Schulden zonder stigmatisering

Het is ongelofelijk dat in Nederland 600.000 mensen problematische schulden hebben. Schulden beïnvloeden je leven. Schulden houden je altijd bezig: ‘kan ik mijn huur deze maand betalen?’ of ‘we hebben nog vijf euro, wat eet mijn gezin vanavond?’

Mensen met schulden zijn heel kwetsbare mensen. Stigmatisering, uitsluiting, beïnvloeding door een ongunstig risicoprofiel zijn voorbeelden van wat mis kan gaan. Van een stempel kom je niet zo maar af. Partijen die werken met persoonsgegevens van mensen met schulden moeten extra hun best doen om te voorkomen dat zij niet beschadigd raken. Dan moet je méér doen dan wat de wet vraagt en extra transparant, duidelijk en betrouwbaar zijn.

Onderzoek naar Geldfit

Voor Privacy First voerde ik een klein onderzoek uit nadat enkele bezorgde signalen waren ontvangen over de Nationale Schuldhulproute. Om de schuldhulpverlening te stroomlijnen is deze Route opgezet om duidelijker te maken hoe hulp wordt geboden en door wie. Het onderzoek richtte zich op een belangrijke speler in de schuldhulpverlening, Geldfit. Deze organisatie positioneert zich als het startpunt voor schuldhulpverlening. Dit onderzoek bracht enkele zorgen over de omgang met privacy en persoonsgegevens naar boven.

De eerste zorg betrof transparantie en informatie. Een organisatie informeert mensen over (voorgenomen) verwerkingen, vaak met een privacy statement. Met die informatie kan iemand zich overtuigen of hij zijn gegevens wel moet verstrekken aan deze partij. Maar kan je een partij vertrouwen als deze verwijst naar de Wet bescherming persoonsgegevens? Heeft privacy wel voldoende prioriteit?

Een tweede zorg betreft het gebruik van cookies. Het gebruik van trackingcookies van Google op een site met gevoelige gegevens? Niet doen! De AP tikte niet voor niets ziekenhuizen op hun vingers. Een bezoeker heeft geen waarborg dat zijn gegevens weglekken naar datahandelaren en profileringsbedrijven.

Een derde zorg betrof het verzamelen van te gedetailleerde informatie, in dit geval een postcode met 4 cijfers en 2 letters, terwijl voor de advisering alleen de eerste 4 cijfers nodig waren. Hier zou juist privacy by design toegepast moeten worden. Bovendien is niet duidelijk wat met deze informatie gedaan wordt.

Een laatste zorg betrof de rol van persoonsgegevens binnen het businessmodel. Als gegevens van een persoon worden verzameld, zelfs als deze anoniem zijn, mogen deze dan een belangrijke plek hebben binnen het datamodel van de organisatie?

Brief met zorgen en aanbevelingen

Privacy First stuurde naar aanleiding van het onderzoek een brief naar de organisatie Geldfit. Privacy komt tot leven bij concrete voorbeelden. Met de doelgroep in het achterhoofd weet je dat organisaties de lat hoog moeten leggen. Hopelijk staat Geldfit open voor de zorgen van Privacy First zodat schuldhulpverlening kan plaatsvinden, zónder negatieve privacyeffecten!

Lees hier de brief die vanuit Privacy First is verstuurd. Reacties en updates worden aan dit artikel toegevoegd.

20200219-Geldfit-v1-0Download

Plan van aanpak witwassen

Witwassen is een lastig onderwerp binnen ‘financiële privacy’. Deze wetgeving heeft het doel witwassen en (financiering van) terrorisme te bestrijden, iets waar je niet tegen kan zijn. Toch vraagt deze wetgeving om een voorzichtige houding. Voor je het weet worden grote infrastructuren opgetuigd om monitoring en gegevensuitwisseling mogelijk te maken.

Daar waar wetten rond dit onderwerp vaak technisch worden ingestoken kunnen gevolgen veel breder dan dat worden. Voor Privacy First schreef ik een bijdrage voor de internetconsultatie op het wetsvoorstel ‘Wet plan van aanpak witwassen’. Hierom keek ik niet alleen naar de tekst, maar probeer het voorstel ook vanuit mensenrechten en privacy-principes te bekijken.

De belangrijkste aandachtspunten:

  • de insteek vanuit Europese en Nederlandse beleidsmakers is gericht op het bestrijden van afwijkingen met weinig ook voor mensenrechten: wantrouwen en controle in plaats van vertrouwen en proportionele maatregelen
  • het wetsvoorstel wordt te vroeg ingebracht omdat verschillende adviestrajecten nog lopen
  • de AVG is te beperkt uitgewerkt het als risico dat waarborgen alleen op papier zullen bestaan
  • principiële bezwaren tegen verdergaande inperking van contante betalingen boven een bepaald bedrag
  • principiële bezwaren tegen grootschalige gegevensuitwisseling tussen Wwft-plichtigen en de opzet van infrastructuren hiervoor
  • interessante alternatieven die de aandacht waard zijn

Salderingsregeling en de slimme meter

Ik schreef een bijdrage voor de internetconsultatie op het wetsvoorstel ‘Omvorming van de salderingsregeling voor kleinverbruikers’. De titel doet vermoeden dat het gaat om de afbouw van de salderingsregeling. Toch heeft dit wetsvoorstel een grotere impact dan je zal denken. De wet zal iedereen (iedereen? ja, iedereen) verplichten tot het laten installeren van een digitale meter, al dan niet met communicatiemodule. De belangrijkste punten die ik voor Privacy First naar voren bracht zijn:

  • Verplichte installatie digitale meetinrichting niet proportioneel en niet verplicht
  • EU Richtlijn verplicht niet tot het afdwingen van plaatsing van een digitale meter, anders dan de Minister zegt
  • Verplichting aan alle kleinverbruikers is niet proportioneel omdat het beleidseffect maar een onbekende (maar waarschijnlijk kleine ) groep huishoudens gericht is
  • Privacyaspecten gaan verder dan de AVG-compliance waar de minister naar wijst
  • Gehanteerde terminologie (‘slimme meter’) zet consumenten en burgers op het verkeerde been: er bestaat geen slimme meter

Internetconsultatie is volgens de site ‘een nuttig instrument als aanvulling op de reeds bestaande consultatiepraktijk in het wetgevingsproces. Door internetconsultatie krijgen meer mensen, bedrijven en instellingen informatie over wetgeving die in voorbereiding is en kunnen zij suggesties doen om de kwaliteit en uitvoerbaarheid van deze voorstellen te verbeteren. Internetconsultatie vergroot de transparantie van het proces, de mogelijkheden voor publieke participatie en levert een bijdrage aan de kwaliteit van wetgeving.’ Een kans die je niet mag laten liggen.

Spreker over Financiële privacy en PSD2

Voor Privacy First mocht ik op de Nieuwjaarsreceptie van 8 januari een korte toelichting geven op de thema’s financiële privacy en PSD2. In een leuke ruimte was een bont gezelschap met experts, beleidsmakers en liefhebbers van privacy verzameld om het glas te heffen op het nieuwe jaar en bijgepraat te worden over blockchain, witwassen, cryptocurrency en PSD2. Mijn presentatie kan je hieronder vinden.

Vernieuwde website live

Onze vernieuwde website is live. Achter de schermen zijn de nodige uren gaan zitten in een nieuwe opzet, teksten en het ontwerp. We wilden niet alleen de website vernieuwen, ook kozen we voor een aansprekend nieuw thema: People • Privacy • Profit. Met dit thema doen we recht aan de brede wereld van privacy en de grote thema’s die de komende jaren spelen.

De nieuwe website laat zien wie we zijn en wat we doen. Adviseren en implementeren is ons vak, privacy onze specialiteit. Met onze klanten hebben we een gezamenlijke doel: informatie beveiligen en privacy beschermen.

De website is zowel inhoudelijker als persoonlijker. Hoewel Procis vanaf de oprichting in 2012 een netwerkorganisatie is, komt het geluid van oprichter Martijn van der Veen duidelijker naar voren. We zijn nu live en achter de schermen gaan we vooral verder. Kleine en grote verbeteringen, het ontwikkelen van periodieke updates en onderbouwde meningen.

Heb je suggesties of vind je een fout in de website? We horen het graag!

ISO27701 opgenomen in Base27

In een update aan klanten zijn zij op de hoogte gesteld over de grote stappen die we zetten rond het privacybeheer via de ISO27701 norm. Deze norm is een uitbreiding op de norm voor informatiebeveiliging (ISO27001) en maakt mogelijk om ook privacy te beheren en te controleren, op een zelfde wijze als we dat al doen voor informatiebeveiliging. De ISO27701 is in augustus 2019 gepubliceerd.

De norm is nu beschikbaar en eenvoudig in het Nederlands toegankelijk. Ik ben blij met deze stap zodat we de norm kunnen gebruiken en de ondersteuning voor dit jaar goed kunnen inrichten. Wat we hebben gedaan:

  1. We hebben de norm vertaald naar het Nederlands (als eerste in Nederland)
  2. De norm is opgenomen in Base27, het beheerssysteem dat we gebruiken voor informatiebeveiliging en privacy.

In het kort, wat is de ISO27701?

De ISO27701 norm kan een brug slaan tussen informatiebeveiliging en privacy. De norm werd in augustus 2019 gepubliceerd en is een uitbreiding op de ISO27001 (informatiebeveiliging). De uitbreiding voegt beheersmaatregelen gericht op privacycompliance toe, waarmee het een ISMS omvormt tot een PIMS (Privacy and Information Management system). In het kort zegt de ISO27701:

  • Overal waar we praten over informatiebeveiliging, praten we voortaan over privacy en informatiebeveiliging
  • Een aantal elementen uit het ISMS wordt aangepast en uitgebreid. Bijvoorbeeld: de risicoanalyse moet expliciet aandacht besteden aan privacyrisico’s
  • De beheersmaatregelen (ISO27002) zijn op 32 punten aangevuld en specifieker gemaakt voor privacy
  • Twee bijlagen (annexen) voor verwerkingsverantwoordelijken en verwerkers met respectievelijk 31 en 18 beheersmaatregelen zijn toegevoegd. Afgezien van wat nuances omvatten deze de bepalingen van de AVG.

Vertaling beschikbaar

Om de ISO27701 praktisch bruikbaar te maken is een vertaling naar het Nederlands een eerste stap. Daarbij keken we vol verwachting naar de NEN. Op haar bijeenkomst van 26 november met als titel ‘De ontbrekende schakel tussen informatiebeveiliging en AVG’ wilde de NEN een Nederlandse vertaling van de norm presenteren. Helaas kostte het vertalen van de norm hen meer tijd en wordt de vertaling nu in februari (?) 2020 verwacht. Hier wilde ik niet langer op wachten omdat verschillende auditplannen opgezet moeten worden.

Het vertalen van de norm was geen sinecure. Niet alleen omdat de GDPR en AVG specifieke termen en begrippen gebruiken, maar ook omdat het gaat om een vertaling van een ISO-norm waarbij de vertaling ook recht moet doen aan de generiekere opzet van de norm. In een technisch blog zal ik hier dieper op ingaan. Overigens zal binnen nu en enkele maanden de NEN komen met haar eigen vertaling, de norm wordt dan in Base27 aangepast.

Overigens, wist je dat…: ook het Privacy Control Framework van de Norea hadden we i.s.m. SafeHarbour flink eerder vertaald voor onze klanten dan de Norea zelf. Over service gesproken… Deze versie is opgenomen in IC Content (categorie ‘toezicht en naleving’).

ISO27701 opgenomen in Base27

Het was een klus, maar onze vertaling van de ISO27701 is eind 2019 gereed gekomen en is vanaf nu beschikbaar voor alle klanten die worden ondersteund met Base27 van Axxemble. Deze zijn al in de omgeving geactiveerd en beschikbaar. In Base27 is de norm te vinden op dezelfde plaatsen als de ISO27001, bijvoorbeeld bij de verklaring van toepasselijkheid en bij de maatregelen.

Zodra de NEN met haar vertaling komt zal de bestaande vertaling aangepast worden. Klanten die al aan de slag gaan met de norm bijvoorbeeld bij het opstellen van hun auditplannen zullen hier geen last van hebben.

Waarom de ISO27701 gebruiken naast de ISO27001?

Gegevensbescherming is meer dan informatiebeveiliging

De ISO27001 norm is een norm gericht op informatiebeveiliging. Bedrijfsprocessen waarbinnen persoonsgegevens worden verwerkt moeten daarnaast voldoen aan de AVG en eventuele aanvullende privacywetgeving. Volgens de AVG moet de verwerkingsverantwoordelijke aantoonbaar de AVG naleven. Informatiebeveiliging is daar een (erg) belangrijk onderdeel van en de ISO27001 certificering biedt een belangrijk instrument om duidelijk te maken dat dat onderdeel op orde is. Maar je informatiebeveiliging op orde hebben volgens de ISO27001 norm is niet voldoende in het licht van gegevensbescherming en de AVG. Wanneer persoonsgegevens worden verwerkt heb je als organisatie rekening te houden met andere risico’s en wettelijke bepalingen. Zo zal je expliciet rekening moeten houden met risico’s voor de ‘vrijheden en fundamentele rechten’ van betrokkenen. En heb je te maken met een meldplicht in het geval van een datalek. De ISO27001 houdt hier geen rekening mee, de ISO27701 omvat deze eisen wel.

ISO heeft beste kaarten in de markt herkend te worden

De ISO norm is niet het enige beschikbare normenkader. Er bestaan verschillende normenkaders (CIP voor overheid, Privacy Control Framework van de Norea) maar deze sluiten niet goed aan op de al gehanteerde ISO27001-methodiek. Terwijl je de twee vakgebieden graag in elkaar wilt schuiven. Omdat de ISO een bekende aanpak heeft biedt wat mij betreft deze norm de beste kansen om in de markt herkend te gaan worden als kwaliteitsstempel voor privacybeheer. Hoewel ik voldoende kritiek heb op de ISO27701 biedt het een bruikbaar kader om de kwaliteit en naleving van de AVG te beheersen en kwalitatief te verbeteren. Met de norm kan een brug worden geslagen tussen twee vakgebieden die nu van elkaar gescheiden blijven. Bovendien is de norm certificeerbaar waarmee het benut kan worden richting externe partijen als kwaliteitskeurmerk. Belangrijk dus ook voor marketing en een goed verhaal naar klanten!

Eén PIMS, wel lastenverzwaring

Geredeneerd vanuit het zakelijke belang van klanten (€€) vind ik het jammer dat de ISO27701 geen zelfstandige norm is maar een uitbreiding erop. Anders gezegd: je zal óók aan de ISO27001 moeten voldoen, zelfs als je eigenlijk alleen geïnteresseerd bent in de verklaring op de privacy-beheersmaatregelen. Het risico op dubbele auditlasten en dubbele administratie ligt op de loer. De uitbreiding leidt vanzelfsprekend tot meer werk door de groei van het aantal beheersmaatregelen, maar dat moet wel binnen de perken blijven. Ik zet me er voor in de beheerslast acceptabel te houden. Door het gebruik van Base27 heb ik er vertrouwen in dat dit gaat slagen, maar het zal geen eenvoudige opgave worden.

Meer weten over de ISO27701 of activiteiten op dit onderwerp? Neem dan contact op via martijn.vanderveen@procis.nl.

ISO27701 vertaald

De ISO27701 norm kan een brug slaan tussen informatiebeveiliging en privacy. De norm werd in augustus 2019 gepubliceerd en is een uitbreiding op de ISO27001
(informatiebeveiliging). De uitbreiding voegt beheersmaatregelen gericht op privacycompliance toe, waarmee het een ISMS omvormt tot een Privacy and Information Management system (PIMS).

Hoewel voldoende kritiek uit te oefenen is op de ISO27701 biedt het een bruikbaar kader om de kwaliteit en naleving van de AVG te beheersen en kwalitatief te verbeteren. Met de norm kan een brug worden geslagen tussen twee vakgebieden die nu van elkaar gescheiden blijven. Bovendien is de norm certificeerbaar waarmee het benut kan worden richting externe partijen als kwaliteitskeurmerk.

Vertaling beschikbaar

Om de ISO27701 praktisch bruikbaar te maken is een vertaling naar het Nederlands een eerste stap. Daarbij keken we vol verwachting naar de NEN. Op haar bijeenkomst van 26 november met als titel ‘De ontbrekende schakel tussen informatiebeveiliging en AVG’ wilde de NEN een Nederlandse vertaling van de norm presenteren. Helaas kostte het vertalen van de norm meer tijd en wordt de vertaling nu in februari (?) 2020 verwacht. Hier wilde ik niet langer op wachten omdat verschillende auditplannen opgezet moeten worden.

Het was een klus, maar onze vertaling van de ISO27701 is eind 2019 gereed gekomen en is vanaf nu beschikbaar voor alle klanten die worden ondersteund met Base27 van Axxemble. Zodra de NEN met haar vertaling komt zal de bestaande vertaling aangepast worden. Klanten die al aan de slag gaan met de norm bijvoorbeeld bij het opstellen van hun auditplannen zullen hier geen last van hebben.

Meer weten over de vertaling? Neem dan contact met me op.

Procis is partner van Axxemble (Base27)

Voor onze klanten ben ik altijd op zoek naar goede, ondersteunende tooling. Voor een klant was ik op zoek naar een toegankelijke GRC tool voor een MKB-prijs. Toeval bestaat niet en daarom liep ik tegen Base27 van Axxemble (‘houdt informatie veilig’) aan. Base 27 is een ISMS tool waarvan ik vooral het risicomanagement en de audit ondersteuning erg sterk vind. Voor een relatief jong product is Base27 erg compleet. Na een korte proefperiode is Base27 bij meerdere klanten geïmplementeerd en zijn we opgenomen in het partnerprogramma.

Axxemble werkt, net als Procis, nauw samen met verschillende partners. Samen willen ze de best mogelijke ondersteuning bieden aan hun klanten. zo kunnen we nog betere ondersteuning bieden bij een implementatie van de ISO 27001, AVG of kunnen u helpen bij de interne auditing, toezicht op verwerkingen etc. Zie verder de partnerpagina van Axxemble en onze sectie over Teamwork.