Dit hoofdstuk gaat in op deelvraag 5: Welke maatregelen worden in de praktijk genomen en wat zijn best practices hierbij?
Met acht medewerkers van verschillende soorten organisaties en drie deskundigen op het gebied van de AVG hebben gesprekken plaatsgevonden. Eerst vindt een toelichting van doel en werkwijze plaats. Vervolgens bespreekt dit hoofdstuk het verloop van de implementatie bij verschillende organisaties, de maatregelen die organisaties nemen voor het recht op gegevenswissing en hoe organisaties de rol van de IT auditor zien.
7.2 Doel en werkwijze
Doel van deze interviews was om na te gaan hoe verschillende typen organisaties omgaan met de implementatie van AVG, welke maatregelen zij nemen voor het recht op gegevenswissing, welke uitdagingen en best practices hierbij een rol spelen en wat de rol van de IT auditor is.
Met acht medewerkers van verschillende soorten organisaties hebben gesprekken plaatsgevonden. Het betrof hier organisaties uit zowel de publieke als de private sector: een bank, een regionale gezondheidsdienst, een academisch ziekenhuis, twee verzekeringsmaatschappijen, een gemeente, een service provider voor openbare bibliotheken en een marktonderzoeksbureau.
Er is gekozen voor interviews met organisaties uit diverse sectoren om verschillen in aanpak bij de implementatie van de AVG te identificeren. Daarnaast is gekozen voor organisaties waarbij de verwerking van persoonsgegevens een belangrijk element van hun taakuitvoering vormde en die ook ‘gevoelige’ persoonsgegevens verwerken (BSN nummer, medische gegevens) Voor de organisaties in het onderzoek kan onzorgvuldig omgaan met persoonsgegevens niet alleen leiden tot boetes, maar ook tot ernstige reputatieschade.
Daarnaast is gesproken met twee deskundigen op het gebied van de AVG en een externe accountant. Eén deskundige werkt als manager cybersecurity bij een accountantsorganisatie en begeleidt AVG-implementaties bij klanten, voornamelijk in de financiële sector. Hij verzorgt
daarnaast ook cursussen op het gebied van de AVG. De andere deskundige verricht onderzoek op het gebied van de AVG en is werkzaam als senior researcher voor een grote, gerenommeerde
onderzoeksorganisatie.
De externe accountant heeft voornamelijk klanten in de bancaire sector. In het kader van de jaarrekening kijkt hij naar wet- en regelgeving en naar IT gerelateerde aspecten. Vandaar dat hij de AVG ook in scope heeft. Bij zijn klanten gaat hij na of er voldoende aandacht is voor de
implementatie van de AVG. Hij rapporteert hierover aan het management van de organisatie en eventueel het audit comité.
In totaal zijn elf interviews gehouden. Deze gesprekken hebben plaatsgevonden in de periode oktober 2017 tot en met maart 2018.
Om een algemeen beeld te krijgen van de stand van zaken is bij de interviews ingegaan op de
implementatie van de AVG en op de problemen en knelpunten hierbij. Daarnaast is nagegaan of en in hoeverre de organisaties uit het onderzoek aansluiten bij de geformuleerde maatregelen uit
hoofdstuk 5. Verder is aan alle betrokkene in het onderzoek (medewerkers van organisaties en deskundigen) een procesflow voorgelegd voor het afhandelen van een verzoek om gegevenswissing /
vergetelheid. Deze flow was gebaseerd op de vereisten van de AVG. Alle betrokkenen hebben hun input voor dit proces gegeven. Het resultaat hiervan is opgenomen in bijlage 2.
7.3 Beheeromgeving
7.3.1 Integriteit en ethiek
Betrokkenheid management
In alle organisaties is de directie of het management van de organisatie actief betrokken bij de implementatie. De geïnterviewden gaven aan dit van groot belang te vinden voor het succes van het slagen van het project. De consultant van de accountantsorganisatie herkent dit beeld bij zijn klanten. Hij heeft regelmatig overleg met directieleden over AVG-onderwerpen.
Gedragscodes
Ten tijde van de interviews waren er voor de organisaties uit het onderzoek nog geen gedragscodes vanuit de brancheorganisaties beschikbaar. Met het aanvaarden van een door de branche opgestelde gedragscode geeft een organisatie aan dat zij zich houdt aan de in de gedragscode opgenomen bepalingen voor bescherming van persoonsgegevens.
Data protection Impact Assessments
De betrokken organisaties zijn op de hoogte van Data Protection Impact Assessments (DPIA’s ). Deze zijn verplicht als een gegevensverwerking waarschijnlijk een groot privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Vier van de acht organisaties waren bezig met het uitvoeren van deze assessments.
7.3.2 Toezicht door directie en raad van commissarissen
Certificering
Twee organisaties vermeldden ISO 27001 gecertificeerd te zijn, één organisatie gaf aan bezig te zijn om deze certificering te behalen. De respondenten vermeldden geen andere certificaten.
7.3.3 Structuur, autoriteit en verantwoordelijkheid
Functionaris Gegevensbescherming
Een Functionaris Gegevensbescherming (FG) heeft een aantal in artikel 37 van de AVG vermelde taken, waaronder het geven van adviezen en het houden van toezicht op naleving van de AVG. Zeven organisaties hebben al een FG aangesteld, één organisatie gaat na of dit noodzakelijk is. De Senior manager die organisaties begeleidt bij de implementatie van de AVG gaf aan dat hij de indruk had dat de invulling van deze rol door één persoon niet eenvoudig is, gezien de veelzijdigheid en complexiteit ervan. Hij verwacht dat er teams zullen komen van bijvoorbeeld juristen en programmamanagers die de FG zullen ondersteunen bij zijn activiteiten.
Taken en bevoegdheden recht op gegevenswissing
Geen van de gesproken organisaties heeft al processen en procedures ingericht specifiek voor het recht op gegevenswissing. Taken en verantwoordelijkheden zijn ook nog niet toegewezen.
Zoals reeds vermeld hebben zeven van de acht organisaties een FG aangesteld. Voor het proces recht op gegevenswissing moeten de organisaties de verdeling van taken en bevoegdheden nog bepalen. . Vijf van de acht organisaties vermeldden training en instructie op het gebied van de AVG te geven om de awareness van medewerkers te bevorderen. Zij zijn daarmee op verschillende manieren bezig. In vier organisatie is in het kader van de AVG gestart met specifieke awareness initiatieven, zoals workshops, e-learnings en awareness campagnes. In één organisaties werd al regelmatig IT security awareness training gegeven, maar dit is nu uitgebreid met gegevensbeschermingsaspecten.
7.3.5 Afleggen van verantwoording
Alle organisaties moesten op het moment van de interviews de processen en procedures rondom het recht op gegevenswissing en vergetelheid nog inrichten. Zij hadden nog niet bepaald hoe de
prestaties van afzonderlijke medewerkers gemeten zou kunnen worden.
7.4 Risico analyses
In de interviews met de acht organisaties kwam een groot aantal knelpunten naar voren. De geïnterviewde organisaties vermeldden bedreigingen voor:
• het algemene doel: implementatie van de AVG.
• het specifieke doel: implementatie van het recht op gegevenswissing. Algemeen probleem: identificeren van persoonsgegevens
Een algemeen probleem is dat veel organisaties worstelen met het identificeren van alle persoonsgegevens en het inrichten van een verwerkingsregister. Met name de vraag hoe ver je hierbij moet gaan speelt hierbij een rol. Is ook het in kaart brengen van alle ongestructureerde data bijvoorbeeld op data shares en in e-mail noodzakelijk? En hoe moet omgegaan worden met schaduwadministraties? Eén van de geïnterviewde deskundigen noemt als een oorzaak voor dit probleem de ruime definitie die de AVG hanteert. Veel organisaties zien ook de positieve kanten van deze inventarisatie: Hij biedt de kans om een efficiëntieslag te maken en gegevensstromen goed in beeld te krijgen. De processen in een organisatie worden duidelijk. Dubbelingen komen aan het licht. De kwaliteit van de data neemt toe doordat fouten worden gesignaleerd, bijvoorbeeld iemand is de ene keer onder de meisjesnaam geregistreerd, de andere keer onder de naam van haar man, incorrecte geboortedata etc. Uitgangspunt bij het in kaart brengen zou moeten zijn: waar heeft de klant behoefte aan als hij bijvoorbeeld gebruik maakt van zijn inzagerecht? Verstrek je hem alle ongestructureerde data zonder meer, of denk je na over de relatie met de klant en ga je uit van de behoefte van de klant.
Het probleem is: Hoe weet je dat je alle gegevens over een klant uit alle databases hebt gehaald? Richting de Autoriteit Persoonsgegevens zal je moeten aantonen wat je systematiek is geweest Issues recht op gegevenswissing
In de interviews kwamen de volgende issues naar voren die specifiek betrekking hebben op het uitvoeren van een verzoek om gegevenswissing:
• Wanneer kun je overgaan tot gegevenswissing en wanneer niet? Bij sommige organisaties zijn de criteria voor het honoreren van een verzoek om gegevenswissing nog niet voldoende duidelijk. Eén van de gesproken deskundigen gaf aan dat dit het beste kan gebeuren aan de hand van de notificatie die naar de klant is gestuurd. Daarnaast zijn de bepalingen in de AVG (artikel 17) hierbij belangrijk.
• Wanneer het niet is toegestaan om gegevens te verwijderen dan kan dit leiden tot onbegrip bij de verzoeker. Eén geïnterviewde gaf aan dat het uitvoeren van een verzoek om gegevenswissing vaak niet mogelijk zal zijn, aangezien gegevens bewaard moeten blijven om te kunnen voldoen aan andere wetgeving, bijvoorbeeld voor bewaarplicht en bewaartermijn. Hij is bang dat dit bij betrokkenen tot onduidelijkheid kan leiden.
• Hoe garandeer je wissing van persoonsgegevens in alle bestanden en systemen, inclusief back up tapes? Bij een organisatie met veel bestanden en programma’s zal op veel plaatsen wissing moeten plaatsvinden. Een handmatig proces is dan niet efficiënt, een geautomatiseerde oplossing heeft de voorkeur.
• Ga je gegevens volledig verwijderen of tref andere maatregelen: De organisatie moet beoordelen wat de voorkeur heeft: compleet verwijderen van gegevens of andere maatregelen zoals
archiveren of anonimiseren? Bij een besluit hierover is het belangrijk om rekening te houden dat bij volledig verwijderen de consistentie van bestanden en gegevens in gevaar komt. Dit kan ertoe leiden dat financiële rapportages niet meer kloppen.
• Het opzoeken van de persoonsgegevens kost veel tijd. Wanneer persoonsgegevens op veel verschillende plaatsen zijn opgeslagen dan is het opzoeken en verwijderen in een handmatig proces tijdrovend. Hiervoor zal bij voorkeur een geautomatiseerde oplossing gekozen moeten worden. Het indexeren en doorzoekbaar maken van bestanden is belangrijk.
• Hoe verwijder je gegevens uit een legacy applicatie? De optie om gegevens te wissen ontbreekt vaak in legacy applicaties. Andere maatregelen zijn dan nodig zoals het inschakelen van de leverancier of het ontwikkelen van software om verwijdering mogelijk te maken.
• Hoe verwijder je gegevens uit een back-up? Het terugzetten van een back-up uitsluitend om gegevens te wissen is niet mogelijk of niet efficiënt. Het zal dan nodig zijn om bij te houden uit welke back-up nog persoonsgegevens verwijderd moeten worden. Het is dan dus nodig om weer een administratie met persoonsgegevens bij te houden. Hetzelfde is het geval bij de
administratie van verzoeken tot verwijdering en de bevestigingen van verwijderingen. Ook hier is een aparte registratie van persoonsgegevens nodig.
7.5 Beheersmaatregelen
7.5.1 Beleid
De AVG stelt een passend gegevensbeschermingsbeleid verplicht onder voorwaarde dat het in verhouding staat tot de verwerkingsactiviteiten. Zes van de acht organisaties gaven aan dat een gegevensbeschermingsbeleid al was geschreven en geïmplementeerd. Twee organisaties vermeldden dat zij niet zozeer een gegevensbeschermingsbeleid hadden, als wel een gegevensbeveiligingsbeleid, gebaseerd op ISO 27001.
Geen van de geïnterviewde organisaties heeft al processen en procedures voor de rechten van betrokkenen, waaronder het proces van recht op gegevenswissing (‘vergetelheid’) ingericht en geïmplementeerd. Wel hadden ze hierover ideeën geformuleerd en knelpunten gesignaleerd. Veel organisaties denken na over te gebruiken IT tooling om persoonsgegevens op te zoeken en te verwijderen. In veel (legacy) applicaties is het niet direct mogelijk om gegevens te verwijderen. De leverancier van de organisatie of een afdeling IT zal dan tooling moeten ontwikkelen, bijvoorbeeld een script schrijven waarmee dit mogelijk is.
Daarnaast kan een geautomatiseerd (workflow) systeem het proces van gegevenswissing
van verzoeken van betrokkenen plaatsvindt en de wijze en tijdigheid van afhandeling kan worden aangetoond. De gesproken organisaties hadden geen van alle reeds een (geautomatiseerd) proces ontworpen en geïmplementeerd. Ten tijde van de interviews waren er wel organisaties die al concreet stappen hadden gezet (beide verzekeringsmaatschappijen).
7.5.2 Afhandelen verzoek gegevenswissing
De organisaties in het onderzoek hadden geen van alle al een proces ingericht voor het afhandelen van een verzoek om gegevenswissing. Bijlage 2 bevat een procesflow voor het afhandelen van een verzoek om gegevenswissing. Deze is opgesteld aan de hand van de eisen van de AVG en besproken met alle geïnterviewden: organisaties en deskundigen. Hun commentaar is hierin verwerkt.
7.6 Informatie en communicatie
7.6.1 Informatie
Geen van de geïnterviewde organisaties heeft al managementinformatie gedefinieerd. Verschillende organisaties geven wel aan dat zijn hiermee bezig zijn. Het betreft dan meer algemene management informatie, niet specifiek gericht op het recht op gegevenswissing.
7.6.2 Communicatie
De organisaties bevestigen het belang van (tijdige) communicatie naar de betrokkene in het proces van gegevenswissing.
7.7 Monitoring
Three lines of defence model and IT audit functie
Bij vijf organisaties (Bank, twee verzekeringsmaatschappijen, gemeente en ziekenhuis) die deel uitmaken van het onderzoek is het three Lines of defence model ingericht. Deze organisaties zijn bekend met de IT audit functie.
De andere organisaties (service provider openbare bibliotheken, onderzoeksorganisatie,
gezondheidsdienst) waren onbekend met de IT audit functie. De geïnterviewde medewerkers voeren in die organisaties wel bepaalde controles uit.
De bank en één van de verzekeringsmaatschappijen gaven aan dat de externe accountant ook aandacht besteedt aan dit onderwerp.
Als belangrijkste rol voor de IT auditor werd vermeld het geven van assurance over de (controls in de) gegevensbeschermingsprocessen in de organisatie door het verrichten van privacy audits. Daarnaast werd als een specifieke taak van de auditor genoemd in het proces van gegevenswissing: het nagaan of de gegevens daadwerkelijk zijn verwijderd.
Als normenkaders werden genoemd: de wetteksten, gedragscodes, regels en guidance van de artikel 29 werkgroep. Eén organisatie meldde dat een Europese gedragscode voor health research in de maak is, die eveneens als normenkader kan dienen.
7.8 Tot slot
In dit hoofdstuk is ingegaan op de interviews die hebben plaatsgevonden bij acht organisaties die bezig zijn met de implementatie van de AVG. Daarnaast zijn drie deskundigen op het gebied van de AVG geïnterviewd De maatregelen die deze organisaties hebben genomen zijn gekoppeld aan de vijf COSO-componenten.