP) of de Autoriteit Consumenten Markt (ACM).

De privacy officer zal niet alleen verstand moeten hebben van wet- en regelgeving en de naleving kunnen beoordelen, maar moet vooral ook weten hoe via privacy by design en privacy by default de genoemde risico’s op een slimme en kosteneffectieve manier kunnen worden geminimaliseerd.

Privacy by default

Privacy by Default heeft betrekking op het toepassen van default settings (organisatorisch en technisch) op een zodanige wijze dat de privacy zo optimaal mogelijk wordt gewaarborgd. 

  • Als onderdeel hiervan kunnen organisaties een intern privacybeleid opstellen, een functionaris voor de gegevensbescherming benoemen, privacy integreren als vast onderwerp binnen de bedrijfsvoering en de werking daarvan jaarlijks controleren.
  • Wanneer er veranderingen zijn in diensten en producten, processen en informatiesystemen, kan de organisatie de consequenties en risico’s gestructureerd in kaart brengen op basis van een Privacy Impact Assessment (PIA).

Momenteel hebben organisaties nog de vrijheid om dit naar eigen inzicht in te vullen. Als straks de EU verordening voor privacy ingevoerd wordt (naar verwachting in 2016), zijn bovenstaande maatregelen voor de meeste organisaties verplicht.
Voor ontwikkelaars van software en aanbieders hiervan, geldt de volgende aanvulling:
De default instellingen van internetdiensten of apps moeten op een zodanige wijze zijn ingesteld, dat geen of slechts een beperkte set van persoonsgegevens getoond wordt of gedeeld met anderen. Pas als de gebruiker zelf de settings aanpast – hier ligt de controle – kunnen meer persoonsgegevens worden getoond of gedeeld. Het wijzigingen van de settings moet met de nodige waarschuwingen (en vastlegging) gepaard gaan.
Dit wordt vooral een belangrijk punt voor apps die gekoppeld zijn aan apparaten in de directe leefomgeving van consumenten. (Zie ook ‘Beveiliging Internet of Things is essentieel’.) 
Een  voorbeeld is een slimme meter, die zelf echt niet slim is en wel veilig. Deze geeft alleen tweemaandelijks de stand van de meter door aan de netbeheerder. Als echter aan die slimme meter apps worden gekoppeld, die meer details geven over het energieverbruik en dus over de mogelijkheden om te besparen, ontstaan potentiele lekken. Persoonsgegevens of gegevens over het gedrag van personen kunnen dan worden gedeeld. Deze gegevens zijn mogelijk interessant voor adverteerders (het verdienmodel van aanbieders van gratis apps) of zelfs voor criminelen, die uit het gebruik kunnen afleiden wanneer bewoners wel en niet aanwezig zijn.
Bij de distributie van dergelijke apps moeten deze dus zo ingesteld staan, dat in principe geen gegevens gedeeld worden met derden en dat gegevens niet gekoppeld zijn aan persoonsgegevens.

Privacy by design

Privacy by Design gaat uit van het principe dat er in een vroeg stadium nagedacht wordt over:

  • het goede gebruik van persoonsgegevens binnen een organisatie;
  • de noodzaak van het gebruik van deze gegevens;
  • de bescherming ervan.

Door al bij het ontwikkelen van systemen de privacy en bescherming van persoonsgegevens in te bouwen is de kans op het succes ervan het grootst.

  • Logische beveiliging is het meest robuust en het meest toekomstvast.
  • Doordat de beveiliging van meet af aan in het systeem heeft gezeten, zijn er geen acceptatieprobleem.
  • Het direct inbouwen van beveiliging en rapportagemogelijkheden voorkomt de hoge kosten van het achteraf inbouwen.

Het inbakken van rapportagemogelijkheden wordt vaak vergeten. Op het eerste gezicht lijkt dit strijdig met het principe van bescherming. Maar omdat de wet voorschrijft dat betrokkenen de mogelijkheid moeten hebben om hun gegevens te beoordelen en zo nodig zelfs te corrigeren of te verwijderen, is een dergelijke functie van groot belang.
De basis voor privacy by design is, dat op databaseniveau de logische scheiding wordt gerealiseerd tussen de persoonsgegevens van iemand en de zaakgegevens van die persoon zoals bijvoorbeeld een medisch dossier. Het koppelveld tussen deze gegevens kan versleuteld worden opgeslagen, zodat alleen met behulp van een applicatie de persoonsgegevens aan de zaakgegevens geknoopt kunnen worden. Om onbevoegd toegang te krijgen tot de gekoppelde gegevens moet men dus een account hebben voor de applicatie en dat valt doorgaans goed te beveiligen.
Als dit eenmaal gerealiseerd is, dan moet voorkomen worden dat de gerealiseerde beveiliging onderuit gehaald wordt. Maatregelen zijn dan bijvoorbeeld:

  • Zorg ervoor dat de bewerker van de zaakgegevens zo weinig mogelijk persoonsgegevens gebruikt in de zaakgegevens. In de zaakgegevens gebruikt men bijvoorbeeld niet ‘meneer Jansen’ maar ‘patiënt’ of ‘client’.
  • Zorg voor een gedepersonifieerd of een gepseudonimiseerd testbestand voor persoonsgegevens. Dit heeft de volgende voordelen:
    • Creatieve ontwikkelaars hoeven niet te voldoen aan allerlei procedures en maatregelen om met zaakgegevens te testen.
    • Voor statische onderzoeken zijn doorgaans alleen de zaakgegevens nodig en geen persoonsgegevens.
  • Zorg voor een scheiding tussen de ontwikkel/test, acceptatietest en productie-omgeving. In dat geval zijn er geen persoonsgegevens in  de ontwikkelomgeving en hoeft deze minder strikt beveiligd te worden.
  • Sla geen rapportages vanuit de applicatie op, waarin persoonsgegevens en zaakgegevens zijn gekoppeld, (ook niet in geprinte vorm).
  • ‘Sleep niet met informatie’. Geef gecontroleerd toegang tot de data in de productie-omgeving en voorkom, dat data gedupliceerd worden via e-mail, laptop, tablet, USB-stick etc. Een dergelijke toegang tot de productieomgeving kan zo veilig mogelijk gemaakt worden als gewenst en door deze beveiliging gebruiksvriendelijk in te richten wordt voorkomen dat juist loyale medewerkers toch data dupliceren.

Natuurlijk hoeft een privacy officer niet exact te weten hoe deze beveiliging opgezet moet worden. Hij moet echter wel een duidelijk beeld hebben van een aantal basisprincipes. (Zie ook ‘Privacy by Design in de praktijk’.)
Voorbeeld privacy by design
Een ander voorbeeld waarin Privacy by Design in de praktijk wordt toegepast is de inzet van de security scanner op verschillende internationale vliegvelden. Dit apparaat scant passagiers op aanwezigheid van wapens en gevaarlijke stoffen. De scanner kan beelden van zeer hoge kwaliteit produceren van in feite het naakte lichaam.
Men maakt op de vliegvelden gebruik van een techniek (een zogenaamde Privacy Enhancing Technology) om de beelden te vervagen en niet uniek identificeerbaar te maken. In sommige vliegvelden gaat men nog verder en wordt er ook rekening gehouden met dataopslag en de fysieke dimensie van privacy. Zo zit het personeel dat de beelden bekijkt op een andere fysieke locatie (‘achterkamer’) dan waar de passagiers door de scanners gaan (‘frontlinie’), zodat het personeel dat de beelden bekijkt deze niet kan relateren aan de passagier. Als het personeel in de achterkamer een mogelijke afwijking of dreiging ontdekt, geven zij dit door aan het screening personeel (bij de passagiers) via een aparte grafische interface waar alleen die delen van het lichaam die om nader onderzoek vragen, worden getoond.
Het  personeel  in  de  ‘frontlinie’  ziet  niet  de  beelden  van  het  hele  lichaam.  Extra informatie kan gedeeld worden via radiocommunicatie. De beelden worden niet opgeslagen of op enige wijze gedeeld of verstuurd naar andere partijen. Op deze manier wordt én in de techniek (het onherkenbaar maken van beelden) én in het bedrijfsproces (het niet opslaan van gevoelige gegevens) én in de fysieke omgeving (achterkamers separaat van waar passagiers worden gescand) Privacy by Design toegepast. Hiermee wordt aan een belangrijk uitgangspunt van PbD om
privacybescherming in te bouwen zonder verlies van functionaliteit voldaan.

De toegevoegde waarde van de privacy officer

Veel ideeën in organisaties komen voort uit een wens om een probleem op te lossen. Hierbij moet een privacy officer gaan meedenken, om te voorkomen dat er een nieuw probleem ontstaat, voor de oplossing waarvan achteraf allerlei dure reparaties nodig zijn. Dit is één van de belangrijkste taken van de privacy officer. (Zie ook ‘Privacy Officer of Functionaris Gegevensbescherming – FG’.) Juist door hier de nadruk op te leggen kan hij zijn geloofwaardigheid vergroten en zij n toegevoegde waarde laten blijken.
Als hij te laat wordt ingeschakeld, dan is hij de persoon, die het feestje van de oplossing van het bedrijfsprobleem komt verstoren en zullen collega’s steeds vaker geneigd zijn om de privacy officer te ontwijken. Daarom is inbedding van deze rol in een privacy managementsysteem ook heel belangrijk, zeker als dit gekoppeld is aan een ander managementsysteem zoals ISO 27001 of ISO 9001. (Zie ook ‘Het opzetten van een privacy management systeem’.)

In de ‘Cursus Privacy Officer in de praktijk bieden we u meer van deze handvatten, die u kunt toepassen in uw organisatie.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 25 juni 2015


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *