De bescherming van persoonsgegevens : handvatten voor het verrichten van een privacy-audit na invoering van de AVG

(1)

De bescherming van persoonsgegevens.

Handvatten voor het verrichten van een privacy-audit na invoering van de AVG.

Charlotte van de Loo Studentnummer: 11158336

Scriptie Executive Internal Auditing Programme 12 januari 2018

Begeleider: B. Walrave

(2)

2

Samenvatting

Privacy van persoonsgegevens is een hot topic binnen onze samenleving, evenals de bescherming daarvan. Het recht op eerbiediging van de persoonlijke levenssfeer is een grondrecht, dat ook is vastgelegd in Europese regelgeving. Echter door toenemende globalisering en aanhoudende

technologische ontwikkelingen volstond de huidige privacy regelgeving, afkomstig uit 1995 niet meer. Hier heeft de Europese Commissie op ingespeeld door het laten uitvaardigen van een nieuwe Europese verordening: De Algemene Verordening Gegevensbescherming. In deze verordening, die door alle landen binnen de Europese Unie geïmplementeerd moet zijn op 25 mei 2018, staan alle eisen genoemd waaraan voldaan moet worden op het moment dat persoonsgegevens binnen de EU en / of van EU onderdanen verwerkt wordt.

De nieuwe wetgeving behelst zowel eisen die binnen Nederland op dit moment ook al gelden, als geheel nieuwe vereisten. Een van deze nieuwe eisen is dat organisaties actief moeten kunnen aantonen dat persoonsgegevens in lijn met de AVG verwerkt worden. Ook is onder andere de grondslag verzwaard op basis waarvan gegevens mogen worden verwerkt, in verschillende situaties zal verplicht een privacy risico analyse uitgevoerd moeten worden, de rechten van degene wiens gegevens worden verwerkt zijn uitgebreid, datalekken moet verplicht gemeld worden aan de toezichthouder en in verschillende gevallen zal het aanstellen van een functionaris gegevens bescherming verplicht worden gesteld. Naast een tal van nieuwe verwerkingseisen, is het onder de AVG eveneens nieuw dat het voor de

toezichthouder mogelijk is een boete op te leggen aan organisaties die zich niet aan deze eisen houden. Deze boete kan oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Mede door het toegenomen financiële risico, het compliance risico en het reputatierisico dat een organisatie loopt op het moment dat werkzaamheden niet in lijn worden uitgevoerd met de AVG, is het voor organisaties van belang te weten, en aan te kunnen tonen, compliant te zijn. Hierbij kan de internal auditor, middels het uitvoeren van een privacy-audit, een rol vervullen. Voor het vervullen van een adequate audit is, naast kennis van audittechnieken, kennis van de vereisten als gesteld in de AVG van belang. Daarbij is het belangrijk te weten welke eisen, waar binnen de organisatie, leiden tot welke risico’s en hoe deze beheerst kunnen worden.

Handvatten voor het adequaat kunnen verrichten van een privacy-audit onder de huidige Europese wetgeving uit 1995 is voorhanden in de vorm van een raamwerk dat in 2005 is opgesteld. Dit raamwerk, gebaseerd op het Cobit model, zal vanaf het moment dat de AVG afdwingbaar wordt op 25 mei 2018,

(5)

5

niet meer geheel dekkend zijn. Hierdoor ontstaat een gebrek aan handvatten voor het uitvoeren van een privacy-audit, wat ook door anderen is opgemerkt. In september 2017 is een nieuw raamwerk gepubliceerd in een artikel, waarbij door het opgestelde raamwerk eveneens gesteund wordt op een bestaand model. Ditmaal het Maes model. Zowel het Cobit- als het Maes model zijn gericht op de IT huishouding van organisaties en daarmee op de levenscyclus van de persoonsgegevens. Naast dat er binnen een audit gefocust kan worden op de levenscyclus van data, is een tweede mogelijkheid te kijken naar business processen en procedures. Dit is een methode die door veel RO auditors wordt gebruikt. Handvatten die het uitvoeren van een privacy-audit via deze methode ondersteunen, zijn nog niet voorhanden. In deze scriptie wordt onderzocht hoe een raamwerk eruit zou zien, dat voorziet in deze handvatten.

Bij het verrichten van auditwerkzaamheden via de methode waarbij naar business processen en procedures wordt gekeken, wordt ook vaak gebruik gemaakt van een bestaand model dat hier op aansluit. Een van de meest gebruikte modellen hiervoor is het COSO Framework, in huidige vorm opgesteld in 2013. Het COSO Framework bestaat uit drie dimensies waarbij de doelstelling van een organisatie, de te auditen domeinen en de componenten van een interne organisatie onderscheiden worden. De doelstelling geven weer wat bereikt kan worden met een goed ingerichte organisatie en de domeinen geven aan dat de interne organisatie niet alleen van toepassing is op de organisatie in zijn geheel. De verschillende componenten, vijf in totaal, geven weer uit welke facetten een adequate interne organisatie opgebouwd zou moeten worden. De vijf componenten worden ieder ondersteund door principes, zeventien in totaal, die invulling geven aan deze componenten. Ze geven weer wat er binnen een organisatie minimaal moet zijn ingericht voor het kunnen beheersen van verschillende risico’s. De principes worden op hun beurt weer ondersteund door focuspunten, dit zijn verder uitgewerkte beheersingsmaatregelen.

Mede door de bekendheid van het COSO Framework bij RO auditors en de ruime

toepassingsmogelijkheden ervan, is voor het ontwikkelen van een nieuw raamwerk gesteund op dit model. De opbouw van het raamwerk is optisch weergegeven middels een matrix. Hierbij zijn op de horizontale as de verschillende verwerkingseisen uit de AVG weergegeven in negen thema’s. Alle verwerkingseisen uit de AVG zijn gebundeld tot deze negen thema’s en toegelicht in de theorie, waarbij aan nieuwe vereisten extra aandacht is geschonken om de gebruiker van het raamwerk hiermee bekend te maken. Op de verticale as van de matrix zijn de vijf componenten en zeventien ondersteunende principes weergegeven. Door het maken van relaties tussen een thema en een component, dan wel

(6)

6

principe, wordt zichtbaar gemaakt met welke eis, waar binnen de interne organisatie rekening moet worden gehouden. In een toelichting op de matrix worden deze relaties nader uitgewerkt. In de toelichting wordt besproken welke beheersingsmaatregelen ingeregeld moeten zijn om het risico, het niet in lijn verwerken van persoonsgegevens met de AVG, te beheersen. In de toelichting op de verschillende relaties wordt een onderscheid gemaakt tussen enerzijds beheersingsmaatregelen die direct voortkomen uit het COSO Framework, zoals het maken van beleid, het opstellen van management informatie en het toebedelen van taken en verantwoordelijkheden en anderzijds

beheersingsmaatregelen die specifiek zijn toegespitst op privacy eisen, zoals privacy by design, het uitvoeren van een privacy impact assessment en het opstellen van een verwerkingsregister. De matrix en de toelichting hierop was in eerste instantie gebaseerd op de wetgeving en de theorie omtrent de toepassing van het COSO Framework. Door middel van het aangaan van gesprekken met vijf experts op het gebied van internal audit en privacy wetgeving, waarbij het raamwerk is voorgelegd en besproken, is, na een aantal aanpassingen, het raamwerk gevalideerd. De AVG is vanaf mei 2018 afdwingbaar binnen de EU en vanaf dat moment zal dit raamwerk handvatten kunnen bieden voor het adequaat kunnen uitvoeren van een privacy-audit.

(7)

7

Voorwoord

Na het afronden van mijn studie Nederlands- en Fiscaal recht in 2013, heb ik het juridische vak enigszins de rug toegekeerd. Ik wilde me breder oriënteren, ontdekken hoe de bankenwereld in elkaar zat. De ideale mogelijkheid hiervoor bood zich aan door het traineeship binnen ABN AMRO te volgen en vervolgens in te stromen op de internal audit afdeling. Zowel dit traineeship, als mijn huidige functie als internal auditor, hebben mij de ideale positie gegeven om veel over de bank, de processen, de

producten en (de beheersing van) risico’s te weten te komen. Nu, vier jaar na mijn afstuderen, heb ik ruim 3,5 jaar ervaring als internal auditor en heb ik de EIAP opleiding afgerond, echter voel ik mij, naast internal auditor, ook nog steeds jurist. Wanneer er nieuwe wetgeving, relevant voor mijn

werkomgeving, verschijnt, ben ik altijd geïnteresseerd wat deze wetgeving inhoudt en welke implicaties die kan hebben voor de processen, producten en risico’s zoals ik die heb leren kennen. Zo ook op het moment dat de Algemene Verordening Gegevensbescherming zijn intrede deed en een grote impact op organisaties bleek te hebben. Mijn aandacht was getrokken. Dit leidde er toe dat ik constateerde dat er, voor het adequaat kunnen auditen van een organisatie op overeenstemming met de nieuwe privacy vereisten, nog geen duidelijke handvatten beschikbaar waren. Hierin zag ik een mooie uitdaging voor mezelf en de rest is geschiedenis.

Op het moment dat ik begon met het schrijven van deze scriptie, keek ik al uit naar het mogen schrijven van mijn voorwoord dat ik ook erg graag als dankwoord wil gebruiken. De afgelopen twee jaar heb ik namelijk niet altijd als makkelijk ervaren (soms zelfs verre van): het combineren van een leuk sociaal leven, een full time baan en het volgen van een studie bleek lastiger dan ik vooraf had verwacht. De steun en het begrip van, in het bijzonder mijn ouders, mijn broer Sander en mijn vriend Huub zijn hierin onmisbaar geweest. Ook wil ik mijn vriendinnen bedanken, omdat ze nog steeds mijn vriendinnen zijn ondanks mijn herhaaldelijke klaagzang en absentie. Ook wil ik mijn klas bedanken voor de gezelligheid op de vrijdagen tijdens de verschillende colleges en daarbij in het bijzonder, eveneens mijn collega, Judy. Zonder Judy zou ik vaker in het verkeerde lokaal gezeten hebben dan in het goede, zou ik veel meer van mijn eigen pennen hebben versleten, zou ik mijn eigen kauwgompjes hebben moeten kopen en lest but not least zou ik veel minder plezier hebben gehad. Als laatste, maar zeker niet als minste, wil ik mijn scriptie begeleider Björn Walrave bedanken voor zijn super goede en fijne begeleiding, mede dankzij zijn medewerking heb ik mijn, soms zeer strakke, deadlines kunnen halen en kan ik de opleiding met een fijn gevoel afsluiten.

(8)

8

Hoofdstuk 1. Inleiding

1.1 Aanleiding

Privacy van persoonsgegevens is een gevoelig onderwerp binnen de samenleving, vooral wanneer blijkt dat deze privacy geschonden wordt. Door alsmaar toenemende ontwikkelingen op verschillende

gebieden waarbij, op grote schaal, persoonsgegevens worden verwerkt, neemt de aandacht omtrent dit onderwerp ook toe. Met deze aandacht en ontwikkelingen, stijgt eveneens de noodzaak tot adequate bescherming van deze persoonsgegevens. Naast dat organisaties de wettelijke verplichting hebben om persoonsgegevens adequaat te beschermen, is het ook erg nadelig voor de reputatie van een

organisatie als blijkt dat hier niet aan wordt voldaan (Nanos, 2003). Voor organisaties is het aldus van belang te weten wat er op het vlak van bescherming van persoonsgegevens van ze wordt verwacht en hoe ze hieraan kunnen voldoen.

De wettelijke eisen voor het verwerken van persoonsgegevens zijn, sinds 2001, binnen Nederland vastgelegd in de Wet bescherming persoonsgegevens (hierna: Wbp). De Wbp is een vertaling van de Europese privacy richtlijn uit 19951 (Stormshield, 2017). De Europese Unie heeft echter geparticipeerd, op de toenemende ontwikkelingen omtrent onder andere apps, social media, big data en e-commerce, middels vernieuwde Europese wetgeving. Op 24 mei 2016 is de Algemene Verordening

Gegevensbescherming (hierna: AVG), binnen de gehele Europese Unie, in werking getreden. De Europese benaming voor de AVG is de General Data Protection Regulation en vervangt de richtlijn uit 1995. De AVG heeft, binnen de gehele EU, een implementatietermijn van twee jaar, wat betekent dat deze verordening vanaf 25 mei 2018 gehandhaafd zal worden. Organisaties hebben daarom tot 25 mei 2018 de tijd om hun processen en systemen welke betrekking hebben op de verwerking van

persoonsgegevens in lijn te brengen met de AVG (Het Europees parlement en de raad van de Europese Unie, 2016). Op het moment dat organisaties vanaf dat moment afwijken van de gestelde eisen in de AVG, lopen zij het risico een boete opgelegd te krijgen door de Nederlandse toezichthouder: de

Autoriteit Persoonsgegevens (hierna: AP). Deze boete kan oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen (Autoriteit Persoonsgegevens b). Onder de Wbp was er van een dusdanige boetebepaling geen sprake.

Vanwege het toegenomen financiële risico, het juridische risico en het reputatierisico dat een organisatie loopt, bij het niet voldoen aan de AVG, neemt het belang van het voeren van adequaat

1

Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, uit 1995 (23/11/1995)

(9)

9

privacybeleid binnen organisaties toe. De Europese Commissie geeft hieromtrent aanwijzingen. Dit is zeer wenselijk aangezien de AVG generiek is opgesteld en daardoor niet een op een toepasbaar is binnen iedere type organisatie. Daarnaast is de AVG complex en interpretabel (Europese Commissie). Het wordt echter aan organisaties zelf overgelaten om hun beleid op te stellen en hun interne organisatie zodanig in te richten, dat deze voldoet aan de vereisten uit de AVG. Vanwege de blootstelling aan de bovenstaand genoemde, reële risico’s, zal het bestuur van een organisatie, na implementatie van de eisen uit de AVG, zekerheid willen dat aan deze vereisten inderdaad wordt voldaan. Daarnaast wordt in artikel 24 van de AVG afgedwongen dat het bestuur actief kan aantonen te voldoen aan de gestelde eisen (Het Europees parlement en de raad van de Europese Unie, 2016). Bij het verkrijgen van zekerheid over-, en het actief kunnen aantonen van compliance met de AVG, kan de internal auditor een rol spelen middels het uitvoeren van een privacy-audit.

Bij de uitvoering van de privacy-audit toetst de auditor of een organisatie adequaat is ingericht om in voldoende mate tegemoet te komen aan de wettelijke eisen (de opzet). Vervolgens zal de auditor de door de organisatie getroffen maatregelen en procedures qua bestaan beoordelen die in de borging van de wettelijke eisen moeten voorzien. Daarna zal de auditor de werking van de betreffende maatregelen over een vooraf te bepalen periode toetsen (Samenwerkingsverband Audit Aanpak / Wergroep Privacy Audit, 2001).

In de geldende richtlijn voor het verrichten van privacy-audits, richtlijn 3600 uit 2006, wordt verwezen naar het Raamwerk Privacy-audit zoals opgesteld door het samenwerkingsverband Audit Aanpak / Werkgroep Privacy-audit in 2005 (Koninklijk NIVRA/NOREA, 2006). Dit raamwerk voorziet in een normenkader voor het uitvoeren van een privacy-audit en is gebaseerd op de eisen als gesteld in de Wbp. Vanwege het intrekken van de Wbp op het moment dat de AVG afdwingbaar wordt, zullen de uitgangspunten van het Raamwerk Privacy-audit niet meer geheel voldoen. Onder de AVG gelden zowel geheel nieuwe eisen als aangepaste eisen ten opzichte van de Wbp. Dat het raamwerk uit 2005 onder de AVG tekort zal schieten, is ook opgemerkt door W. Nanninga, A. Ougajou en H. Koetsier die naar aanleiding van de inwerkingtreding van de AVG, onderzoek hebben gedaan naar een nieuw Privacy Control Framework (Mr. W.R. Nanninga, 2017).

Het verrichten van een privacy-audit kan grofweg via twee methoden plaatsvinden. De eerste methode richt zich op de ‘life cycle’ (verzamelen – verwerken – omzetten – vernietigen) van persoonsgegevens binnen een audit object. De tweede methode richt zich op de business processen en procedures (R. Traunmüller (Ed, 2004). Zowel het Raamwerk Privacy-audit uit 2005 als het Privacy Control Framework

(10)

10

uit 2017 richten zich op de eerste methode. Beide raamwerken sluiten daarvoor aan bij een bestaand model, respectievelijk het COBIT model 2 en het MAES model. Beide modellen zijn gericht op de IT-huishouding van audit objecten en daarmee op de life cycle van persoonsgegevens

(Samenwerkingsverband Audit Aanpak / Wergroep Privacy Audit, 2001) (Mr. W.R. Nanninga, 2017). Echter, Bij het auditen van de systematiek van de interne beheersing binnen een organisatie sluit de RO-auditor vaak aan bij methode twee, waarbij business processen en procedures worden onderzocht (Claassen, 2009). In een raamwerk voor het uitvoeren van een privacy-audit volgens de tweede methode is in de huidige literatuur nog niet voorzien.

Het is geen toeval dat beide raamwerken gebaseerd zijn op een bestaand model. Door aan te sluiten bij een bestaand model, ontstaat een basis voor de interne beheersing van een organisatie. Deze basis geeft eveneens zicht structuur voor auditwerkzaamheden, mede door het formulieren van verwachte, generieke, beheersingsmaatregelen (Mr. W.R. Nanninga, 2017). In de literatuur zijn reeds veel

bestaande modellen aanwezig (M. van Assen, 2009). Niet alleen modellen die gericht zijn op de IT-huishouding van audit objecten, maar ook op business processen en procedures. Het model dat bekend staat onder de naam ‘COSO Framework’ is hiervan een voorbeeld en daarnaast ook het meest gebruikte model bij het verrichten van audit werkzaamheden met als uitgangspunt processen en procedures (Claassen, 2009). De bekendheid van dit model onder RO auditors en het gebrek aan een privacy beheersing raamwerk gebaseerd op business processen en procedures, heeft er toe geleid dat in deze scriptie onderzocht is, hoe een dergelijke privacy beheersing raamwerk eruit ziet op basis van het COSO Framework.

1.2 Probleemstelling

De doelstelling van dit onderzoek is het ontwikkelen van een raamwerk, gebaseerd op het COSO Framework, op basis waarvan een gedegen privacy-audit uitgevoerd kan worden naar de nakoming van de eisen als gesteld in de AVG.

De maatschappelijke relevantie van dit onderzoek is erin gelegen dat aan internal auditors en organisaties een raamwerk aangereikt wordt, aan de hand waarvan een adequate privacy-audit uitgevoerd kan worden. Wanneer er in deze scriptie over een privacy-audit gesproken wordt, wordt specifiek het onderzoek naar de compliance van een organisatie met de AVG bedoeld. Een dergelijk raamwerk is zeer wenselijk aangezien hierin relevante aanknopingspunten staan voor het opstellen van

2

Control Objectives for Information and related Technology, 2n edition, 1998, Information Systems Audit and Control Foundation.

(11)

11

een audit werkprogramma. Op het moment dat een adequate privacy-audit verricht kan worden, verkrijgt het bestuur van een organisatie zekerheid omtrent het voldoen aan wettelijke privacy eisen. Deze te verkrijgen zekerheid draagt eveneens bij aan het vertrouwen van personen die hun

persoonsgegevens laten verwerken.

Het onderzoek is tevens theoretisch relevant, aangezien er een gat in de literatuur, namelijk een privacy beheersing raamwerk waarbij business processen en procedures als uitgangspunt gelden, wordt

opgevuld.

In dit onderzoek staat de volgende vraag centraal:

Hoe ziet een raamwerk eruit ,uitgaande van het COSO Framework, op basis waarvan een privacy-audit uitgevoerd kan worden naar de beheersing van de eisen als gesteld in de AVG?

Voor het beantwoorden van de centrale vraag zullen allereerst de volgende deelvragen beantwoord worden:

1. Welke eisen stelt de AVG omtrent de verwerking van persoonsgegevens? 2. Hoe ziet het COSO Framework eruit?

3. Hoe ziet een raamwerk eruit waarbij de AVG-eisen en de componenten uit het COSO Framework met elkaar in relatie worden gebracht?

4. Wordt het ontwikkelde raamwerk onderkend en onderschreven door experts op het gebied van privacywetgeving en internal audit?

1.3 Onderzoeksmethode

Om de eerste deelvraag te beantwoorden heeft literatuurstudie plaatsgevonden. Hierbij is onderzocht wat er in wetenschappelijke literatuur reeds geschreven is over de vereisten die worden gesteld in de AVG. Daarnaast is de AVG als directe bron gebruikt om de vereisten in kaart te brengen. De vereisten als gesteld in de AVG bleken in drie categorieën onderverdeeld te kunnen worden, namelijk: geheel nieuwe vereisten, aangepaste vereisten ten opzichte van de Wbp en vereisten die onder de Wbp reeds in dezelfde vorm golden. De eerste en tweede categorie zijn voor het beantwoorden van de eerste

deelvraag uitgebreid toegelicht, waarna de vereisten uit alle drie de categorieën generiek zijn toegelicht aan de hand van negen verschillende thema’s. Deze negen thema’s hebben in een later stadium gediend als input voor het uiteindelijk raamwerk.

(12)

12

Deelvraag twee is beantwoord middels literatuurstudie naar het COSO Framework. Hierbij ligt de nadruk liggen om de vijf componenten waaruit dit Framework is opgebouwd en de onderliggende principes die invulling geven aan de verschillende componenten. Eveneens is aandacht besteed aan specifieke privacy beheersingsmaatregelen die binnen het privacy beheersing raamwerk gebruikt kunnen worden.

Deelvraag drie is beantwoord door middel van analyse. De resultaten van deelvraag een en twee zijn in een matrix met elkaar in verband gebracht, waarna de relaties zijn toegelicht en er geschikte

beheersingsmaatregelen aan zijn gekoppeld. Hierdoor is een draft privacy beheersing raamwerk ontstaan. Ook is middels wetgevingsanalyse ieder artikel uit de AVG die een verwerkingseis bevat, geplot onder een van de negen thema’s. Op deze manier is onderzocht of de theoretische grondslag voor het benoemen van deze negen thema’s passend is.

Voor het beantwoorden van deelvraag vier heeft empirisch onderzoek plaatsgevonden. De analyse van de theorie heeft geresulteerd in een draft raamwerk, op basis waarvan een werkprogramma voor een uit te voeren privacy-audit opgesteld kan worden. De praktijk is echter soms weerbarstiger dan de theorie en kan ertoe leiden dat op de theorie gefundeerde uitgangspunten, in de praktijk aangepast behoren te worden. Daarom zijn aanvullende inzichten uit de praktijk verkregen om de praktische toepassing van het raamwerk te ondersteunen. Inzichten uit de praktijk zijn verkregen middels het voeren van gesprekken met professionals die zowel kennis hebben van privacywetgeving, specifiek de AVG en internal audit.

1.4 Betrouwbaarheid en validiteit van het onderzoek

Er hebben vijf gesprekken plaatsgevonden met professionals om het raamwerk te versterken en valideren. De selectie van de geïnterviewde experts is gemaakt op basis van een “purposive sample” (Bijleveld, 2006): de experts zijn geselecteerd op basis van hun positie van waaruit zij een visie hebben op zowel het uitvoeren van (privacy) audits als (ontwikkelingen in) privacy wetgeving. In bijlage 7 zijn de selectiecriteria voor de gekozen experts nader toegelicht

Validatie en versterking van het raamwerk heeft concreet plaatsgevonden door het doorlopen van de volgende stappen:

1. Met iedere expert is, op individuele basis, samen door het draft raamwerk, zoals opgesteld in hoofdstuk 3, heengelopen. Tijdens het doorlopen van het draft raamwerk is gevraagd te letten op de punten als beschreven in bijlage 8;

(13)

13

2. Na het doorlopen van het draft raamwerk is aan iedere expert om een reactie gevraagd omtrent de aanwezigheid van mogelijke verbeterpunten in het raamwerk;

3. Alle individuele reacties zijn verzameld en in zijn totaliteit, in de vorm van 41 stellingen, teruggekoppeld aan iedere expert. Aan iedere expert is gevraagd aan te geven of hij / zij het eens dan wel oneens is met het verbetervoorstel ter verbetering van het raamwerk;

4. Op het moment dat minimaal drie van de vijf experts het eens waren met een voorstel tot verbetering, is het voorstel doorgevoerd in het draft raamwerk;

5. Het draft raamwerk is na doorvoering van de gevalideerde verbeteringen finaal gemaakt en weergegeven in hoofdstuk 4.

1.5 Onderzoeksmodel

Het onderstaande onderzoeksmodel biedt conceptueel inzicht in de stappen die in dit onderzoek zijn gevolgd.

1.6 Opbouw van de scriptie

In hoofdstuk 2 van deze scriptie is het theoretisch kader van het onderzoek weergegeven. Hierin vindt een uiteenzetting plaats van de resultaten van de literatuurstudie naar de eisen als gesteld in de AVG en

(14)

14

de opzet van het COSO Framework. Naar aanleiding van de theorie als behandeld in hoofdstuk 2, is in hoofdstuk 3 middels analyse een draft raamwerk opgesteld.

In hoofdstuk 4 zijn de uitkomsten van het validatieproces beschreven evenals het finale raamwerk. In dit hoofdstuk wordt een verwijzing gemaakt naar:

 De (semi) gestructureerde vragenlijst, aan de hand waarvan met de experts door het draft raamwerk heen is gelopen is en waarop reacties zijn gevraagd;

 De reacties van de verschillende experts n.a.v. het doorlopen van het draft raamwerk verwerkt in 41 stellingen;

 De reacties van de experts om een verbetervoorstel al dan niet door te voeren in het raamwerk;

 De verantwoording voor de keuze van de verschillende experts.

In hoofdstuk 5 volgt de conclusie en in hoofdstuk 6 de reflectie, waarna de scriptie wordt afgesloten met de bibliografie en de verschillende bijlagen.

(15)

15

Hoofdstuk 2. Theoretisch kader

2.1 De Algemene Verordening Gegevensbescherming

Vanaf 24 mei 2016 is de AVG binnen de gehele EU in werking getreden, waarna na een

implementatietermijn van twee jaar, de AVG vanaf 25 mei 2018 gehandhaafd zal worden. In hoofdstuk 2.1 wordt de inhoud van de AVG, betreffende de verwerking van persoonsgegevens, beschreven en toegelicht.

2.1.1 Juridisch kader privacy wetgeving

Personen binnen Nederland hebben rechten op het gebied van privacy, aldus de manier waarop hun persoonsgegevens worden verwerkt. Dit recht is verankerd in zowel Europese wetgeving als de

Nederlandse grondwet. Krachtens artikel 8 lid 1 van het Handvest van de grondrechten van de Europese Unie en artikel 16 lid 1 van het Verdrag Betreffende de Werking van de Europese Unie heeft eenieder recht op de bescherming van persoonsgegevens (Europees Parlement en de Raad, 2016) (Afdeling advisering van de Raad van State, 2016). In de Nederlandse grondwet is het recht op eerbiediging van de persoonlijke levenssfeer verankerd in artikel 10. In dit artikel staat:

1. “Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.

2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.

3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.”

Aan de uitwerking van artikel 10 van de Grondwet werd vanaf 1989 invulling gegeven door de Wet persoonsregistraties. In deze wet werden regels gesteld voor de rechtmatige en zorgvuldige omgang met persoonsgegevens. Mede door de vele ontwikkelingen op het gebied van de informatie- en communicatietechnologie na 1989, is de Wet persoonsregistraties in 2001 vervangen door de Wbp (Samenwerkingsverband Audit Aanpak / Wergroep Privacy Audit, 2001). De Wbp is op hoofdlijnen gelijk aan de Europese richtlijn 95/46/EG, die op 25 oktober 1995 werd aangenomen. Het uitgangspunt van de Wbp was het gebruik van persoonsgegevens te minimaliseren, om zo op voorhand de kans op het schenden van privacyregels zo klein mogelijk te maken (Geerse, 2017).

(16)

16

Door verdergaande technologische ontwikkelingen en globalisering zijn, na inwerking treden van de Wbp, wederom nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is de afgelopen jaren significant gestegen. Dankzij technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Daarnaast maken personen hun gegevens ook steeds vaker zelf (wereldwijd) bekend, middels bijvoorbeeld social media (Europees Parlement en de Raad, 2016). Deze ontwikkelingen vereisen een krachtig kader voor gegevensbescherming in de EU, dat wordt gesteund door strenge handhaving. Strenge handhaving draagt bij aan het vertrouwen dat personen hebben aan de juiste verwerking van hun persoonsgegevens. Het Nederlandse- en het Europese

parlement heeft op deze ontwikkelingen ingespeeld middels het ontwikkelen van nieuwe wetgeving. Op 1 januari 2016 werd de meldplicht datalekken van kracht in Nederland, op 24 mei 2016 trad de AVG in werking, die vanaf 25 mei 2018 ook daadwerkelijk te handhaven is (Goeyenbier, 2016).

Een van de doelen van de AVG is erin te voorzien dat de rechten zoals toegekend aan personen ook daadwerkelijk nageleefd (kunnen) worden. Hiervoor zal door organisaties, inclusief de overheid, expliciet aandacht gegeven moeten worden aan de gestelde verwerkingseisen. Deze aandacht zal zich onder andere kunnen uiten in het opstellen van privacy beleid en het aanstellen van een functionaris gegevensbescherming (hierna: FG) (Goeyenbier, 2016).

Het verschil tussen een Europese richtlijn, waarop de Wbp gebaseerd was, en een Europese verordening, waarop de AVG gebaseerd is, is dat een verordening directe en rechtstreekse werking heeft binnen alle landen van de EU, terwijl de uitgangspunten van een richtlijn eerst omgezet moeten worden naar binnenlandse weten regelgeving om werking te hebben (Raad van State, 2016). Hierdoor geldt op dit moment binnen de EU een grote variëteit aan geïmplementeerde privacy wetgeving. In sommige landen gelden strengere eisen dan in andere landen (Stormshield, 2017). Door invoering van de AVG wordt dezelfde privacy wetgeving binnen de gehele EU van kracht. Het werkingsgebied van de AVG is ook ruimer dan alleen binnen de landen van de EU en heeft daarmee een groter bereik dan de richtlijn en de daarop gebaseerde Wbp. De werkingssfeer van de AVG omvat alle organisaties die persoonlijke gegevens van EU burgers verwerken, ongeacht waar deze organisatie gevestigd is (Geerse, 2017) (Europees Parlement en de Raad, 2016). De directe werking van de AVG neemt niet weg dat lidstaten geen enkele ruimte meer hebben om eigen regels voor de toepassing vast te stellen (Europees Parlement en de Raad, 2016). Bepaalde artikelen geven ruimte voor een nadere concretisering van de verordening, hetzij voor afwijkingen van- en uitzonderingen op specifieke bepalingen van de

(17)

17

verordening (Afdeling advisering van de Raad van State, 2016). Om te faciliteren in het concretiseren van deze aangewezen artikelen, heeft de AP, in samenwerking met andere Europese toezichthouders op het gebied van privacy, richtlijnen die bepaalde begrippen uit de AVG verduidelijken gepubliceerd (Autoriteit Persoonsgegevens c, 2017).

2.1.2 Begrippenkader van de AVG

De AVG roept verschillende rechten en plichten in het leven die betrekking hebben op

persoonsgegevens. Om deze rechten en plichten juist te kunnen interpreteren en de reikwijdte ervan te bepalen, is een goed begrip van de verschillende definities nodig die gebruikt worden in de verschillende artikelen. De belangrijkste begrippen worden in artikel 4 van de AVG besproken (Europees Parlement en de Raad, 2016). In bijlage 2.1 staan enkele van deze belangrijkste begrippen kort weergegeven.

2.1.3 De nieuwe- en aangepaste verwerkingseisen als gesteld in de AVG

De AVG vervangt de Wbp per 25 mei 2018. Dit betekent echter niet dat de verwerkingseisen, waaraan voldaan moest worden onder de Wbp, geheel niet meer gelden (Geerse, 2017). Zowel de AVG als de Wbp zijn gebaseerd op dezelfde basisprincipes die in 1980 zijn opgesteld door de Organisation for Economic Co-operation and Development (hierna: OECD) (E. Ridderbeekx, 2017). Hieruit volgt dat de AVG eveneens verwerkingseisen bevat die al van kracht waren onder de Wbp, al dan niet in een aangepast vorm. De AVG bevat ook geheel nieuwe eisen, die nog niet golden onder de oude wetgeving (Raad van State, 2016). Vijf eisen die in aangepaste vorm gelden onder de AVG ten opzichte van de Wbp zijn: toegenomen eisen omtrent transparantie, de aanstelling van een functionaris

gegevensbescherming, gegevensbescherming door ontwerp en door standaardinstellingen, de

meldplicht datalekken en het recht op vergetelheid. Deze vijf eisen zijn inhoudelijk beschreven in bijlage 1, net als vijf eisen die nieuw zijn in de AVG, namelijk: begrip van aansprakelijkheid, het recht op

overdraagbaarheid van gegevens, het recht op beperking van de verwerking, het privacy impact assessment en toestemming als rechtmatige grondslag.

Om een volledig overzicht te geven van de eisen die de AVG stelt, aldus inclusief de eisen die ook al onder de Wbp golden, wordt in de volgende paragraaf een totaalbeeld geschetst van alle

verwerkingseisen aan de hand van negen thema’s.

2.1.4 Alle eisen gebundeld tot negen thema’s

In paragraaf 2.1.3 zijn de nieuwe en aangepast eisen, als gesteld in de AVG benoemd, en inhoudelijk weergegeven in bijlage 1. In deze paragraaf volgt een totaaloverzicht, aan de hand van negen thema’s, waarin alle vereisten als gesteld onder de AVG terug zullen komen. Deze negen thema’s zijn gebaseerd

(18)

18

op de negen generieke thema’s die opgesteld zijn in het Raamwerk Privacy-audit in 2005. Deze

generieke thema’s waren op hun beurt weer gebaseerd op de globale privacy thema’s als gesteld door de OECD (Samenwerkingsverband Audit Aanpak / Wergroep Privacy Audit, 2001). Ten aanzien van de negen thema’s, als gebruikt in 2005, heeft er een aanpassing plaatsgevonden. Het thema ‘Voornemen en Melden’ komt niet terug in de negen thema’s als gebruikt in dit onderzoek, dit komt doordat deze eis niet langer geldt onder de AVG. Het thema ‘Verantwoordingsplicht’ is daarentegen toegevoegd,

aangezien de AVG hieromtrent veel nieuwe eisen stelt. De overige acht thema’s hebben dezelfde naam behouden. Middels wetgevingsanalyse, als uitgevoerd en beschreven in hoofdstuk drie, is vastgesteld dat alle eisen, als gesteld in de artikelen van de AVG, aan een van deze negen thema’s toegewezen kan worden.

Thema 1. Transparantie

De verwerking van persoonsgegevens behoort adequaat en rechtmatig plaats te vinden. Daar valt o.a. onder dat de verwerking transparant moet geschieden. Daaronder wordt verstaan dat het voor de betrokkenen helder moet zijn dat zijn persoonsgegevens worden, of zullen worden, verwerkt. Het kenmerk transparantie brengt met zich mee dat informatie en communicatie omtrent de verwerking van persoonsgegevens eenvoudig toegankelijk en begrijpelijk moeten zijn. Informatie dient actief, zonder onredelijke vertraging, uiterlijk binnen een maand, kosteloos aan de klant te worden verstrekt. Onderwerpen waarover de betrokkene actief geïnformeerd moet worden zijn o.a. de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking. Daarnaast dienen betrokkene gewezen te worden op hun rechten in verband met de verwerking van hun persoonsgegevens en de manier waarop zij deze rechten kunnen effectueren (Europees Parlement en de Raad, 2016). Thema 2. Doelbinding

Op het moment dat persoonsgegevens worden verzameld, dient het doel voor de verzameling en de verwerking daarvan ondubbelzinnig en rechtmatig te zijn vastgesteld door de

verwerkingsverantwoordelijke. Het doel dient vervolgens te worden gedocumenteerd. Om het doel te kunnen bepalen, dient duidelijk te zijn wat het generieke doel van de organisatie is. De betrokkene dient over dit doel geïnformeerd te worden (E. Makri, 2015).

Onder doelbinding valt ook data minimalisatie. De persoonsgegevens van de betrokkene moeten toereikend zijn om het vastgestelde doel te dienen, maar ook hiertoe gelimiteerd te zijn. Dat neemt onder meer met zich mee dat de opslagperiode van persoonsgegevens tot het minimum beperkt dient te worden. Om dit te bereiken dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het

(19)

19

wissen van gegevens en voor een periodieke toetsing ervan. Daarnaast moeten beheersingsmaatregelen ingericht worden om onjuiste persoonsgegevens, al dan niet automatisch, te herzien of te wissen. Op het uitgangspunt van doelbinding, namelijk dat de verzamelde persoonsgegevens alleen verwerkt mogen worden in het kader van het vooraf vastgestelde doel, geldt als uitzondering dat verwerking voor andere doeleinden ook mag plaatsvinden wanneer deze verenigbaar zijn met de doeleinden waarvoor de persoonsgegevens oorspronkelijk waren verzameld (Europees Parlement en de Raad, 2016). Thema 3. Rechtmatige grondslag

Voor het verwerken van persoonsgegevens is een rechtmatige grondslag vereist, de toepasbare grondslag en de rationale daarachter, moet worden vastgelegd door de verwerkingsverantwoordelijke. In de AVG zijn de volgende grondslagen opgenomen:

 Toestemming. Er is een rechtmatige grondslag aanwezig wanneer de betrokkene toestemming geeft voor het verwerken van zijn persoonsgegevens voor een of meerdere specifieke doeleinden.

Wanneer de verwerkingsverantwoordelijke een verzoek doet aan de betrokkene ter verstrekking van toestemming, dient dit verzoek in duidelijke en begrijpbare taal plaats te vinden. Op het moment dat toestemming wordt gebruikt als de rechtmatige grondslag, moet deze toestemming aantoonbaar van de betrokkene verkregen zijn. Er mag niet vanuit worden gegaan dat de

betrokkene zijn toestemming heeft gegeven indien de betrokkene geen echte- of vrije keuze heeft gehad, zijn te geven toestemming niet kan weigeren, of het intrekken van toestemming nadelige gevolgen heeft. Tot slot moet het intrekken van de toestemming door de betrokkene even makkelijk te zijn als het verstrekken ervan.

 Contract. Een verwerking vindt plaats op basis van een rechtmatige grondslag op het moment dat de verwerking noodzakelijk is voor het uitvoeren van een contract dat is gesloten tussen de betrokkene en de verwerkingsverantwoordelijke. Ook op het moment dat verwerking plaatsvindt om een contract aan te gaan, is dit legitiem.

 Wettelijke verplichting. Wanneer een verwerking noodzakelijk is voor het nakomen van een wettelijke verplichting door de verwerkingsverantwoordelijke, wordt geacht een rechtmatige grondslag aanwezig te zijn.

 Gerechtvaardigd belang. Er wordt tevens geacht een rechtmatige grondslag aanwezig te zijn op het moment dat verwerking noodzakelijk is op grond van een gerechtvaardigd belang van een

(20)

20

dan de belangen, grondrechten en fundamentele vrijheden van de betrokkene, die extra zwaar wegen als de betrokkene minderjarig is (Afdeling advisering van de Raad van State, 2016). In de AVG zijn bepaalde persoonsgegevens aangeduid als bijzondere persoonsgegevens. Dit zijn o.a. persoonsgegevens die betrekking hebben op etniciteit, politieke opvattingen, gezondheid en seksuele geaardheid. In bijlage 2.2 staat een volledig overzicht van bijzondere persoonsgegevens. Als

uitgangspunt geldt dat gevoelige persoonsgegevens niet verwerkt mogen worden. Hierop kan onder een aantal voorwaarden een uitzondering op gemaakt worden. Een uitzondering kan gemaakt worden, op het moment dat:

 De betrokkene expliciet toestemming geeft voor de verwerking van zijn gevoelige persoonsgegevens voor een of meerdere gespecificeerde doeleinden. Dit gaat niet op als de Europese- of Nationale wetgeving voorschrijft dat het verbod om bijzondere persoonsgegevens te verwerken niet mag worden opgeheven middels het geven van toestemming door de betrokkene;

 De verwerking noodzakelijk is om aan verplichtingen te voldoen die voortkomen uit het arbeidsrecht, het sociale beschermingsrecht of het algemene belang;

 De verwerking noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in een gerechtelijk-, administratieve-, of buitengerechtelijke procedure;

 De verwerking noodzakelijk is voor doeleinden van preventieve- of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van een werknemer, voor het stellen van medische diagnosen, en het verstrekken van gezondheidszorg of sociale diensten;

 De verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden (Afdeling advisering van de Raad van State, 2016). Thema 4. Kwaliteit

De verwerking van persoonsgegevens dient te voldoen aan een zekere kwaliteit. Vier kwaliteitsaspecten, gebaseerd op IT audits, kunnen daarbij onderscheiden worden, namelijk: exclusiviteit, integriteit,

continuïteit en controleerbaarheid (CBP, NIVRA, NOREA, 2005). Daarnaast behoren de

persoonsgegevens toereikend, relevant, nauwkeurig en correct te zijn gelet om de doeleinden waarvoor ze worden verzameld en vervolgens worden verwerkt. De kwaliteit moet onderhouden worden

gedurende de gehele data life cycle (E. Makri, 2015).

Om in te kunnen staan voor kwaliteit behoort bij het verwerken van persoonsgegevens onder meer rekening gehouden te worden met bewaartermijnen, maatregelen voor de verwerking van bijzondere

(21)

21

tekens, periodieke opschoning, eindcontrole bij geautomatiseerde beslissingen en juistheid-,

volledigheid- en autorisatiecontroles bij ingevoerde gegevens (Samenwerkingsverband Audit Aanpak / Wergroep Privacy Audit, 2001). Daarnaast zullen maatregelen genomen moeten worden ter beperking van fouten in de gegevens verwerking.

De vier kwaliteitsaspecten toegelicht:

 Exclusiviteit. Uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken van persoonsgegevens;

 Integriteit. De persoonsgegevens moeten in overeenstemming zijn met de werkelijkheid. Persoonsgegevens mogen niet onterecht worden achtergehouden of verdwijnen;

 Continuïteit. Persoonsgegevens, en daarvan afgeleide informatie, moeten terstond beschikbaar zijn overeenkomstig daarover gemaakte afspraken. Continuïteit stelt een ongestoorde voortgang van de gegevensverwerking;

 Controleerbaarheid. Het kwaliteitsaspect controleerbaarheid omvat de mate waarin het mogelijk is vast te stellen dat de verwerking van persoonsgegevens in overeenstemming met de andere kwaliteitsaspecten verloopt. Daarnaast is controleerbaarheid de mate waarin het mogelijk is inzicht te krijgen in de structurering en werking van een object (CBP, NIVRA, NOREA, 2005).

Thema 5. Rechten van betrokkenen

Een betrokkene heeft ten opzicht van de verwerkingsverantwoordelijke de volgende rechten:

 Recht van inzage. Een betrokkene heeft het recht om ten allen tijden, met redelijke tussenpozen, de over hem verzamelde persoonsgegevens in te zien om zichzelf van de verwerking op de hoogte te stellen en de rechtmatigheid ervan te controleren. De verwerkingsverantwoordelijke dient ervoor te zorgen dat dit recht eenvoudig uitgeoefend kan worden. Op het moment dat de betrokkene zich beroept op zijn recht van inzage , moet de verwerkingsverantwoordelijke, voor het verstrekken van inzage, adequate maatregelen nemen om de identiteit van de betrokkene te controleren;

 Recht op rectificatie. Een betrokkene heeft het recht om op hem betrekkende persoonsgegevens te laten corrigeren. Dit recht moet, evenals de andere rechten, door de verwerkingsverantwoordelijke gefaciliteerd worden;

 Recht op vergetelheid en op beperking van de verwerking. Een betrokkene heeft het recht om zijn persoonsgegevens te laten wissen en niet verder te laten verwerken, wanneer de persoonsgegevens niet meer noodzakelijk zijn voor de doeleinden waarvoor ze oorspronkelijk zijn verzameld of

(22)

22

verwerkt. Dit recht kan geëffectueerd worden door het intrekken van verleende toestemming en door het maken van bezwaar tegen de verwerking.

 Recht op overdraagbaarheid van gegevens. Wanneer de verwerking van persoonsgegevens

geautomatiseerd plaats vindt met als grondslag een overeenkomst of verstrekte toestemming, heeft een betrokkene het recht om de over hem betreffende persoonsgegevens bij de

verwerkingsverantwoordelijke op te vragen. De verwerkingsverantwoordelijke wordt dan geacht de persoonsgegevens in een gestructureerd, gangbaar, machine leesbaar en gangbaar formaat uit te leveren aan de betrokkene. Door dit recht wordt de zeggenschap van de betrokkene over zijn eigen gegevens versterkt.

 Recht van bezwaar. Op het moment dat persoonsgegevens worden verwerkt ten behoeve van direct marketing heeft de betrokkene het recht hiertegen bezwaar te maken. De

verwerkingsverantwoordelijke is verplicht dit recht uitdrukkelijk naar de betrokkene toe te

communiceren, voorafgaand aan de verwerking. Informatie hieromtrent dient op duidelijke wijze en gescheiden van overige informatie, verstrekt te worden aan de betrokkene.

 Kennisgevingsplicht. De betrokkene behoort iedere vorm van rectificatie, verwijdering of

verwerkingsbeperking door de verwerkingsverantwoordelijke gecommuniceerd te krijgen (Afdeling advisering van de Raad van State, 2016).

Door de verwerkingsverantwoordelijke dienen maatregelen te zijn ingesteld om de betrokkene te faciliteren bovenstaande rechten uit te oefenen. Op het moment dat persoonsgegevens via

elektronische weg worden verwerkt, behoren verzoeken ook elektronisch ingediend te kunnen worden. De verwerkingsverantwoordelijke is verplicht onvertraagd, uiterlijk binnen een maand, op een verzoek van de betrokkene te reageren, en om met een uiteenzetting te komen van redenen op het moment dat aan een dergelijk verzoek geen gehoor wordt gegeven (Afdeling advisering van de Raad van State, 2016).

Thema 6. Beveiliging

Tijdens het verwerken van persoonsgegevens moet de beveiliging en vertrouwelijkheid van de gegevens gegarandeerd worden. Om de beveiliging van persoonsgegevens te beschermen kunnen er tal van beheersingsmaatregelen ingesteld worden. Naar aanleiding van de invoering van de Wbp in 2001 zijn hiervoor beveiliging maatregelen opgesteld, die gegroepeerd zijn naar 14 soorten categorieën (College Bescherming Persoonsgegevens, 2005). Deze categorieën luiden als volgt: 1. Beveiligingsbeleid, beveiligingsplan en implementatie van het stelsel van procedures en maatregelen 2. Administratieve

(23)

23

organisatie 3. Beveiligingsbewustzijn 4. Eisen te stellen aan personeel 5. Inrichting van de werkplek 6. Beheer en classificatie van de ICT infrastructuur 7. Toegangsbeheer en –controle 8. Netwerken en externe verbindingen 9. Gebruik van software 10. Bulkverwerking van gegevens 11. Bewaren van gegevens 12. Vernietiging van gegevens 13. Calamiteitenplan 14. Uitbesteding van verwerking van persoonsgegevens.

Voor het beheersen van de veiligheid van persoonsgegevens wordt in dezelfde uitgave door het College Bescherming Persoonsgegevens aangegeven dat de minister van Justitie de voorkeur heeft uitgesproken technische beheersingsmaatregelen te prefereren boven organisatorische beheersingsmaatregelen. De achtergrond hiervan is dat technische beheersingsmaatregelen doeltreffender zouden zijn.

Thema 7. Verwerking door een bewerker

Op het moment dat een verwerkingsverantwoordelijke verwerkingen door een verwerker laat verrichten, is dit alleen toegestaan als de verwerker voldoende garanties kan bieden aan de

verwerkingsverantwoordelijke. Garanties op het gebied van beveiliging van de verwerking en garanties omtrent deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat verwerking plaats vindt in lijn met de uitgangspunten in de AVG (Afdeling advisering van de Raad van State, 2016).

De uitbestede werkzaamheden aan de verwerker, dienen in een overeenkomst tussen de verwerker en verweringsverantwoordelijke vastgelegd te worden. In deze overeenkomst moet in ieder geval het onderwerp en de duur van de verwerking worden vastgelegd, evenals de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën van de betrokkenen. Daarnaast moet duidelijk uit de overeenkomst blijken wat de specifieke taken en verantwoordelijkheden van de verwerker zijn en wat het risico is in verband met de rechten en vrijheden van betrokkenen. Wanneer de verwerking door de verwerker ten behoeve van de verwerkingsverantwoordelijke zijn afgerond, moet de verwerker de persoonsgegevens aan de verwerkingsverantwoordelijke teruggeven of wissen (Europees Parlement en de Raad, 2016).

Thema 8. Gegevensverkeer met landen buiten de Europese Unie

Als een consequentie van internationale samenwerkingen en internationaal handelsverkeer, vindt er in toenemende mate verkeer van persoonsgegevens plaats van en naar landen buiten de EU en van en naar internationale organisaties. Ondanks dat landen buiten de EU en internationale organisaties niet onder de jurisdictie van de EU vallen en daarmee niet aan de AVG hoeven te voldoen, behoort de bescherming van persoonsgegevens van personen uit de EU, ook buiten de jurisdictie, gehandhaafd te

(24)

24

worden. Verkeer van persoonsgegevens van en naar landen buiten de EU en internationale organisaties is daarom alleen toegestaan indien deze landen of organisaties dezelfde mate van bescherming

garanderen als landen binnen de EU. De Europese Commissie heeft een lijst met landen en

internationale organisaties opgesteld die hier aantoonbaar aan voldoen. Verkeer van persoonsgegevens van en naar deze landen en organisaties op de lijst, mag zonder verdere toestemming plaatsvinden. Wanneer een verwerkingsverantwoordelijke of een verwerker gegevensverkeer tot stand wil brengen met een land of organisatie die niet op deze lijst staan, zullen zij aanvullende maatregelen moeten nemen om adequate bescherming van de persoonsgegevens de garanderen. Deze aanvullende

maatregelen kunnen onder andere bestaan uit bindende bedrijfsvoorschriften en standaardbepalingen inzake gegevensbescherming die zijn goedgekeurd door de Europese Commissie (Europees Parlement en de Raad, 2016).

Thema 9. Verantwoordingsplicht

Voor iedere verwerking van persoonsgegevens die door of namens de verwerkingsverantwoordelijke wordt uitgevoerd, moet de verantwoordelijkheid en aansprakelijkheid worden vastgesteld. De

verwerkingsverantwoordelijke is verplicht passende en effectieve maatregelen te nemen om daarmee te bewerkstelligen dat ieder verwerking in lijn met de AVG wordt uitgevoerd. Deze maatregelen kunnen o.a. de vorm aannemen van het minimaliseren van de verwerking van persoonsgegevens, het zo snel mogelijk pseudonimiseren van persoonsgegevens, transparantie omtrent de functies die een rol spelen bij de verwerking van persoonsgegevens, betrokkene in staat stellen controle uit te oefenen op de informatieverwerking en door de verwerkingsverantwoordelijke in staat te stellen

beveiligingskenmerken te creëren en te verbeteren (Afdeling advisering van de Raad van State, 2016). De verwerkingsverantwoordelijke behoort daarnaast, actief, aan te kunnen tonen dat deze maatregelen doeltreffend zijn. Er dienen richtlijnen te worden opgesteld omtrent de uitvoering van de passende maatregelen. Door middel van goedgekeurde gedragscodes, goedgekeurde certificering en aanwijzingen van de FB kunnen deze richtlijnen versterkt worden.

Om aan te kunnen tonen dat de uitgangspunten gesteld in de AVG nageleefd worden, dient de verwerkingsverantwoordelijke en, indien van toepassing, de verwerker een register bij te houden met daarin alle verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden. Wanneer de AP hierom verzoekt, dient iedere verwerkingsverantwoordelijke en iedere verwerker het register te verstrekken aan de AP in het kader van het houden van toezicht op de

(25)

25

Andere maatregelen die de verwerkingsverantwoordelijke ingericht moet hebben in het kader van zijn aansprakelijkheid zijn de PIA en de meldplicht om data lekken te melden (Europees Parlement en de Raad, 2016).

(26)

26

2.2 Het COSO Framework

2.2.1 Interne beheersing

Wanneer een organisatie niet voldoet aan de verwerkingseisen zoals gesteld in de AVG en uitgewerkt in hoofdstuk 2.1, loopt de organisatie juridische-, financiële en reputatie risico’s. Om deze risico’s te beheersen, als onderdeel van de doelstelling om te voldoen aan weten regelgeving, zal de organisatie een systeem van interne beheersing moeten inrichten (B. Majoor, 2010). In het COSO-rapport Internal control-integrated framework, van de Committee of Sponsoring Organizations of the Treadway

Commission, wordt interne beheersing als volgt omschreven (COSO, 2013):

‘Internal control is a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance’

Uit deze definitie volgt dat interne beheersing:

 gericht is op het bereiken van doelstellingen in een of meer categorieën, namelijk operations, rapportages en het voldoen aan weten regelgeving;

 een proces is dat bestaat uit lopende zaken en activiteiten;

 bewerkstelligd wordt door mensen, niet alleen door beleid en procedurehandboeken, systemen en formulieren;

 kan voorzien in redelijke zekerheid, maar niet in absolute zekerheid, richting senior management en de raad van bestuur;

 aanpasbaar is naar de structuur van de entiteit. Zowel toepasbaar voor de gehele organisatie, een bepaalde dochteronderneming, divisie, afdeling of proces (COSO, 2013).

Het COSO Framework voorziet in een raamwerk voor interne beheersing door een organisatie. Derhalve wordt door internal auditors vaak gebruik gemaakt van het COSO Framework om de interne beheersing van de te controleren entiteit in beeld te brengen, te analyseren en te beoordelen (Claassen, 2009).

2.2.2 Beoordeling van de interne beheersing omtrent compliance met de AVG:

Privacy-audit

Voor het in beeld brengen, analyseren en beoordelen van de interne beheersing van privacy vereisten, kan een privacy-audit uitgevoerd worden. Tijdens het uitvoeren van een privacy-audit wordt onderzocht of privacy risico’s reeds adequaat worden beheerst door de maatregelen van interne beheersing en

(27)

27

welke aanvullende beheersingsmaatregelen eventueel nog moeten worden getroffen (Claassen, 2009). Door het verrichten van een privacy-audit en het rapporteren hierover aan de directie, wordt zekerheid verschaft over de mate waarin de organisatie in lijn met verwerkingsvereisten uit de AVG opereert. Dit geeft het bestuur en het (hoger) management inzicht in de huidige blootstelling aan de juridische- en financiële risico’s die gepaard gaan met non-compliance met de AVG. Daarnaast draagt het laten uitvoeren van een privacy-audit bij aan het vertrouwen dat personen hebben omtrent de verwerking van hun persoonsgegeven door de desbetreffende organisatie (E. Makri, 2015) en kan de organisatie actief, in lijn met het aansprakelijkheidsvereiste in artikel 24 van de AVG, aan tonen dat de

verwerkingseisen op een doeltreffende manier in de organisatie zijn geïmplementeerd.

Voordat een privacy-audit aanvang vindt, moet allereerst vastgesteld worden door de auditor dat binnen het te auditen object persoonsgegevens worden verwerkt en de AVG daarop van toepassing is (CBP, NIVRA, NOREA, 2005). Hiervoor dient vastgesteld te worden of er sprake is van een

persoonsgegeven in de zin van artikel 4 punt 1 van de AVG, er sprake is van het verwerken van persoonsgegevens, zoals opgenomen in artikel 4 punt 2 AVG en de verwerking binnen het

toepassingsbereik, zoals gesteld in artikel 2 en 3, van de AVG valt (Het Europees parlement en de raad van de Europese Unie, 2016).

2.2.3 Het COSO Internal Control-Integrated Framework

Inleiding

Interne beheersing helpt organisaties doelstellingen te bereiken, prestaties te evenaren en te verbeteren. Het COSO Internal Control-Integrated Framework stelt organisaties in staat effectief en efficiënt een systeem van interne beheersing te ontwikkelen dat in staat is, zich aan te passen aan veranderende omgevingen en risico’s tot een acceptabel niveau te mitigeren. Daarnaast ondersteunt het Framework de besluitvorming en het bestuur. Het COSO Framework ondersteunt daarnaast, op een niet dwingende wijze, managers, externe stakeholders en internal auditors in hun

verantwoordelijkheden met betrekking tot interne beheersing. Het Framework doet dit door te laten zien hoe een systeem van interne beheersing opgebouwd kan worden en door inzicht te geven wanneer interne beheersing daadwerkelijk effectief wordt toegepast (COSO, 2013).

Het oorspronkelijke COSO Framework dateert uit 1992 en is opgesteld door het Committee of Sponsoring Organizations of the Treadway Commission (hierna: COSO). COSO is een private-sector initiatief dat gesponsord en gefinancierd wordt door vijf organisaties, waaronder het IIA (D.J. Anderson,

(28)

28

2015). Het oorspronkelijke model werd breed geaccepteerd en gebruikt over de gehele wereld. Het werd gezien als het leidende model voor het ontwerpen, implementeren en uitvoeren van interne beheersing en het onderzoeken van de effectiviteit van de interne beheersing (COSO, 2013). Sinds 1992 zijn er veel jaren verstreken en in die jaren is er veel veranderd. Bedrijfsprocessen zijn complexer

geworden, de technologie is leidend geworden en de wereld is in toenemende mate geglobaliseerd. Ook zijn stakeholders steeds meer betrokken geraakt bij organisaties, waarbij ze een steeds grotere mate van transparantie en verantwoordelijkheid verwachten omtrent de integriteit van het systeem van interne beheersing dat besluitvorming en beleid van de organisatie ondersteunt. Om op deze

veranderingen in te anticiperen, is het model door de jaren heen aangepast (Claassen, 2009). De meest recente aanpassing aan het COSO Framework, relevant voor dit onderzoek, dateert uit 2013. Zoals het model in 2013 vorm is gegeven, geldt in dit onderzoek als uitgangspunt. Het COSO Framework is een onderdeel van het COSO ERM – model. Het COSO ERM model omvat een grotere scope dan alleen interne beheersing (McGladrey, 2013).

Het COSO Framework is te visualiseren als een kubus, zie figuur 1. Middels de kubus worden relaties weergegeven tussen doelstellingen die een organisatie nastreeft te bereiken, componenten die

weergeven wat nodig is om de doelstelling(en) te bereiken en tot slot de mogelijke structuren van het te auditen object.

Figuur 1. Weergave COSO Framework (COSO, 2013). Vijf componenten, 17 principes en 81 focuspunten

Het COSO Framework beschrijft vijf componenten van interne beheersing. De vijf componenten zijn onderling afhankelijk van elkaar, door een veelheid van onderlinge relaties en verbindingen. Voor een goed functionerend systeem van interne beheersing, zullen alle vijf de componenten aanwezig en

(29)

29

werkend moeten zijn. Om invulling te geven aan de inhoud van de componenten en om inzichtelijk te maken wat er vereist is om een component goedwerkend te implementeren, zijn er 17 verschillende principes geïntroduceerd in het COSO Framework. Deze principes ondersteunen de organisatie bij het inrichten van de interne beheersing (H. den Boer, 2012). Het uitgangspunt is dat alle principes aanwezig moeten zijn om een component als aanwezig en werkend te beoordelen. Alleen als een principe, in een uitzonderingsituatie, niet van toepassing is op een entiteit, hoeft een principe niet geïmplementeerd te worden (McGladrey, 2013). In een soortgelijke relatie als dat principes tot de componenten staan, staan focuspunten tot principes. Er zijn 81 focuspunten, verdeeld over de 17 principes, die een organisatie kunnen helpen in het ontwerpen, implementeren en onderhouden van interne beheersing en

ondersteuning bieden wanneer wordt onderzocht of principes aanwezig zijn en goed functioneren. In tegenstelling tot principes, hoeft niet aan alle focuspunten voldaan te worden om een goed systeem van interne beheersing te hebben (COSO (2), 2013). De focuspunten geven handvatten hoe de principes, en aldus de componenten, in de praktijk kunnen worden ingevuld om de interne beheersing vorm te geven (McNally, 2013).

Wanneer bij een component één of meerdere relevante principes niet aanwezig zijn of niet werken, of wanneer de componenten niet op elkaar inwerken, is er sprake van een belangrijke tekortkoming. Wanneer er sprake is van een belangrijke tekortkoming heeft de organisatie niet voldaan aan de vereisten van een effectief systeem van interne beheersing (COSO (2), 2013). Hieronder zijn de vijf componenten beschreven en de verschillende bijbehorende principes weergegeven. In bijlage 5 zijn alle focuspunten per principe weergegeven.

1. Beheersomgeving

Het component ‘beheersomgeving’ is het geheel van normen, processen en structuren, ingesteld door het bestuur en het senior management, die de basis van het systeem van interne beheersing vormen binnen de gehele organisatie. De raad van het bestuur en het (senior) management zullen deze (ethische) normen en waarden moeten uitdragen en daarnaast moeten tonen hoe belangrijk interne beheersing binnen de organisatie is (tone at the top). Daarnaast zal het bestuur moeten aangeven wat er van de medewerkers, en verschillende onderdelen van de organisatie, wordt verwacht betreffende interne beheersing. Dit kan, onder andere, middels het verstrekken van gedragsregels. De

‘beheersomgeving’ beschrijft de organisatie structuur, de toewijzing van gezag en

verantwoordelijkheden en de parameters die het bestuur in staat stelt, onafhankelijk, zijn

(30)

30

ontwikkelen en behouden van competente medewerkers vallen onder dit onderdeel van de interne beheersing, evenals het instellen van indicatoren, stimulansen en beloningen voor prestaties (COSO, 2013).

Onderliggende principes:

1. Toont commitment ten aanzien van integriteit en ethiek; 2. Bestuur toont aan onafhankelijk te zijn en oefent toezicht uit; 3. Management bepaalt structuur, autoriteit en verantwoordelijkheid; 4. Organisatie toont commitment ten aanzien van competentie; 5. Dwingt het afleggen van verantwoording af (COSO, 2013). 1. Risicoanalyse

Elke organisatie staat voor een groot aantal risico’s afkomstig van externe- en interne bronnen. Hierbij is een risico de kans dat een gebeurtenis zich voortdoet, waarbij het behalen van doelstellingen nadelig wordt beïnvloed. Het uitvoeren van een risicoanalyse is een dynamisch proces waarbij de risico’s geïdentificeerd en onderzocht worden. De geïdentificeerde risico’s worden afgezet tegen de vooraf vastgesteld risico tolerantie. Als gevolg hiervan wordt bepaald hoe er met een bepaald risico omgegaan wordt: vermijden, verminderen, overdragen of accepteren. Een voorwaarde voor het uitvoeren van een risicoanalyse is dat er organisatie doelstellingen zijn vastgesteld. De vastgestelde doelstellingen behoren voldoende duidelijk te zijn om zo risico’s die samenhangen met het behalen van de doelstellingen te kunnen identificeren en analyseren. De risicoanalyse dwingt af dat het bestuur de impact van mogelijke externe veranderingen meeneemt bij het bepalen van de risico’s, evenals veranderingen binnen de organisatie zelf die de interne beheersing kunnen ondermijnen (COSO, 2013). Na uitvoering van een adequate risicoanalyse, waarin de bedreigen zijn geïnventariseerd, kunnen concrete maatregelen gedefinieerd worden (Samenwerkingsverband Audit Aanpak / Wergroep Privacy Audit, 2001). Onderliggende principes:

6. Specificeert relevante doelstellingen; 7. Identificeert en analyseert risico; 8. Beoordeelt frauderisico;

(31)

31 2. Beheersactiviteiten

Beheersactiviteiten zijn de activiteiten die worden vastgesteld door middel van beleid en procedures, om ervoor te zorgen dat de richtlijnen van het management om risico’s te mitigeren worden gevolgd om de doelstellingen te kunnen verwezenlijken. Beheersactiviteiten worden binnen alle niveaus van een organisatie, binnen verschillende fasen van bedrijfsprocessen, binnen de technologische omgeving van de organisatie en op verschillende manieren uitgevoerd. Beheersactiviteiten kunnen preventief of detectief van aard zijn en kunnen zowel handmatig als geautomatiseerd uitgevoerd worden. Voorbeelden van algemeen erkende beheersactiviteiten zijn het vier ogen principe, verificaties,

reconciliatie en functioneringsgesprekken. Bij het selecteren en uitvoeren van beheersactiviteiten wordt de maatregel ‘functiescheiding’ altijd geprobeerd meegenomen te worden. Waar de scheiding van taken niet praktisch is, bijvoorbeeld binnen een hele kleine afdeling, selecteert en ontwikkelt het bestuur alternatieve beheersingsmaatregelen. In het onderzoek uitgevoerd door W. Nanninga, A. Ougajou en H. Koetsier voor het opstellen van het Privacy Control Framework op basis van het Maes model, is

onderzocht wat wereldwijd de meest gebruikte beheersingsmaatregelen zijn, gericht op het beheersen van privacy risico’s. Als resultaat van dit onderzoek hebben zij een lijst met in totaal 31

beheersingsmaatregelen opgesteld (Mr. W.R. Nanninga, 2017). Deze lijst is opgenomen in bijlage 3 van deze scriptie.

10. Selectie en ontwikkeling van beheersactiviteiten;

11. Selectie en ontwikkeling van algemene beheersingsmaatregelen met betrekking tot technologie; 12. Beheersactiviteiten worden uitgevoerd via beleidsmaatregelen en procedures.

3. Informatie & Communicatie

Om taken en verantwoordelijkheden omtrent interne beheersing adequaat uit te voeren is informatie, en de communicatie daarvan, noodzakelijk. De informatie behoort relevant te zijn voor degene die de informatie ontvangt. Dit brengt met zich mee dat geanalyseerd dient te worden welke functie gevoed behoord te worden met welke informatie. Management verwerft en gebruikt informatie van zowel interne- als externe bronnen, om het functioneren van andere componenten van interne beheersing te ondersteunen. Informatie staat nooit op zichzelf, informatie stroomt door de organisatie heen waarbij er veel dwarsverbanden kunnen worden gemaakt. Voorbeelden van informatie zijn KPI-rapportages, incidentrapportages, auditrapporten en risk-scorecards. Communicatie is het continue proces waarbij relevante informatie wordt verstrekt, verkregen, en gedeeld (COSO, 2013).

(32)

32 Onderliggende principes:

13. Er wordt gebruik gemaakt van relevante informatie; 14. Er vindt interne communicatie plaats;

15. Er vindt externe communicatie plaats. 4. Monitoring activiteiten

Monitoring activiteiten moeten worden uitgevoerd om vast te stellen dat het systeem van interne beheersing adequaat is in opzet, bestaan en werking. Alle componenten moeten adequaat functioneren voor de situatie waarvoor ze zijn ontworpen. Monitoring activiteiten kunnen zowel worden

geïmplementeerd binnen processen en managementactiviteiten (voortdurende evaluatie) als separaat worden opgezet en daarmee periodiek worden uitgevoerd. Afhankelijk van de risicoanalyse en de effectiviteit van de voortdurende monitoringsactiviteiten variëren separate monitoring activiteiten in omvang en frequentie. Bevindingen van mogelijke tekortkomingen, als resultaat van de monitoring activiteiten, moeten geëvalueerd worden tegen vastgestelde criteria en indien toepasselijk worden de tekortkomingen doorgegeven aan het management en het bestuur.

16. Er worden voortdurende en/of aparte evaluaties uitgevoerd; 17. Tekortkomingen worden geëvalueerd en gecommuniceerd. De rol van de internal auditor binnen het COSO Framework

Het COSO Framework, zoals beschreven in de voorafgaande paragraaf, schetst de componenten, de principes en de focus punten die vereist zijn voor een adequate systematiek van interne beheersing binnen een organisatie. Binnen het COSO Framework worden de beschreven interne

beheerssactiviteiten echter niet toegewezen aan bepaalde functies binnen een organisatie. Om hier meer richting aan te kunnen geven, heeft COSO samen met het IIA een koppeling gemaakt tussen het COSO Framework en het Three Lines of Defence-model. Het Three Lines of Defence model geeft weer hoe taken en verantwoordelijkheden, met betrekking tot het beheersen van risico’s, kunnen worden toegewezen aan- en worden gecoördineerd door, de verschillende lijnen binnen een organisatie (D.J. Anderson, 2015). In bijlage 6 zijn de activiteiten die uitgevoerd moeten worden door de derde lijn, de internal audit functie, per principe weergegeven.

(33)

33

Hoofdstuk 3. Analyse

3.1 Worden alle verwerkingseisen onder de AVG gedekt door een van de

negen thema’s?

In hoofdstuk twee zijn alle verwerkingseisen, als gesteld in de AVG, gebundeld tot negen thema’s. De keuze voor deze negen thema’s is gebaseerd op de theorie: het privacy raamwerk uit 2005 en de algemeen erkende privacy domeinen van de OECD. Om te kunnen vaststellen dat inderdaad alle verwerkingseisen uit de AVG aan een van deze negen thema’s toewezen kan worden, heeft er een analyse van de wetgeving plaatsgevonden. Per artikel uit de AVG is gekeken naar de exacte inhoud ervan, beoordeeld of er een verwerkingseis in staat en zo ja of de verwerkingseis aan een van deze negen thema’s toe te rekenen is. De analyse van de relaties tussen de artikelen in de AVG en de negen thema’s is als volgt weer te geven:

Artikel AVG 1. Trans-paranti e 2. Doel-bindin g 3. Rechtmatig e grondslag 4. Kwalitei t 5. Rechten van de betrok-kenen 6. Bevei -liging 7. Verwerkin g door een bewerker 8. Gegevens -verkeer met landen buiten de Europese Unie 9. Aan-sprake -lijkhei d H1. Algemene bepalingen. 1 2 3 4 H2. Beginselen 5 x x x x 6 x 7 x 8 x 9 x 10 x 11 x

H3. Rechten van Betrokkenen

12 x 13 x 14 x 15 x 16 x 17 x

De bescherming van persoonsgegevens : handvatten voor het verrichten van een privacy-audit na invoering van de AVG