Rapport Commissie Brouwer: 'Gewoon doen' - Ngfg
Rapport Commissie Brouwer: 'Gewoon doen' - Ngfg
Rapport Commissie Brouwer: 'Gewoon doen' - Ngfg
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Externe beoordeling en keurmerk<br />
Het laten uitvoeren van privacyaudits of het laten certificeren van verwerkingen zijn mogelijkheden<br />
om een onafhankelijk oordeel te verkrijgen over de naleving van wetgeving. In de Wet<br />
gemeentelijke basisadministraties persoonsgegevens en in de Wet politiegegevens zijn audits al<br />
verplicht gesteld. Instrumenten daarvoor zijn de compliance instrumenten van het College<br />
bescherming persoonsgegevens en de certificering door externe auditors zoals ontwikkeld door<br />
NIVRA en NOREA.<br />
Wat betekent de ‘zorg voor naleving en intern toezicht’:<br />
Zorg voor naleving betekent op basis van risicoanalyse nagaan waar de kwetsbare<br />
risico’s voor de zorgvuldige omgang met persoonsgegevens schuilgaan en de nodige<br />
maatregelen in gang zetten om deze risico’s te voorkomen of te beheersen. Hoe een<br />
bedrijf of instelling de zorg voor de naleving vormgeeft zal afhangen van factoren als de<br />
aard en omvang van de risico’s, de omvang van het bedrijf of de (overheids-)instelling,<br />
de competenties van de ‘professionals’ die met persoonsgegevens werken en vele andere.<br />
Zorgvuldig omgaan met persoonsgegevens is op het veiligheidsterrein geen<br />
vanzelfsprekendheid. Er kunnen zich vele omstandigheden voordoen die er toe leiden dat<br />
‘professionals’ het met de regels niet erg nauw nemen. Daarom is het noodzakelijk binnen<br />
iedere instelling of binnen ieder bedrijf een functionaris aan te wijzen die met voldoende<br />
gezag tot naleving kan aanzetten. Soms voor deze taak vrijgesteld, soms naast andere taken.<br />
De werkvloer van veiligheid en persoonlijke levenssfeer is te veelvormig om precies voor te<br />
schrijven hoe de zorg voor naleving en intern toezicht moet worden ingevuld. Wel zal steeds<br />
een passende voorziening operationeel moet zijn. Er zijn gerede aanwijzingen dat in<br />
organisaties waar een ‘functionaris voor de gegevensbescherming’ is aangewezen – in het<br />
jargon: een FG – het niveau van zorgvuldigheid bij het omgaan met persoonsgegevens<br />
adequater is 19 . De commissie acht dit zeer aannemelijk. De aanwezigheid van zo’n relatief<br />
onafhankelijke functionaris die belast is met intern toezicht op de naleving van<br />
zorgvuldigheidsregels voor omgaan met persoonsgegevens op voldoende hoog niveau in de<br />
organisatie kan een belangrijke prikkel voor zorgvuldigheid genereren. De <strong>Commissie</strong> acht<br />
het in grotere organisaties zeer de moeite waard een gezaghebbende ‘functionaris voor de<br />
19 Vgl. College bescherming persoonsgegevens, Informatieblad 16, juni 2004, te raadplegen op website Cbp;<br />
aanwijzingen dat een functionaris voor de gegevensbescherming inderdaad bijdraagt aan een adequater<br />
zorgvuldigheidsniveau ontleent de <strong>Commissie</strong> aan het nog te publiceren rapport van de tweede fase evaluatie<br />
Wet bescherming persoonsgegevens, “Wat niet weet, wat niet deert.”