De cruciale rol van beleid

De wil en het bewustzijn binnen organisaties om informatiebeveiliging en privacy te verbeteren groeit. Een hogere bescherming van (persoons)gegevens implementeren kan best een uitdaging zijn, want waar moet je beginnen? In dit artikel leggen we uit waarom een informatiebeveiligings- en privacybeleid (IB&P-beleid) belangrijk is als fundament en hoe je tot een goed beleid komt.

Waarom een IB&P-beleid?

Het IB&P-beleid zorgt voor transparantie en vertrouwen bij betrokkenen (inwoners, klanten, medewerkers). Intern geeft het richting voor verdere invulling op tactisch en operationeel niveau. Het IB&P-beleid ondersteunt in het realiseren van de organisatiedoelen en is uitgangspunt voor:

• het passend beheersen van informatiebeveiligings- en privacyrisico’s voor betrokkenen en de organisatie.
• het verhogen van de digitale weerbaarheid.
• het voldoen aan normen en wet- en regelgeving.

Is IB&P-beleid verplicht?

Organisaties die persoonsgegevens verwerken zijn verplicht om passende technische en organisatorische maatregelen te treffen. Eén van die maatregelen is een gegevensbeschermingsbeleid. Een gegevensbeschermingsbeleid is verplicht voor organisaties met risicovolle of grootschalige verwerkingen van persoonsgegevens.

Organisaties waarvoor informatiebeveiliging van groot belang is, implementeren vaak een informatiebeveiligingsnorm. Informatiebeveiligingsnormen stellen een informatiebeveiligingsbeleid verplicht. Voorbeelden van informatiebeveiligingsnormen:

• ISO27001 en ISO27002. De ISO27001 is een norm voor managementsystemen voor informatiebeveiliging. De ISO27002 is een richtlijn met informatiebeveiligingsmaatregelen als verdieping op de ISO27001. Organisaties kunnen zich hiervoor laten certificeren.
• Baseline Informatiebeveiliging Overheid (BIO). De gehele overheid heeft afgesproken aan dit normenkader voor informatiebeveiliging te voldoen. De BIO is gebaseerd op de ISO 27001 en 27002.
• NEN 7510-1 en -2. Zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie zijn wettelijk verplicht om aantoonbaar aan de NEN 7510 te voldoen. Ook deze norm is gebaseerd op de ISO 27001 en 27002.
• Normenkader Informatiebeveiliging en Privacy voor het onderwijs. Onderwijsorganisaties hebben met elkaar afgesproken dat ze zich houden aan dit normenkader.

Een IB&P-beleid draagt bij aan de verplichting tot ‘aantoonbaarheid’. Organisatie moet kunnen aantonen dat ze (persoons)gegevens verwerken in overeenstemming met de wet en beveiligingen in overeenstemming met de norm. Vanwege de samenhang van informatiebeveiliging en privacy kunnen beide onderwerpen goed gecombineerd worden in één strategisch beleid. Organisaties kunnen ook kiezen voor twee aparte beleidsdocumenten.

Ook voor organisaties waarvoor een IB&P-beleid niet verplicht is, kan het waardevol zijn om dit wel te doen. Het bewust afwegen en vastleggen welke maatregelen nodig zijn, draagt bij aan een zorgvuldige, veilige, transparante en aantoonbare verwerking van (persoons)gegevens.

Wie stelt het IB&P-beleid op?

Het orgaan die eindverantwoordelijk is voor informatiebeveiliging en persoonsgegevens, moet het IB&P-beleid opstellen. Denk aan de directie, het algemeen bestuur of het college van B&W. In de praktijk zijn het vaak de Privacy Officer (PO) en informatiebeveiligingsfunctionaris (CISO) die het beleid opstellen. Deze functionarissen hebben kennis van informatiebeveiliging en de privacywetgeving en weten wat er in het beleid moet staan. Belangrijk is dat het verantwoordelijke orgaan het IB&P-beleid officieel vaststelt.

Wat staat er in het IB&P-beleid

In de privacywetgeving en informatiebeveiligingsnormen is niet beschreven wat er in het beleid moet staan. Belangrijk is dat duidelijk wordt hoe de organisatie informatiebeveiliging en privacy borgt. Omdat elke organisatie anders is, is elk beleid ook anders.

Onderwerpen die volgens ons thuishoren in het IB&P-beleid:

1. Een beschrijving van het doel, kaders, risico’s, visie en ambitie.
2. Een beschrijving van de rollen binnen de organisatie en welke IB&P-taken en -verantwoordelijkheden daarbij horen. Om de organisatie te adviseren en ondersteunen met IB&P, zijn voldoende en kundige medewerkers nodig. Ook is betrokkenheid en sturing van bestuurders en management essentieel.
3. Een beschrijving hoe de organisatie invulling geeft aan de beginselen waaraan verwerkingen van persoonsgegevens moeten voldoen:

• Rechtmatig, behoorlijk en transparant
• Alleen voor vooraf welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden gebruikt.
• Toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor deze doeleinden.
• Juist zijn en zo nodig geactualiseerd.

• Passend beveiligd zijn.
• Een beschrijving hoe de organisatie invulling geeft aan de wettelijk verplichtte instrumenten:
  Register van verwerkingsactiviteiten
  Data Protection Impact Assessments (DPIA)
  Gegevensbescherming door ontwerp en standaard instellingen
  Afspraken maken over IB&P in overeenkomsten met partijen waarmee gegevens worden uitgewisseld

4. Een beschrijving hoe de organisatie zorgt voor een passende informatiebeveiliging. Bijvoorbeeld welke informatiebeveiligingsnorm wordt toegepast, hoe wordt omgegaan met beveiligingsincidenten, eisen aan systemen bij inkoop, monitoring, testen, back-ups en logische toegang.

5. Een beschrijving hoe de organisatie zorgt voor monitoring. Het is belangrijk om te monitoren dat de organisatie in control is en dat betrokkenen grip hebben op de verwerking van hun persoonsgegevens. Bijvoorbeeld door:

• de meldplicht Datalekken. Bij een datalek zijn persoonsgegevens onterecht vernietigd of verloren gegaan, veranderd, gedeeld of toegankelijk geweest voor anderen. Het is verplicht om datalekken te registreren in een intern datalekkenregister, ernstige datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens en betrokkenen te informeren. Een IB&P-beleid bevat daarom een beschrijving hoe de organisatie omgaat met datalekken.
• De rechten van betrokkenen. Personen hebben rechten om grip te houden op hun persoonsgegevens. Denk aan het recht op informatie, inzage, aanpassing, verwijdering en bezwaar. Een IB&P-beleid bevat daarom een beschrijving hoe de organisatie invulling geeft aan deze rechten.
• Controles en audits. Met audits en controles kan een organisatie monitoren we in hoeverre ze in control is en betrokkenen grip hebben op hun persoonsgegevens. Voor sommige organisaties zijn externe audits wettelijk verplicht of wenselijk. Een IB&P-beleid bevat een beschrijving van de controles en audits die worden uitgevoerd.
• Rapporteren. Het is belangrijk dat de verwerkingsverantwoordelijke en het management in positie worden gebracht om invulling te geven aan hun verantwoordelijkheid en hierop kunnen sturen. Daarom is in het IB&P een beschrijving van de verschillende IB&P-rapportages.

Wat is het verschil tussen beleid en een privacyverklaring?

We zien vaak dat een privacybeleid wordt verward met een privacyverklaring. Organisaties hebben een actieve plicht om personen vooraf in duidelijke en eenvoudige taal te informeren over hoe de organisatie omgaat met hun persoonsgegevens. Een veel gebruikte manier om dit te doen is in een privacyverklaring op de website. Een privacyverklaring is dus geen privacybeleid.