De DPO als privacy hoeder

De ‘Data Protection Officer’ als privacy hoeder (voor financiële instellingen)

In heel Europa bereiden financiële instellingen zich voor op de nieuwe EU Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. De wet staat ook wel bekend als de EU General Data Protection Regulation (EU GDPR). De AVG, in het leven geroepen ter bescherming van persoonsinformatie van klanten en burgers in een groeiende digitale wereld, heeft een grote impact op de bestaande bedrijfsvoering. De wet geldt voor alle organisaties die persoonsgegevens verwerken en daarom uiteraard ook voor financiële instellingen. De Autoriteit Persoonsgegevens (AP) wordt steeds krachtiger en gaat hierop toezicht houden. De AP heeft de bevoegdheid hoge boetes op te leggen. Bovendien kunnen bestuurders hoofdelijk aansprakelijk worden gesteld bij niet naleving. Genoeg reden om actie te ondernemen dus!

Sommige gegevensverwerkingen brengen zelfs zoveel privacy- en informatiebeveiligingsrisico’s met zich mee, dat u verplicht bent een specifieke functionaris aan te wijzen die uw organisatie bijstaat in het interne toezicht op de naleving van de AVG. Dit is de ‘Functionaris Gegevensbescherming’ (FG), ofwel de ‘Data Protection Officer’ (DPO). Mits deze functie goed is ingeregeld en juist bemand, dan kan dit komende tijd weleens een heel waardevol bezit worden voor uw organisatie. De DPO kan uw organisatie zelfs behoeden voor incidenten, boetes, datalekken en bijbehorende reputatieschade.

Hieronder is door Stijn Sarneel, Managing Director van Lumen Group, een gespecialiseerde consultancy- en projectbureau op het terrein van privacy- en informatiebeveiliging, een introductie opgenomen over wat deze functie inhoudt. Ook is uitgewerkt in hoeverre een financiële instelling verplicht is een DPO aan te wijzen op basis van deze nieuwe regels.

DPO functie in context

De DPO kan gezien worden als een species van de bij veel financiële instellingen reeds aanwezige functie van Compliance Officer. De DPO richt zich daarbij specifiek op privacy- en informatiebeveiligings-vraagstukken en de implementatie van de AVG. De DPO zal er in veel organisaties niet alleen voor staan om de AVG te implementeren. Zo zal de DPO om zich heen projectmanagers, juristen, risk managers en auditors verzamelen om hiermee aan de slag te gaan komende tijd.

Alle afdelingen binnen een financiële instelling waar persoonsgegevens worden verwerkt krijgen met de AVG te maken. Dit geldt dus zowel voor de marketingafdeling, de financiële afdeling als de backoffice. De DPO zal dus veel verbindingen moeten gaan leggen om overzicht te krijgen waar persoonsgegevens worden verwerkt.

Taken en bevoegdheden van de DPO

De DPO heeft vanuit de AVG een aantal wettelijke taken en bevoegdheden gekregen om zijn functie te kunnen uitoefenen. Belangrijk element hierin is dat de DPO de business adviseert op het terrein van privacy- en informatiebeveiligingsvraagstukken en tegelijkertijd hierop toezicht houdt. Om effectief te zijn is de uitdaging van de DPO om een balans te vinden tussen de rol van ‘trusted advisor’ en interne toezichthouder.

Om de functie kracht bij te kunnen zetten en de functionaris als ‘countervailing power’ te kunnen laten optreden, voorziet de AVG in een vorm van ontslagbescherming voor de DPO. Deze bescherming is enigszins vergelijkbaar met die van een MR lid. Daarnaast dient de functie van de DPO op zodanige wijze te zijn ingericht dat deze op onafhankelijke wijze kan opereren en kan rapporteren aan de hoogste leidinggevende binnen een organisatie.

De DPO zal onder meer betrokken zijn bij de uitvoering van Privacy Impact Analyses (PIA’s) en het in kaart brengen van een register van alle verwerkingsactiviteiten van persoonsgegevens. Daarnaast heeft hij als uitdagende taak een cultuur te kweken waarin integere gegevensverwerking en transparantie centraal staat. Te denken valt hierbij aan het geven van opleidingen, trainingen en workshops. Ook zal hij controleren of voldoende invulling wordt gegeven aan de nieuwe rechten van burgers en klanten om zijn/haar persoonsgegevens: te vergeten (‘right to be forgotten’), over te dragen en/of in te zien. De toestemmingsvereisten uit de AVG om persoonsgegevens te mogen verwerken (opt-in) vragen ook aandacht.

Wettelijke verplichting uit de AVG

De AVG zegt dat een DPO verplicht is daar waar organisaties in hun kernactiviteiten zijn belast met verwerkingen die vanwege hun aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal vereisen van betrokkenen (o.a. burgers / klanten). Ook daar waar  grootschalige verwerking van bijzondere (gevoelige) persoonsgegevens, zoals gezondheidsgegevens en strafrechtelijke gegevens, onderdeel is van de  kernwerkzaamheden, is een DPO verplicht.

Deze regels bevatten allerlei abstracte begrippen. Vragen die onmiddellijk rijzen bij het lezen van deze regels zijn: wat zijn ‘kernactiviteiten’ en wat is een ‘grootschalige verwerking? Om duidelijk te krijgen wat dit concreet betekent behoeft dit nog interpretatie komende tijd.

Er is door een Europese werkgroep (Working Party Art. 29) een richtlijn uitgegeven met verdere interpretaties over de DPO functie waarin ook wordt ingegaan op deze abstracte begrippen. Duidelijk is in ieder geval dat banken en verzekeraars die op reguliere basis persoonsgegevens verwerken vallen onder het criterium van een grootschalige verwerking. Financiële instellingen die bijvoorbeeld internetgebruik volgen en op basis daarvan profileren of instellingen die witwassen detecteren en/of betalingsgedrag monitoren, zullen ook al snel onder de verplichting vallen van het aanstellen van een DPO.

Ondanks deze relatieve onduidelijkheid komende tijd, blijft het desalniettemin een verplichting voor financiële instellingen om, daar waar dat op basis van de criteria nodig is, per 25 mei 2018 een dergelijke functionaris aan te stellen. Ook als er geen DPO nodig is naar de eigen beoordeling, dan dient dit samen met de redenen hiervoor gedocumenteerd te worden. Sowieso is er dus werk aan de winkel!

De AVG strekt zich niet alleen uit tot de financiële instellingen maar ook tot verwerkers van uw persoonsgegevens in uw klantketen en bij uw uitbestedingspartijen. Ook zij moeten zich afvragen of er wel of niet een DPO verplicht is bij het verwerken van de persoonsgegevens die zij namens uw instelling verwerken.

Los van de vraag of een DPO wettelijk verplicht is, is het op basis van de AVG ook mogelijk op vrijwillige basis een DPO aan te wijzen. Het is raadzaam dit te doen omdat dit zorgt voor voldoende en structurele aandacht voor privacy en informatiebeveiliging. Het levert een belangrijke bijdrage aan de eis om aantoonbaar te maken dat de organisatie compliant is. Dit zowel richting klanten, maar ook naar externe stakeholders zoals samenwerkingspartijen in de keten en richting de AP als toezichthouder. Overigens hebben veel grote financiële instellingen reeds een DPO aangewezen.

Vinden van de juiste DPO

Als het duidelijk is dat een DPO nodig of verplicht is dan dient de juiste persoon voor de functie te worden gevonden. Om deze functie goed te kunnen uitoefenen moet de DPO minimaal verstand hebben van IT, business (processen) en juridisch onderlegd te zijn en kennis en ervaring hebben. Ook moet de DPO beschikken over de juiste competenties zoals inlevingsvermogen en moed. Eigenlijk wordt een soort schaap met vijf poten gezocht. Zonder dat dit een blatend schaap is waar niemand naar luistert omdat deze niet de verbinding met mensen kan maken.

Intern zijn deze personen vaak best lastig te vinden. Partijen mogen er op basis van de AVG er ook voor kiezen om een externe DPO aan te stellen of zelfs voor een soort (abonnements)service te kiezen.

Wilt u advies over de inrichting van de DPO, de AVG of de implementatie hiervan? Zoekt u mogelijk een geschikte (externe) DPO? Neem dan contact op met Lumen Group.

In kaart brengen gegevensverwerkingen persoonsgegevens (art. 30 AVG)

Wat staat u te wachten met de wet GDPR/AVG ?

De Europese Commissie en het Europees Parlement hebben de nieuwe wet “Algemene Verordening Gegevensbescherming” (AVG) aangenomen. Deze vervangt de Wet Bescherming Persoonsgegevens (WBP), omdat de AVG beter aansluit op de continue digitale veranderingen en persoonsgegevens beter beschermt. In het Engels wordt de wet de “General Data Protection Regulation” (GDPR) genoemd. De AVG is formeel in werking getreden in 2016 en tot 25 mei 2018 geldt een overgangsregeling. Daarna is de wet verbindend van kracht en wordt deze actief gehandhaafd. Wat betekent deze AVG voor uw organisatie en wat is de meest effectieve aanpak om hieraan te voldoen?

Welke veranderingen brengt de AVG teweeg?

Er zullen grote geldboetes worden opgelegd wanneer medewerkers die persoonsgegevens verwerken regels van gegevensbescherming overtreden. Deze kunnen oplopen tot twintig miljoen euro of vier procent van uw (wereldwijde) organisatorische jaaromzet. Het toezicht op de regels zal komende tijd worden geïntensiveerd door de Autoriteit Persoonsgegevens (AP);

Onder de vorige wet moesten persoonsverwerkingen worden aangemeld bij de Autoriteit Persoonsgegevens. Onder de AVG hoeft dat niet meer: elke organisatie moet zelf alle verwerkingen van persoonsgegevens bijhouden in een overzicht.

Wat zijn de belangrijkste stappen om uw organisatie voor te bereiden op mei 2018?

1. Breng in kaart welke persoonsgegevens u bijhoudt en op welke manier u dit als organisatie doet. Stel een digitaal/elektronisch register van verwerkingsactiviteiten op waarin wordt weergegeven welk type gegevens op welke manier worden verwerkt.

2. Maak overzichtelijk in welke applicaties deze persoonsgegevens worden verwerkt. Hierbij is het van belang dat alle applicaties die worden gebruikt in kaart worden gebracht en dat per applicatie wordt bepaald wat de relevantie ervan is voor de organisatie.

3. Breng in kaart hoe gegevensstromen, die persoonsgegevens bevatten, lopen tussen applicaties. Bepaal ook welke van deze gegevensstromen van buiten de organisatie naar binnen komen en van binnen naar buiten lopen.

4. Zorg voor een zogenoemde datalek-procedure. Het is noodzakelijk om te weten welke stappen er gezet moeten worden wanneer u vermoedt of weet dat er sprake is van een verstoring die kan leiden tot een datalek. Het melden van een datalek bij de Autoriteit Persoonsgegevens is verplicht.

5. Benoem een Functionaris Gegevensbescherming. U bent in veel gevallen verplicht een Functionaris Gegevensbeschermer, (FG) ook wel Data Protection Officer (DPO) genoemd, te benoemen. Deze verplichting geldt wanneer uw organisatie kernactiviteiten uitvoert waarbij persoonsgegevens (denk bijvoorbeeld aan gezondheidsgegevens) worden verwerkt.

6. Stel een overzicht op in welke u dataverwerkingen bijhoudt. Wanneer uw organisatie privacygevoelige informatie verwerkt, bent u verplicht een overzicht op te stellen waarin u deze dataverwerkingen bijhoudt. Ook als u verwerkingen uitbesteedt. In dat geval is een verwerkingsovereenkomst die voldoet aan de wettelijke eisen nodig. In het overzicht geeft u onder meer aan wat het doel, het uitgangspunt en de getroffen veiligheidsmaatregelen zijn. U heeft een documentatieplicht en toont aan dat u de correcte organisatorische en technische maatregelen neemt en heeft genomen om aan de Europese wetgeving te voldoen;

7. Modelleer relaties & creëer bewustwording. Wanneer u de relaties tussen verantwoordelijken, de verwerkers en het proces van persoonsgegevens binnen uw organisatie in kaart brengt, krijgt u inzicht in de rechten van betrokkenen, de verwerkingen van persoonsgegevens en gaat zien welke gegevens zich waar bevinden. Daarbij creëert u bewustwording omdat sleutelfiguren weten welke impact de AVG op uw huidige processen heeft en welke aanpassingen er moeten worden gemaakt.

 

ValueBlue en Lumen Group kunnen u ondersteunen om: grip te krijgen op het IT-landschap en de manier waarop dit de bedrijfsvoering ondersteunt. Wanneer uw organisatie veel persoonsdata verwerkt en u een functie bekleed op managementniveau, wisselen we vrijblijvend van gedachten. Het betreffende gesprek vormt uw vertrekpunt voor een optimale voorbereiding op de AVG. Neem gerust contact met ons op om een afspraak te maken.

Lumen Group

Lumen Group is gespecialiseerd in Privacy en Data Protection diensten. Lumen Group biedt een gratis quick scan GDPR/AVG waardoor u ziet waar u nu staat in relatie tot de eisen die door de AVG worden gesteld. Het wordt dankzij Lumen duidelijk welke stappen er nog gezet moeten worden. Ook kunnen (interim) Data Protection Officers u begeleiden om de benodigde stappen te doorlopen.

ValueBlue

ValueBlue heeft BlueDolphin ontwikkeld. BlueDolphin wordt gekoppeld aan de verschillende systemen in uw organisatie die data bevatten over uw IT- landschap en over de bedrijfsprocessen. Vervolgens vormt het hier, grotendeels geautomatiseerd, een samenhangend beeld van. BlueDolphin zorgt in een aantal dagen voor een betrouwbaar beeld van uw IT-landschap. Het zijn de krachtige visualisatie- en rapportagetechnieken die ervoor zorgen dat u en uw medewerkers vanuit elk perspectief de werkelijkheid kunnen opvragen en ‘downdrillen’. Vervolgens kan ValueBlue deze visualisaties aanvullen met de benodigde informatie over data, privacy en de manier waarop deze bedrijfsprocessen ondersteunen. Zo houdt u het stuur stevig in handen.

APPLY & COMPLY: Implementatie Algemene Verordening Gegevensbescherming

Door: Stijn Sarneel, Managing Director Lumen Group, leestijd blog: 5 mins

In onze praktijk komen wij veel vragen tegen over de échte toepassing van de EU GDPR / AVG. Logisch, want op 25 mei 2018 moet dit zijn ingeregeld als deze nieuwe Europese verordening daadwerkelijk van toepassing is. Dat lijkt ver weg, en als voor een structurele aanpak wordt gekozen, kost dit dan ook (doorloop)tijd. Uit onze rijke implementatie-ervaring weten wij dat voldoen aan de wet meer is dan alleen de eisen in kaart brengen en een ‘hoog over’ beeld hebben van de situatie.

Hieronder beschrijven wij onze aanpak die ons ondersteunt om onze klanten aantoonbaar en structureel te laten voldoen aan de regels. Dit gaat over de as van ‘learn > apply > comply’.

Accountability in EU GDPR

Een van de leidende beginselen van de nieuwe EU Verordening voor Privacy en Data Protectie (Algemene Verordening Gegevensbescherming ook wel EU GDPR) is accountability (art. 5 GDPR). Ofwel; verantwoording kunnen afleggen aan de buitenwereld over het handelen van een organisatie hoe wordt omgegaan met persoonlijke data van personen (o.a. klanten en burgers). Voor veel organisaties en bedrijven is dit komende tijd een uitdaging dit in te regelen en dit meteen op structurele wijze te doen.

Natuurlijke reflex naar korte termijn oplossing

Om aan dit vereiste van accountability invulling te geven hebben velen van ons een natuurlijk reflex om te gaan ‘vinken’ en in dossiers per wetsartikel vast te leggen dat ze voldoen aan de wet. Stempel erop en klaar! We zijn ‘compliant’. Echter, het is de vraag of dit organisaties verder brengt. Bij een korte termijn aanpak komen onmiskenbaar de echte vragen van de business pas later over hoe de regels écht gelezen en toegepast moeten worden. Ons inziens leidt een dergelijke benadering tot dubbel werk. Er lijkt dan geen sprake van een lerende organisatie.

Voldoen aan deze AVG / privacywet is niet iets eenmaligs (bv. zoals de computer – millennium 2000 problematiek), maar vraagt ook daarna voortdurende aandacht in de bedrijfsvoering om compliant te blijven.

Structurele aanpak is vereist

Juist omdat de GDPR diep ingrijpt in processen, systemen en werkwijzen zal dit ook na 25 mei 2018 dit een thema blijven. De organisatie en de maatschappij beweegt voort en aanpassingen van producten, processen en systemen vinden bij organisaties vaak op dagbasis plaats. Steeds zal dan ook de vraag opkomen of de wijziging compliant is binnen de EU GDPR. Om hier zo goed mogelijk op voorbereid te zijn is vooraf een structurele implementatieaanpak vereist. Vanaf dit moment worden zo veel mogelijk de eisen van de GDPR in de bedrijfsvoering meegenomen. Dit heet ‘privacy by design‘ en is zelfs een vereiste vanuit de GDPR. Hoe eerder men begint, hoe beter men dit dus voor elkaar krijgt.

Wat vaak vergeten wordt is dat achter deze regels een gedachte zit die bij een korte termijn aanpak gemist wordt. Dit is namelijk de bescherming van klanten en burgers tegen bijvoorbeeld niet integer gebruik van persoonlijke data en voorkomen dat persoonlijke data op straat komen te liggen. De gedachte achter de regel beschouwen, binnen de context van de eigen organisatie, levert pas echt de echte inzichten op die ons verder brengen.

Door deze aantoonbaarheid en accountability niet te beschouwen als doel op zich, maar meer als sluitstuk van een proces van een totale – op de medewerker en klant gerichte – implementatie, zal uiteindelijk veel tijd en energie worden gewonnen. Een voorbeeld is om niet slechts een privacy beleid op te stellen waarin keurig op papier aan alle regeltjes wordt voldaan. Juist het samen ‘doorleven’ van de regels en het bepalen van de impact is waarde-toevoegend. Het sluitstuk van de reis is dan vervolgens een kort en concreet beleid dat daadwerkelijk gedragen en toegepast wordt.

Samen leren

Hoe pak je dat dan aan? Uit ervaring weten wij dat dit vooral lukt door met medewerkers te overleggen, risico’s te beoordelen en te bezien welke impact de regels mogelijk hebben op de bedrijfsvoering. Dus kijken wat op de werkvloer gebeurt met persoonlijke data en met elkaar beschouwen waar de kansen en risico’s zitten en hoe die worden beheerst. Op deze manier leren (‘learn‘) van elkaars expertise en dit samenbrengen. Uiteraard moeten nieuwe maatregelen en beleid tijdens het opstellen daarvan goed met alle interne stakeholders afgestemd worden. Immers, zij moeten ermee werken! Deze aanpak voorkomt dat beleid op de plank komt te liggen.

Een doeltreffende aanpak is vervolgens de overige medewerkers en het management binnen de organisatie bewust te maken door middel van presentaties en awareness sessies van deze gesignaleerde kansen en risico’s. Vragen die zich uit de praktijk voordoen worden direct beantwoord en de regels worden toegepast binnen de context van het bedrijf door de medewerkers die dagelijks met persoonlijke data werken (‘apply’).

Voor deze aanpak is wel durf en doorzettingsvermogen nodig. Durf; omdat er op vertrouwd moet worden met deze aanpak toezichthouders overtuigd worden. Doorzettingsvermogen; omdat het tijd kost om over te gaan van de korte termijn accountability (vinken – instrumentele aanpak) naar een structurele aanpak (doeltreffend – vertrouwen – op klanten gericht).

Toezichthouder 

Uiteraard wordt er ook met deze aanpak niet aan ontkomen om op regelmatige wijze te monitoren en te controleren. Dat is goed, van bevindingen kan men ook leren. Toezichthouders zoals de Autoriteit Persoonsgegevens en auditors moeten immers ook overtuigd worden door middel van aantoonbare evidence. Als medewerkers goed op de hoogte zijn van de regels, en ook zelf ertoe zijn aangezet om hierover na te denken en dit te bespreken met elkaar, zal er vaak ook minder intensief intern toezicht hoeven worden te gehouden.

Het bewijs van compliance is rechtstreeks op de werkvloer te ervaren. Een externe toezichthouder (bv. de Autoriteit Persoonsgegevens) moet dan van hele goeden huize komen als hij alsnog zware bevindingen heeft en tot boete-oplegging overgaat. Dubbel werk en veel controles worden zo voorkomen en er kan op worden vertrouwd dat medewerkers het goede doen.

Kortom; om echt te voldoen (comply), doorloop dan eerst het samen leren (learn) en pas toe (apply).