Inrichten van privacymanagement | Berenschot blog

Van organisaties wordt verwacht dat zij maatregelen nemen om de organisatie te beschermen. Wat betreft informatiebeveiliging gaat het bijvoorbeeld om de ISO27001, BIO en NIS2. Om privacyrisico’s te mitigeren, hebben organisaties een managementsysteem nodig ter bescherming. Dit is een van de vereisten van de AVG.

Wat we meestal zien is dat privacyrisico’s worden opgenomen in het Information Security Management System (ISMS) onder het bedrijfsrisico van boetes of imagoschade in het geval van een datalek. Dit is echter niet de bedoeling van de AVG.

De AVG is bedoeld om de rechten van betrokkenen te beschermen, en niet de organisaties die de gegevens gebruiken. Dit is een andere blik op gegevensbescherming dan doorgaans wordt gehanteerd. In dit artikel gaan we hierop in en geven we tips om dit binnen uw organisatie beter in te richten. 

Hoewel de schuldvraag bij een datalek doorslaggevend kan zijn voor een boete of imagoschade aan de gegevensverwerkende organisatie, is de schade die de slachtoffers ervaren – de personen van wie de data zijn gelekt – de werkelijke schade die in een Privacy Information Management Systeem (PIMS) moet worden beheerst. De AVG verplicht een aantal zaken die voorwaardelijk zijn om een PIMS in te richten: 

• Er moet inzicht zijn in de verwerkingen met privacy-impact die de organisatie uitvoert. De AVG noemt dit het verwerkingsregister.
• Er moet inzicht zijn in de verwerkers die namens de organisatie privacydata verwerken. De AVG noemt dit het verwerkersregister. Veel organisaties zullen dit gecombineerd bijhouden met het verwerkingsregister.
• Er moet beleid zijn waarin de organisatie uitlegt hoe en waarom zij data verwerken en hoe ze zorgvuldig met de persoonsdata omgaan. 

Veel organisaties hebben (relatief) statische documenten gemaakt toen de AVG-wet in werking trad in 2018 en hebben wellicht inmiddels een kleine slag geslagen om deze zaken te updaten, bijvoorbeeld omdat het in audits naar voren is gekomen of omdat er een datalek is geweest.

Een privacymanagementsysteem zorgt ervoor dat de bovenstaande documenten cyclisch worden bijgehouden, en verzorgt daarnaast het risicomanagement om privacyrisico’s voor betrokkenen te mitigeren.

Een voorbeeld van een veel voorkomend privacyrisico is toegang tot interne data. Vaak komt dit omdat de toegang van een IT-systeem waarin de privacygevoelige data  zitten, niet goed is ingericht. Dit kan voor informatiebeveiliging een laag risico zijn, maar voor het privacybelang van betrokkenen kritiek zijn. Een ander voorbeeld is het onveilig delen van dossiers of data via bijvoorbeeld e-mail of een helpdesk. Het risico wordt voor de organisatie als laag ingeschat, terwijl de impact van het e-mailen van een dossier aan bijvoorbeeld een mishandelende ex-partner desastreus kan zijn voor de betrokkene.

Privacyrisico’s mitigeren vraagt dus een andere blik op de dataverwerking van de organisatie en vaak ook het doorleven van de normen en waarden van die organisatie. Waarom verwerk je bepaalde data en is dat de schade bij betrokkenen waard? Zeker bij publieke organisaties zou dit een vraag moeten zijn die jaarlijks op de bestuurstafel terugkomt om in de dienstverlening te verwerken. Zet je de klant echt centraal? Of toch liever je bedrijfsbelang?

De organisatie is nog niet (altijd) alert op de intentie van de wet en wil eigenlijk alleen maar voldoen aan de minimale eisen uit die wet (namelijk het documenteren). Het begint daarom bij bewustwording. 

Door de invoering van wetten zoals de NIS2/Cyberbeveiligingswet (Cbw) komt er meer ruimte voor informatiebeveiliging om maatregelen te nemen en om beslissers bewust te maken van risico’s. Sluit aan bij de cyclus van het managementsysteem voor informatiebeveiliging (ISMS) door het PIMS gelijk te laten lopen.

Tip. Laat managementsystemen gelijklopen in de tijd en sluit aan bij informatiebeveiliging om de basis op orde te krijgen. Toegang, accountbeheer, veilige netwerken en IT-voorzieningen zijn voor beide doelen noodzakelijk. 

Als privacy officer heb je veel inzicht in de risico’s die betrokkenen lopen door de wijze waarop uw organisatie data verwerkt. U kunt de risicoanalyse dus grotendeels zelf maken. Mogelijk mist de categorie risicobereidheid om privacyrisico’s voor betrokkenen goed in te schatten. Vaak kan er een start worden gemaakt over de kant van imagoschade of financiële gevolgen. Wanneer het PIMS volwassener wordt, kan een categorie in de risicobereidheid worden toegevoegd om het beheer te verbeteren (meestal na een jaar of drie). Door de risico’s in kaart te brengen en cyclisch te beheersen, komt er (volg)orde in maatregelen en voelt privacy minder als een ‘moetje’ en meer als een logische verbetering van de dienstverlening.

Tip. Maak de risicoanalyse inclusief bestaande maatregelen die vanuit informatiebeveiliging zijn genomen en deel de grootste risico’s in de risicoanalyse sessie die vanuit het ISMS of algemeen risicomanagement worden gehouden met beslissers.  

Bewustwording voor privacy gaat vaak over het uitleggen wat een datalek is en hoe je veilig informatie kunt delen. Het handelingsperspectief van de medewerkers staat voorop. Hoewel dit een goede aanpak is voor informatiebeveiliging, is het een minder nuttige aanpak om privacyrisico’s te mitigeren. Hiervoor is het namelijk nodig dat medewerkers herkennen  welk gedrag zij laten zien en welke consequentie dit voor een betrokkene kan hebben. Wanneer zij een protocol voor het vaststellen van de identiteit van een vraagsteller niet volgen om dienstbaar te zijn, kan de impact voor de betrokkene enorm zijn omdat zijn/haar gegevens worden gelekt aan een derde.

Tip. Specialiseer privacybewustwordingsacties voor verschillende doelgroepen en gebruik praktijkvoorbeelden om de gevolgen van handelingen van medewerkers voor de betrokkenen te benadrukken. 

Vragen over AVG of wilt u doorpraten over privacy in het algemeen? Neem gerust contact met ons op.