All Posts By

Allard Dolron

Samenwerking op het gebied van privacy

By | Publicatie

Per 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG). Dit is een Europese privacywet met als doel te zorgen voor veilige verwerking en uitwisseling van persoonsgegevens binnen de EU. Met de komst van de AVG worden niet alleen de privacyregels flink aangescherpt, maar ook de boetes kunnen vanaf dan oplopen tot 20 miljoen of 4 % van de jaaromzet. Momenteel zijn vele woningcorporaties bezig met het implementeren van maatregelen om te voldoen aan de wet. Het is goed om te zien dat privacy bij veel corporaties de nodige aandacht krijgt. Helaas ervaren deze goedwillende organisaties in de praktijk veel problemen omdat de wet abstract is. Zowel de Wbp als de AVG bevatten veel open normen. Dat wil zeggen dat bepaalde regels nog enige interpretatie vragen.

Corporaties voeren hierdoor vele discussies over wat wel en wat niet toegestaan is en welke verplichtingen er wel en niet zijn. Een goed voorbeeld daarvan is de bewerkersovereenkomst (verwerkersovereenkomst in de AVG). Zijn aannemers en deurwaarders nu bewerkers (verwerkers) of niet? Er wordt gezocht naar zekerheid, maar er is onvoldoende informatie om deze te vinden. Het gevolg hiervan is dat het implementeren van maatregelen in een traag tempo verloopt en overal dezelfde discussies worden gevoerd waarbij het resultaat vaak te wensen over laat . Dit terwijl de wettelijke eisen met de AVG alleen maar toenemen. Dat moet toch anders kunnen?

Concretiseren van open normen

Hoewel de AVG een nieuw startpunt vormt op het gebied van privacy is deze in de basis en qua opzet (open normen) gelijk aan de Wbp. Het risico bestaat dat organisaties hiermee gelijksoortige problemen gaan ervaren als bij de Wbp. De wetgever acht zelfregulering gewenst om de open normen van de wet te concretiseren. Bij zelfregulering kan worden gedacht aan het opstellen van sector brede gedragscodes en het aanstellen van een functionaris voor de gegevensbescherming (FG). Beiden moeten eerst worden goedgekeurd door de Autoriteit Persoonsgegevens (AP), de toezichthouder op de Wbp en AVG. Momenteel is er nog geen goedgekeurde gedragscode voor de woningcorporatiesbranche en zijn er slechts een aantal corporaties die een FG hebben aangesteld. In het kort houden een gedragscode en een FG het volgende in:

  • Gedragscode – In een gedragscode worden open normen van de wet voor een bepaalde sector in meer detail worden uitgewerkt. Vanuit het zelfreguleringsprincipe van de wet mogen organisaties deze zelf opstellen en bij de AP ter goedkeuring voorleggen. Als de gedragscode voldoet aan de wettelijke eisen wordt deze goedgekeurd en vervolgens gepubliceerd op de website van de AP. Gedragscodes hoeven niet op alle gebieden bindend te zijn, maar kunnen ook slechts aanbevelingen bevatten.
  • Functionaris voor de gegevensbescherming (FG) – Een FG is een onafhankelijke persoon die binnen een organisatie toezicht houdt op naleving van de Wbp (en AVG) en adviseert over privacyvraagstukken. Heeft een organisatie een FG, dan stelt de Autoriteit Persoonsgegevens (AP) zich terughoudend op. De AP behoudt echter wel alle sanctiebevoegdheden.

Kansen voor woningcorporaties

Kans 1: het opstellen van een sector brede gedragscode

Woningcorporaties hebben op het gebied van privacy vaak te maken met dezelfde vraagstukken. Het zou dus mooi zijn als er een goedgekeurde sector brede gedragscode komt. Hiermee kunnen veel onnodige discussies worden voorkomen en kan er tevens bespaard worden op (juridische) advieskosten. De Handreiking Gegevensbescherming van brancheorganisatie Aedes vormt hiervoor mogelijk een startpunt.

In de praktijk ervaren organisaties de goedkeuringsprocedure van de AP vaak als een langdurig, tijdrovend en kostbaar proces waar tot nu toe nog weinig concrete voordelen tegenover stonden. Dit is de reden waarom er op dit moment minder dan 10 goedgekeurde gedragscodes op de site van de AP staan. Uit de jaarverslagen van de AP blijkt dat zij de afgelopen jaren maximaal 4 gedragscodes per jaar beoordeeld hebben. Vervolgens is het nog de vraag of deze gedragscodes goedgekeurd worden en geldt er voor een goedgekeurde gedragscode een maximale geldigheid van 5 jaar.

Gelukkig is er ook goed nieuws. Wegens de invoering van de AVG en het toenemende belang van privacy zal de AP naar verwachting het aantal fte met 2,5 tot 3,5 keer moeten vergroten t.o.v. het huidige aantal (momenteel 72,3 fte). Hierdoor zullen gedragscode sneller behandeld kunnen worden. Dit biedt dus mogelijkheden voor sectors die hier behoefte hebben aan. Laten we hopen dat de woningcorporatiesector hier snel van kan profiteren .

Kans 2: het (gezamenlijk) aanstellen van een functionaris voor de gegevensbescherming.

Ook de functionaris voor de gegevensbescherming biedt mogelijkheden om als corporaties de krachten te bundelen. Corporaties kunnen namelijk besluiten om (gezamenlijk) een FG aan te stellen. Een (gezamenlijke) FG biedt veel voordelen:

  • Klanten, medewerkers en andere stakeholders krijgen door het aanstellen van een FG vertrouwen in de omgang met persoonsgegevens door een organisatie.
  • Een FG kan zorgen voor bewustwording op het gebied van privacy door voorlichting te geven over het belang van privacy en te adviseren over de omgang met persoonsgegevens.
  • Door een FG te betrekken bij projecten, waar bijvoorbeeld nieuwe proces- en systeeminrichtingen aan de orde zijn, wordt er vooraf nagedacht over privacyvraagstukken (privacy by design en default). Hiermee kunnen kostbare reparaties achteraf worden voorkomen.
  • Privacy incidenten (waaronder datalekken) kunnen sneller worden afgehandeld, doordat een FG de regels goed kent.

Het gezamenlijk aanstellen is met name interessant voor kleinere corporaties, aangezien deze functie daar geen full time job zal zijn. Voor grotere corporaties is een eigen FG aan te bevelen aangezien zij in de regel op grotere schaal persoonsgegevens verwerken. Door de functie van de FG als corporaties gezamenlijk aan te stellen, kan er gebruik gemaakt worden van de kennis en ervaringen die de FG opdoet bij de verschillende corporaties. Een stap verder is het organiseren van kennisbijeenkomsten voor de FG’s in de branche.

Inmiddels zijn er 800 FG’s geregistreerd bij de AP. Vrijwel alle ministeries en een behoorlijk aantal gemeentes hebben een FG in dienst. Ook zijn er FG’s bij bijvoorbeeld ziekenhuizen, hogescholen en politiekorpsen. Op grond van de AVG zijn vanaf 2018 alle publieke instanties verplicht om een Functionaris voor de Gegevensbescherming aan te stellen. Ook voor sommige andere organisaties wordt dit een verplichting, wanneer zij bijvoorbeeld grootschalige verwerkingen van bijzondere persoonsgegevens verrichten. Woningcorporaties lijken niet te vallen onder een van deze organisaties en zijn daarom ook met ingang van de AVG niet verplicht om een FG aan te stellen. De AP kan echter vaststellen dat voor corporaties wel een FG verplicht is . Ongeacht of dit wel of niet verplicht wordt; door een (gezamenlijke) FG aan te stellen als corporatie zet je een goede stap op het gebied van privacy .

Tot slot

Kans 3 (extra): samenwerking vanuit verschillende vakgebieden

In deze blog zijn verschillende kansen toegelicht die er liggen voor de corporatiebranche om samen te werken. Ook VVA-informatisering wil de samenwerking op het gebied van informatiebeveiliging stimuleren. Aangezien privacy gaat over het snijvlak van wetgeving, organisatie en IT (auditing) valt er ook nog veel te leren door mensen van deze verschillende disciplines bij elkaar te brengen. Om die reden organiseert VVA in gezamenlijkheid met een accountants- en een advocatenkantoor een Leergang Privacy- & Gegevensbescherming. In 6 masterclasses leren deelnemers hierin op een praktische manier hoe zij hun organisaties kunnen voorbereiden op de nieuwe privacywetgeving. De leergang zal starten in het najaar van 2017. Heb je interesse? Kijk dan op onze website. Er is slechts ruimte voor 18 deelnemers en aanmelden kan tot uiterlijk 15 september 2017.

Corporaties, meld je datalek!

By | Publicatie

Sinds 1 januari 2016 is de nieuwe Wet bescherming persoonsgegevens (Wbp) van kracht. Een grote verandering voor organisaties is dat datalekken vanaf dat moment gemeld moeten worden bij de Autoriteit Persoonsgegevens (voormalig College bescherming persoonsgegevens). In bepaalde gevallen moeten ook de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt) ingelicht worden. Als een organisatie zich niet conformeert aan de wet, kunnen boetes oplopen tot 820.000 euro of 10 procent van de jaaromzet. De nieuwe wet geldt ook voor woningcorporaties. Om die reden is informatiebeveiliging ‘opeens’ een hot item binnen de branche. Reden genoeg om het daarover te hebben.

Waarom moeten datalekken gemeld worden?

De meldplicht van datalekken is ingevoerd om de schade aan betrokkenen als gevolg van een datalek te minimaliseren. Door betrokkenen op de hoogte te stellen van een datalek, zullen zij mogelijk kunnen anticiperen op de situatie. Als er bijvoorbeeld inloggegevens gelekt zijn, kunnen betrokkenen er voor kiezen hun wachtwoord te wijzigen.

Uiteraard is een datalek schadelijk voor het imago van een organisatie. Het is niet prettig om als organisatie te melden aan de buitenwereld dat er onzorgvuldig met persoonsgegevens is omgegaan. Dit terwijl de schade beperkt zou kunnen worden door het juist wel te melden. Door het invoeren van de meldplicht, worden organisaties gedwongen in ieder geval melding te maken van gevaarlijke datalekken bij de Autoriteit Persoonsgegevens. Afhankelijk van de situatie moeten ook de betrokkenen ingelicht worden. De Autoriteit Persoonsgegevens zal er op toezien dat organisaties hier de juiste keuzes in maken conform de beleidsregels van de Wbp.

Een indirect gevolg van de nieuwe Wbp is dat organisaties zich beter bewust zullen worden van de persoonsgegevens die ze verwerken. Er moeten afwegingen gemaakt worden tussen het doel van de verwerking van bepaalde persoonsgegevens en de risico’s die het met zich mee brengt. Als het dan toch noodzakelijk is bepaalde persoonsgegevens te verwerken, dan moeten mogelijk beveiligingsmaatregelen (her)overwogen worden zodat deze passend zijn.

Datalekken

Maar wat is een datalek? Volgens de website van de Autoriteit Persoonsgegevens is er sprake van een datalek op het moment dat persoonsgegevens worden blootgesteld aan verlies of onrechtmatige verwerking. En er niet redelijkerwijs kan worden uitgesloten dat er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt. Onder verwerking valt het vastleggen, wijzigen, verspreiden en het vernietigen van gegevens.

Een woningcorporatie bezit veel gegevens van haar huurders, waaronder ook gevoelige persoonsgegevens zoals bankgegevens, inkomensverklaringen, kopieën van identiteitsbewijzen (die officieel niet opgeslagen mogen worden) en inloggegevens voor portalen. De Wbp maakt onderscheid tussen normale en gevoelige persoonsgegevens. Bij een lek van gevoelige persoonsgegevens moet er altijd een melding gedaan worden bij de autoriteit en de betrokkenen. In alle andere gevallen bepaalt de aard en omvang van het incident of het gemeld moet worden en zo ja, bij wie.

Bewerkersovereenkomst

Corporaties nemen tegenwoordig steeds meer diensten af via de cloud. Hardware en software worden door verschillende dienstverleners aangeboden via internet. Daarnaast worden er ook veel gegevens online uitgewisseld met leveranciers via portalen of rechtstreekse koppelingen tussen systemen.

Hierdoor kunnen er dus meerdere partijen zijn die persoonsgegevens verwerken in opdracht van de corporatie. Denk bijvoorbeeld aan de leverancier van het ERP-systeem, het documentmanagementsysteem, het huurdersportaal, de hosting van de automatisering of het (regionale) woonruimteverdeelsysteem. De corporatie blijft echter altijd eigenaar van deze gegevens en om die reden moet een corporatie er op toezien dat de meldplicht datalekken wordt nageleefd door deze andere partijen. Er moet met elke bewerker een overeenkomst gesloten worden waarin wordt vastgelegd wanneer, hoe en wat er bij een datalek gecommuniceerd wordt naar de corporatie.

Aanpakken bij de bron

Het is belangrijk om als corporatie je meldingsprocedure voor datalekken goed geregeld te hebben. Maar ook hier geldt dat voorkomen beter is dan genezen. Datalekken ontstaan namelijk vaak als gevolg van slordigheden of een beperkte bewustheid van informatiebeveiliging. Door een informatiebeveilgingsbeleid op te stellen, periodiek risicoanalyses uit te voeren en passende maatregelen in te voeren, kun je datalekken voorkomen of in ieder geval de schade beperken. Echter moet er altijd gewaarborgd worden dat beveiligingsmaatregelen op maat zijn. Er moet een juiste afweging gemaakt te worden tussen de ernst van het risico en de noodzaak om dit aan te pakken. Een overkill aan maatregelen zou namelijk kunnen leiden tot vermindering van de efficiëntie van de bedrijfsvoering, irritatie bij medewerkers of verspilling van geld.

Meer weten?

Wilt u meer weten over de meldplicht voor datalekken of heeft u behoefte aan een concreet stappenplan? Dan kunt u dat lezen in ons document met praktische richtlijnen voor woningcorporaties. Dit document is op aanvraag gratis beschikbaar. Of wilt u meer weten over het opstellen van een informatiebeveiligingsbeleid en risicoanalyses? Neem dan gerust contact met ons op. Als onafhankelijk adviseur kunnen wij uw organisatie hier bij helpen.

Levende procesmodellen: hoe werkt de corporatie en waar kunnen we verbeteren?

By | Publicatie

Herinnert u het verhaal van mijn collega nog over vloeibare IT? Hij schreef dat slimme IT toepassingen kunnen helpen bij het effectiever en efficiënter werken binnen woningcorporaties. Zo’n onderwerp vraagt om verdieping. En dat ga ik doen door u mee te nemen in de wereld van levende procesmodellen en business process management.

Business Process Management

Business Process management (BPM) is een methode die ernaar streeft om de inrichting van bedrijfsprocessen binnen een organisatie continu te optimaliseren. Het kan de traditionele kloof tussen de organisatie & IT overbruggen doordat het de focus legt op hetgeen waar deze twee perspectieven samen komen: de processen. Al jaren zijn organisaties bezig hun bedrijfsprocessen te modelleren om beter inzicht te krijgen in wat er nu gebeurt en wat er zou moeten veranderen in te toekomst. Doorgaans houden procesanalisten zich hier mee bezig. En zodra er verbeteringen bedacht zijn, worden de modellen doorgegeven aan de IT-medewerkers die de bouwtekening vervolgens moeten realiseren in het applicatielandschap. Dit wordt vaak projectmatig gedaan en na afloop verdwijnen de procesmodellen weer in de kast. Bij het volgende project komen ze weer tevoorschijn en u raadt het al: ze zijn niet meer up-to-date.

Business Process Management systemen

Als een organisatie gebruik maakt van een BPM systeem, dan zal dit gaan veranderen. Een BPM systeem is een suite van applicaties die verschillende BPM gerelateerde IT oplossingen kan integreren. Processen lopen vaak door de verschillende afdelingen van de organisatie heen en zodra er iets in het proces moet veranderen, moeten ook de bijhorende applicaties hierop inspelen. Een BPM systeem biedt meer grip op de gegevensuitwisseling tussen applicaties. Het is een overkoepelend systeem dat functionaliteit van losse onderliggende applicaties kan aanroepen in procesmodellen. Corporatiemedewerkers kunnen zelf bedrijfsregels aanpassen zonder daarbij de lastige programmeertaal van het systeem nodig te hebben. Complexere proceswijzigingen kunnen door het systeem al deels in code worden klaargezet voor de IT medewerkers. Vernieuwingen in het proces kunnen hierdoor sneller dan ooit gerealiseerd worden in het applicatielandschap. Organisatie en IT-medewerkers werken vanuit dezelfde bouwtekening aan optimalisaties van het proces. En dat resulteert in een betere samenwerking tussen beiden.

Procesorkestratie

De kerngedachte van een BPM systeem is dat alle systemen moeten doen waar ze goed in zijn. Applicaties moeten worden ingezet zoals de leverancier dat bedacht heeft en maatwerk oplossingen moeten worden afgevangen in de flexibele BPM laag. Dergelijke systemen bieden uitgebreide mogelijkheden voor zaakgericht werken, zoals beschreven in CORA 3.0. Bijvoorbeeld voor het verhuren van een woning kan worden vastgelegd wat de aanleiding, het resultaat en de gewenste doorlooptijd is. Het verloop van het proces kan dan afhankelijk van de situatie ingevuld worden door het systeem en keuzes van de corporatiemedewerkers. Hierin kunnen bepaalde processtappen geautomatiseerd doorgevoerd worden. Ook kan de medewerker automatische beslissingen ‘overrulen’ als dat nodig is. Daarnaast houdt het systeem voor alle procesinstanties bij in welke stap ze zich bevinden, door wie voorgaande stappen zijn uitgevoerd en of dit binnen de gewenste prestatieafspraken valt. Kengetallen zoals de doorlooptijd kunnen gekoppeld worden aan een automatische berichtgeving naar de medewerker indien er “gevaar” dreigt. Ook kunnen bepaalde processtatussen teruggekoppeld worden aan bijvoorbeeld de manager óf de huurder.

CORA 3.0 en BPM systemen

Bij de overweging van een BPM systeem is het belangrijk om te bepalen welke processen u als eerst zou willen oppakken. Het is geen kant-en-klare oplossing. De organisatie zal zich ervoor moeten inzetten om stap voor stap steeds meer processen op te nemen in dit systeem, daar waar het voordeel oplevert. Niet alleen moet het verloop van het proces bekend zijn, maar ook de prestatie-indicatoren. CORA 3.0 omschrijft een methode die gebruikt kan worden voor het opstellen hiervan. Daarnaast adviseert CORA dat corporaties gebruik moeten maken van BPMN, een wereldwijd veelgebruikte notatie voor procesmodellen. Deze methode komt daarom terug in veel BPM systemen. Ook omschrijft CORA vier verschillende applicatiestrategieën. Deze zullen ook in (her)overweging genomen moeten worden genomen als u de stap naar een BPM systeem wilt maken.

Afstudeerscriptie Tilburg University

Momenteel schrijf ik mijn afstudeerscriptie over de toepassingsmogelijkheden van BPM systemen voor procesmanagement in de woningcorporatiebranche. Dit doe ik voor de studie Information Management aan de Universiteit van Tilburg en in dienst van VVA-informatisering.

Bent u nieuwsgierig geworden naar de (on)mogelijkheden? Laat het ons weten. Als onafhankelijke adviseur kunnen wij u voorlichten om hier bewuste keuzes in te maken.