De legitieme doelen van persoonsgegevens

We weten inmiddels dat we serieus na moeten denken over de wijze waarop we de persoonsgegevens van onze klanten beveiligen. De Wet Bescherming Persoonsgegevens geeft daar goede kaders voor en er zijn allerlei checklists beschikbaar om na te gaan hoe goed we het doen. We haalden ook al aan dat het gaat om de legitieme doeleinden van de verzameling van persoonsgegevens.

De vraag die hier verder op ingaat is:
Worden persoonsgegevens (zowel van medewerkers als klanten) uitsluitend opgeslagen voor opgestelde en legitieme doeleinden?

Bij de Wet Bescherming Persoonsgegevens denken we al snel aan de gegevens die we van onze klanten ontvangen. Toch is het ook goed om nadrukkelijk stil te staan bij de gegevens van medewerkers. Deze vallen onder dezelfde wet en deze gegevens verzamelen we wellicht met andere doeleinden dan de gegevens van de klanten.

De Wet Bescherming Persoonsgegevens verbiedt niet om te communiceren met klanten, medewerkers en andere personen maar stelt wel nadrukkelijk kaders waarbinnen we moeten acteren. Het belangrijkste kader maken we echter zelf en dat is de omschrijving van de legitieme doeleinden waar we die gegevens voor verzamelen.

Vaak is er een grijs gebied waar we ons op glad ijs kunnen bevinden. We willen claims en onnodige negatieve persberichten voorkomen. juist daarom is het goed om de doelen duidelijk te stellen, de grijze gebieden zo smal mogelijk te houden, er met de personen in kwestie over te communiceren en bij twijfel de gegevens maar vooral niet te gebruiken.

Hebben we de doelen inderdaad duidelijk en stemmen de personen daar mee in (nee, niet onder lichte dwang omdat ze niet anders kunnen, maar open en transparant), dan kunnen we nadenken over scheiding in de systemen die we hebben en scheiding in functies om te voorkomen dat men in de verleiding komt om ze toch te gebruiken. Hebben we een bepaalde monopolie positie in de markt dan is daar veelal aanvullende regelgeving voor en moeten we vanuit controlerende instanties aan aanvullende beveiligingsmaatregelen voldoen. Hebben we die monopolie positie niet, dan zouden we onze verantwoordelijkheid moeten nemen en zelf na moeten denken over de aanvullende maatregelen die we willen nemen.

We brengen dus scheiding aan in de systemen, maar brengen ook hier functiescheiding aan. De ene afdeling hoeft niet noodzakelijkerwijs te kijken in de gegevens van de andere afdeling. Het is natuurlijk erg aanlokkelijk om dat vooral wel te doen…maar het ging om vertrouwen van de klant, weten we nog? En hoe vinden we het zelf als onze gegevens te koop zijn?

Schaden we dat vertrouwen dan zijn we ze kwijt, we komen negatief in het nieuws en nog meer mensen zullen besluiten over te stappen naar een andere aanbieder. De negatieve spiraal is ingezet en kan enorm snel gaan. We zijn gewaarschuwd en willen er dus minimaal over hebben nagedacht.

De grenzen op zoeken is helemaal niet erg, het kan zelfs erg spannend zijn. We moeten er alleen voor proberen te zorgen dat we die ene grens niet overgaan. Dat doen we door vooraf de doelen te stellen en zoals met zoveel doelen maken we die ook weer zo SMART mogelijk. We verzamelen alleen die gegevens die we echt nodig hebben en bewaren ze niet langer dan noodzakelijk. Daarbij gebruiken we ze binnen de door onszelf gestelde kaders en we zijn al een heel stuk op weg.

De Wet Bescherming Persoonsgegevens

Op het gebied van informatiebeveiliging zijn (nog) niet heel erg veel relevante wetten waaraan we ons verplicht moeten houden. Uit algemene wetgeving kunnen we natuurlijk wel afleiden dat we ons als goed huisvader dienen te gedragen. In hoeverre we “goed” dan nader definiëren is aan onszelf. Toch is er minimaal een wet waaraan we ons moeten houden als we gegevens van personen ontvangen, opslaan en hopelijk tijdig weer verwijderen.

De vraag die hierbij hoort is:
Wordt regelmatig getoetst of de bepalingen van de Wet Bescherming Persoonsgegevens worden nageleefd?

Onze klanten kopen bij ons omdat ze ons vertrouwen (of omdat ze nu eenmaal geen andere aanbieder hebben, maar daar gaan we voor nu even niet vanuit). Als dat zo is dan mogen wij dat vertrouwen niet schaden, dat is niet alleen niet netjes maar zal er ook voor zorgen dat de klanten massaal hun biezen pakken en nooit meer terug zullen keren.

Kennen we niet allemaal de regel dat het behouden van een klant vele malen makkelijker is dan het werven van een nieuwe? Dat mag dan vanuit verkoop en marketing helemaal waar zijn, maar vanuit informatiebeveiliging moeten we daar dan ook actief een bijdrage aan leveren. Het is onze taak om de gegevens van personen goed beveiligd te houden.

Dat klinkt misschien niet zo ingewikkeld en wordt ook als niet meer dan logisch ervaren. Toch zien we in de praktijk vele incidenten waarbij de privé gegevens van klanten op straat zijn geraakt. Systemen worden gehackt, databases worden openbaar en USB-sticks met gegevens worden verloren. Allemaal zaken waar we bij informatiebeveiliging natuurlijk stil bij willen staan.

Maar we mogen ook niet vergeten dat we de persoonsgegevens opslaan met een bepaald, vooraf gesteld en bekend gesteld, doel. Buiten dat doel om mogen we die gegevens niet gebruiken voor bijvoorbeeld commerciële doeleinden…tenzij we daar expliciet toestemming voor hebben gekregen.

Doen we het op een handige manier dan mogen we die gegevens intern nog op een redelijke wijze gebruiken, het wordt al anders als we besluiten die gegevens ook aan anderen te verkopen. Natuurlijk kunnen we ergens in de kleine lettertjes opnemen dat dat ons recht is en als men daar niet mee instemt dat de deal dan helaas niet door kan gaan. Maar hiermee hebben we toch redelijk boter op ons hoofd. Laten we eerlijk zijn, hoe lang geleden was het dat jij zelf de kleine lettertjes bij een contract hebt gelezen? Lang? Nooit?

Vertrouwen is goed, controle is beter. Heb je zelf wel eens je persoonsgegevens in moeten vullen en werd je daarna verrast met allerlei reclamemateriaal of telefoontjes? Grote kans dat je gegevens verkocht zijn. Wil je het controleren dan kun je natuurlijk je persoonsgegevens zodanig kenmerken dat je kunt herleiden waar je ze hebt ingevuld en hoe die dan weer zijn verkocht. Je kunt dat bijvoorbeeld doen door op het formulier eens een andere voorletter in te vullen of bijvoorbeeld de eerste twee voorletters van je voornaam. Moet je eens doen en dan kijken welke adresetiketten daar wel erg mee overeen komen.

Moet je digitaal je gegevens ergens achterlaten dan kun je natuurlijk altijd een gratis emailadres aanmaken bij Hotmail, Gmail of iedere andere gratis aanbieder. Die kun je dan mooi gebruiken als je weer eens op een site je adres moet achterlaten. De SPAM komt dan vele malen eerder daar terecht dan in de mailbox die je voor meer serieuze zaken gebruikt.

Als we terug komen op het feit waarom men bij ons koopt dan gaat het er dus om dat ze ons vertrouwen. Dat vertrouwen mogen we niet te grabbel gooien omdat we dan de deksel lelijk op onze neus kunnen krijgen. Natuurlijk doen we er met allerlei beveiligingsmaatregelen van alles aan om die gegevens te beschermen (toch?), maar daarnaast zullen we dus met de verkoop en marketing afdeling in overleg moeten om legitiem gebruik van die gegevens vast te leggen.

Informatiebeveiliging: wet- en regelgeving

Het is maar goed dat het vandaag vrijdag is, want we zijn aanbeland bij een onderwerp dat al snel als erg droog ervaren wordt. De wet- en regelgeving. Ik ben geen jurist dus kan het hier eigenlijk alleen maar over de hoofdlijnen en de mogelijke aanpak hebben. Er wordt dan ook niet ingegaan op allerlei specifieke artikelen en lidnummers. Toch is het een aspect waar we niet aan ontkomen, dus de vraag die we ons moeten stellen is:

Is de wet- en regelgeving, waaraan de organisatie moet voldoen, inzichtelijk?

Een voordeel (of nadeel, het is maar net hoe je er tegenaan kijkt) is dat er niet heel veel expliciete wet- en regelgeving aanwezig is waaraan organisaties moeten voldoen op het gebied van de informatiebeveiliging. Er is een Wet Bescherming Persoonsgegevens, een Telecom Wet, een Wet Computercriminaliteit en misschien kunnen we ook nog wel wat vinden in de Grondwet en de Arbo Wet.

Belangrijk om te onderkennen is dat de wet- en regelgeving niet ons hoofdvakgebied is. We moeten dan ook niet zelf gaan worstelen met allerlei artikelen in de wetten, maar moeten onze juridische afdeling vragen ons te helpen. Net als wij hen helpen bij het inrichten van hun beveiliging.

Wij zijn er verantwoordelijk voor om onze beveiliging zo in te richten dat aan de wet- en regelgeving wordt voldaan. Het lijnmanagement moet ons beleid uitvoeren en er dus voor zorgen dat de medewerkers binnen de kaders blijven en onze juridische afdeling ondersteunt ons bij het inzichtelijk maken van de wet- en regelgeving en met de doorvertaling van al die wetteksten naar onze praktijk situatie.

Hieruit blijkt maar weer dat beveiliging geen losstaand aspect of losstaande afdeling is maar juist goed samen moet werken met andere afdelingen binnen de organisatie. Aan de ene kant met de lijnorganisatie maar juist ook met de andere stafafdelingen. Gezamenlijk moeten we er voor zorgen dat de directie “in control” is, we hebben daarbij allemaal hetzelfde doel (als het goed is) en een andere verantwoordelijkheid. Al die taken en verantwoordelijkheden bij elkaar zorgen voor een succesvolle organisatie…die aan de wet- en regelgeving voldoet.

De politie moet een bekeuring krijgen…

De controlerende macht (de politie) overtreedt de wet. Wie gaat de bekeuringen uitdelen?

Het College Bescherming Persoonsgegevens (CBP) concludeert na onderzoek dat de KLPD in strijd met de wet handelt bij het invoeren van politiegegevens van verdachten in het Europol Informatiesysteem (EIS)…Zo worden onvoldoende maatregelen getroffen om te waarborgen dat de politiegegevens juist en nauwkeurig zijn. Er is bijvoorbeeld geen controle of aan de opnamecriteria is voldaan..Daarnaast onderneemt het Korps landelijke politiediensten (KLPD) onvoldoende actie om ervoor te zorgen dat de gegevens worden verwijderd of vernietigd zodra zij niet langer noodzakelijk zijn of wanneer de wet eist dat de gegevens verwijderd worden (bron).

Je gaat er toch vanuit dat de overheid zorgvuldig met je gegevens omgaat. Ja ik weet het, daar zijn al vele discussies over gevoerd en al snel wordt gezegd dat wie niets te verbergen heeft ook niets te vrezen heeft. Ja ja, geloof me ik heb weinig te verbergen maar krijg steeds grotere rillingen als ik dit soort berichten lees. Meer en meer gegevens worden opgeslagen in systemen waar we geen zicht op hebben, we moeten er maar op vertrouwen dat de gegevens goed beveiligd zijn…niet dus. We krijgen een elektronisch patiëntendossier, de OV-chip wordt ons ook door de strot geduwd en de politie houdt ook nogal wat van ons bij. Combineer alle gegevens en je kunt een aardig profiel opmaken.

Juist bij een instantie als de politie ga je er toch vanuit dat het allemaal goed geregeld is. Dat ze de gegevens goed checken en dat ze verwijderd worden als ze niet meer nodig zijn. Het kan nogal een impact hebben als je onterecht in deze systemen voorkomt. Leg dat maar eens uit als je staande wordt gehouden. Een lastig verhaal en jij zit een nachtje op water en brood. Zeker als het een Europol systeem is, ik weet niet hoe goed bijvoorbeeld jouw Frans is, maar ik kan net een stokbrood bestellen en zeker niet uitleggen dat ik niet degene ben die in het systeem staat.