AP is akkoord met gedragscode Nederlandse ict-sector voor persoonsgegevens

De Autoriteit Persoonsgegevens keurt de gedragscode van Nederland ICT voor de omgang met persoonsgegevens in principe goed. Wel stelt de pricacywaakhond de voorwaarde dat de sector een toezichthoudend orgaan opricht.

De Autoriteit Persoonsgegevens meldt 'voornemens' te zijn om de Data Pro Code goed te keuren. Deze code is opgesteld door Nederland ICT, de branchevertegenwoordiger van de ict-sector. Organisaties die gegevens van burgers in Nederland verwerken, kunnen zich aansluiten bij de gedragscode om concrete gedragsregels voor dataverwerkers in acht te nemen. De regels betreffen een nadere uitwerking van de verplichtingen uit artikel 28 van de Algemene verordening gegevensbescherming voor dataverwerkers en de code moet bedrijven dan ook helpen aan deze regels te voldoen.

Zo bevat de Data Pro Code de verplichting dat organisaties een Data Pro Statement publiceren, waarin ze uiteenzetten welke beveiligingsmaatregelen ze hebben genomen. Onder andere geven ze in deze verklaringen details over het gebruikte informatiebeveiligingssysteem, standaarden, certificering, pseudonimisering en versleuteling, back-ups, redundantie en de contactgegevens van de contactpersoon voor dataprotectie. Ook bevat de gedragscode een uitwerking van hoe bedrijven moeten handelen in het geval van een datalek.

De Autoriteit Persoonsgegevens heeft eisen voor gedragscodes voor de omgang met de AVG opgesteld en de Data Pro Code van Nederland ICT voldoet volgens de AP aan deze eisen, al ontbreekt nog de oprichting van een toezichthouder die toeziet op de naleving en die klachten in behandeling kan nemen. Volgens de AP is die oprichting noodzakelijk en is de goedkeuring daarom voorwaardelijk. Bij artikel 41 van de AVG staat echter dat een orgaan 'kan' toezien op de naleving van de gedragscode, niet dat dit vereist is. Hoe dan ook heeft Nederland ICT de oprichting van een Data Pro Toezichthouder al in zijn gedragscode opgenomen, waarmee dit een formaliteit lijkt.

IT-banen

Reacties (44)

Tyrian 13 augustus 2019 14:43

Ik dacht dat de Autoriteit Persoonsgegevens zélf het toezichthoudend orgaan was?

CoenRan @Tyrian • 13 augustus 2019 14:50

Door gedragscodes goed te keuren hoeft de AP niet iedereen apart te controleren, enkel de gedragscode en het toezichthoudend orgaan daarvan. En daarnaast weten de bedrijven waar ze zich aan moeten houden om het "goed" te doen. Wel zo efficient voor beide kanten.

Maulwurfje @CoenRan • 13 augustus 2019 15:07

Of je nu door de hond of de kat gebeten wordt, dat mag niet uitmaken. Dat er een duidelijk pakket aan (gedrag)regels is gekomen is effectief. Dat nu een extra orgaan (Data Pro Toezichthouder) het werk van de AP overneemt is niet effectief.

Ik lees in dit stuk geen enkele reden waarom de Data Pro Toezichthouder effectiever toezicht kan houden. Als het AP niet instaat is om dit serieus te gaan controleren, wat bij elke toezichthouder in Nederland het geval is, dan moet er geld bij door het ministerie. Het is puur een geldkwestie. Budget is klein. Je verschuift de verantwoordelijkheid naar een andere partij en daarmee voldoet het AP aan haar verantwoordelijkheid. En bij de eerste de beste grote overtreding kan het vingerwijzen beginnen.

Ik verander graag van mening als er goede redenen te verzinnen zijn waarom een extra orgaan toezicht moet houden. Ik kan deze domweg niet bedenken.

[Reactie gewijzigd door Maulwurfje op 23 juli 2024 11:22]

CivLord

@Maulwurfje • 14 augustus 2019 08:30

Je hebt gelijk. Kabinet na kabinet is flink bezig allerhande toezichthouders op te richten om ze vervolgens kapot te reorganiseren en te bezuinigen. Daardoor wordt er steeds meer geleund op toezicht vanuit de te controleren sectoren zelf.
Op zich is dat niet allemaal negatief. Een toezichthouder kan niet voor alle sectoren even deskundig zijn. Een controleur die maandag bij een uitzendbureau komt controleren kan niet woensdag bij een webwinkel langs gaan en in beide gevallen even deskundig zijn in het onderkennen van eventuele gebreken, rookgordijnen en regelrechte bullshit. Voor elke sector die een eigen aanpak nodig heeft gespecialiseerde controleurs opleiden zal in zekere mate wel gebeuren, maar dat zullen er te weinig zijn en ook zij zullen af en toe in andere sectoren ingezet moeten worden.

Bij een toezichthouder vanuit de sector zelf kan het toezicht vanuit de overheid beperkt blijven tot kijken of alle processen bij die toezichthouder kloppen en af en toe een spot-check bij een bedrijf. Daarbij laat je de slager inderdaad zijn eigen vlees (of dat van een goede collega) keuren. Maar wel met de wetenschap dat hij daarmee een grote verantwoordelijkheid draag en een grote last op zijn eigen schouders maar ook op de schouders van zijn collega's legt.
Zo'n toezichthouder wordt vanuit de sector zelf betaald en het kan voor sommigen wat lastig zijn om streng te zijn voor diegene die indirect je salaris betaalt. Er kunnen ook onderling ruimere marges of ruimere termijnen afgesproken worden dan wettelijk is toegestaan. Dat loopt dan allemaal fantastisch, want iedereen denkt dat het allemaal goed gereguleerd is, terwijl achter de schermen niemand zich aan de lastige punten houdt. Totdat het uit komt. Dan wordt om te beginnen de hele sector in de media door het slijk gehaald. Helemaal wanneer het niet om een bijzaak gaat, maar om een belangrijk onderdeel van de sector. Maar de reactie vanuit de politiek blijft altijd onvoorspelbaar. Er zijn gevallen bekend waarbij de politiek "Foei" zei en waarna de toezichthouder met de belofte zijn leven te beteren na wat cosmetische verbeteringen vrolijk verder kon gaan. Maar de politiek kan ook doorslaan (net het foute onderwerp in de publiciteit, grote publieke ophef ,stokpaardje van een politicus, verkiezingstijd, etc.). Dan komt er verscherpt toezicht op de hele sector en misschien zelfs aanvullende wet- en regelgeving (die door de haast vaak weer niet helemaal lekker in elkaar zit). Daar zit niemand op te wachten.
Het is dus ook in het belang van de sector zelf om de eigen toezichthouder redelijk onafhankelijk en streng te houden.

mard0 @Maulwurfje • 13 augustus 2019 15:17

Dit soort vormen van zelfregulatie zijn natuurlijk ook gewoon een verkapte vorm van deregulering.

Cerberus_tm

@mard0 • 13 augustus 2019 16:43

Mee eens. De Autoriteit heeft veel te weinig capaciteit, en probeert het dus te laten controleren door een organisatie gefinancierd door de branche zelf; het bespaart inderdaad geld, maar het is wel een wc-eendje dat zijn eigen vlees gaat keuren.

Stadtionalist @Cerberus_tm • 14 augustus 2019 00:12

Het is dan ook de taak van de AP om, met zijn beperkte capaciteit, toe te zien op dat de wc-eend zijn werk doet

Cerberus_tm

@Stadtionalist • 14 augustus 2019 00:14

Ja, maar ik vraag me af in hoeverre dat mogelijk is.

Stadtionalist @Cerberus_tm • 15 augustus 2019 08:56

Uit recente nieuwsberichten zou ik opmaken dat het voor ze niet echt mogelijk is, maar het zal makkelijker zijn om zelf alleen de keurder te controleren dan alle slagers

Cerberus_tm

@Stadtionalist • 15 augustus 2019 16:48

Zo zal het inderdaad misschien zijn. Ik hoop dan dat de Autoriteit de keurder een beetje hard aanpakt.

tweaknico @Cerberus_tm • 15 augustus 2019 13:20

De wc-eend toezichthouder heeft nu de schone taak om geen missers te maken.
De vraag is hoeveel meldingen er bij het AP acceptabel zijn als de wc-eend faalt.

Daarnaast als er matig toezicht wordt gehouden zijn alle organisaties die zich daar aansluiten gelijk ook de sjaak...

Cerberus_tm

@tweaknico • 15 augustus 2019 16:48

Nou, de organisaties hebben baat bij slecht toezicht, zou ik zeggen...

tweaknico @Cerberus_tm • 15 augustus 2019 16:50

Nee want dan zit de hele club op het verdachten bankje bij AP en mag aan gaan aantonen dat ze het beter deden dan de controle's deden vermoeden.
(spelling)

[Reactie gewijzigd door tweaknico op 23 juli 2024 11:22]

Cerberus_tm

@tweaknico • 15 augustus 2019 16:52

Ach, dat kan vele jaren duren. De soep wordt vast niet zo heet gegeten etc. denken ze dan.

Stadtionalist @tweaknico • 15 augustus 2019 19:17

Het zijn vooral de klanten van organisaties die zijn aangesloten bij de matig presterende wc-eend die de sjaak zijn, zeker wanneer de AP niet capabel blijkt om toe te zien op de wc-eend (en alles wat daar onder hangt)

Durandal @CoenRan • 13 augustus 2019 15:33

Dat dachten ze ook bij de FAA, en nu zijn we 2 crashes verder en staan de 737 Maxes aan de grond.

Ik geloof niet zo in zelfcontrole binnen commerciele sectors. Dat is een taak voor de overheid of i.i.g. voor volledig onafhankelijke en gescheiden instellingen.

CivLord

@Durandal • 14 augustus 2019 08:46

Klopt helemaal. Helaas kost goed onafhankelijk toezicht veel geld. Het budget van een dergelijke toezichthouder is daardoor altijd een gewilde prooi voor politici die ergens geld voor zoeken, of moeten bezuinigen. (Helemaal wanneer de sector waar toezicht op gehouden moet worden, tegen de politici blijft fluisteren dat ze te veel geld krijgen en hun werk niet goed doen.)
Het bezuinigen op zich is dan niet eens het grootste probleem. Wanneer je op elke grote afdeling één persoon weg stuurt bespaar je al veel geld en nemen vaak alleen de doorlooptijden iets toe. Maar meestal gaat zo'n bezuiniging gepaard met een reorganisatie om de toezichthouder efficiënter te maken (verkooppraatje om het publiek te laten denken dat de organisatie nu geld verspilt en dat met het wegsnijden van dure onnodige zaken het werk beter en goedkoper gedaan kan worden). Tijdens de duur van zo'n reorganisatie draait zo'n toezichthouder vaak maar op have kracht, omdat iedereen naast zijn eigenlijke werk ook met organisatorische zaken bezig is of omdat afdelingen tijdelijk onbereikbaar zijn of taken zijn overgedragen naar afdelingen die daar nog niet op berekend zijn.
Daarnaast zijn overheidsorganisaties sowieso vaal in een permanente staat van reorganisatie omdat blijkt dat de doelen van een eerder ingezette reorganisatie niet gehaald worden, te duur worden of door extra bezuinigingen bijgesteld moeten worden, of omdat door gewijzigde wetgeving taken verdwijnen, toegevoegd worden of veranderen.

burne 13 augustus 2019 14:36

Dit lijkt een hoop overlap te hebben met de ISO 27001 die veel bedrijven net binnengehaald hebben. ISO 27001 gaat vooral over informatiebeveiliging, en DPC (?) over persoonsgegevensbeveiliging, maar ik zie in een snelle scan heel veel overlap. Wij bewaren alle gevoelige data gecrypt of veilig achter slot en grendel, niet alleen de persoonsgegevens. Is er iemand dusdanig bekend met de Data Pro Code om de verschillen aan te kunnen geven?

CoenRan @burne • 13 augustus 2019 14:44

Er is ook veel overlap. Een goede informatiebeveiliging maakt een goed privacy beleid een stuk eenvoudiger. Echter garandeert ISO 27001 nog niet dat aan alle eisen van de AVG (bedoelde je die?) wordt voldaan, zoals bijvoorbeeld de juiste administratie, communicatie naar klant en de betrokkenen of privacy by design.

Zoals ik deze code nu lees is het niet veel meer dan de stap meer dat je moet doen na het behalen van een ISO27001 certificering om ook de AVG zaken op orde te hebben. Het ziet er (relatief) niet uit als veel werk.

burne @CoenRan • 13 augustus 2019 14:50

Ik deed een voorstel om Data Pro Code af te korten. AVG is het wettelijke kader, DPC is een mogelijke toetsing van een beleidsmatige uitwerking van de eisen die de AVG stelt.

CoenRan @burne • 13 augustus 2019 14:51

Ah, nu snap ik hem. Gelukkig is mijn antwoord niet helemaal onzinnig zonder deze vertaling.

Goldwing1973 @burne • 13 augustus 2019 15:05

Aaahh.. DPC.... de op tweakers wel bekende “Dutch Power Cows”... ohh.. wacht..

[Reactie gewijzigd door Goldwing1973 op 23 juli 2024 11:22]

wica @burne • 13 augustus 2019 14:57

Weet je wat zo jammer is aan de ISO27001, dat er geen onaangekondigde audits uit gevoerd worden.
Ook wij hebben de ISO 27001 behaald o.a. van wegen de persoonsgegevens, maar het werd na het behalen van het certificaat, direct weer door de directie genegeerd (iso staat of valt, bij de directie). Tot denk ik 2 maanden voor de volgende audit.

Dit vind ik echt een heel groot gebrek aan de ISO27001.

Ik hoop, dat deze nog op te richten Toezichthouder, wel aan onaangekondigde audits gaat doen.

K-aroq @wica • 13 augustus 2019 15:10

Te makkelijk om de schuld alleen bij de directie te leggen. Kennelijk boeit het de medewerkers dus ook helemaal niet als de manier van werken direct over boord wordt gegooid. Ik denk dat het eerder daar fout is gegaan. Als iedereen er van overtuigd is dat iets als ISO27001 voordelen biedt dan is het helemaal geen discussie meer.

wica @K-aroq • 13 augustus 2019 15:15

De directie moet zorgen dat er tijd en middelen voor vrij gemaakt worden en beleid uitdragen. Maar de directie ziet het naar mijn mening, voornamelijk als sales argument, zodat ze bij "moeilijke" vragen naar de ISO kunnen verwijzen.

Keypunchie @burne • 13 augustus 2019 14:40

Ik had precies dezelfde vraag. Net een pittig ISO 27001-traject doorlopen, waar zowel op papier beleid is gezet, als in de praktijk veranderingen zijn doorgevoerd, zoals sterkere encryptie en access-control 'intern', het stofkammen door verouderde encryptie, maar ook bvb. voor alle medewerkers 2FA doorgevoerd voor online diensten en het invoeren van bepaalde audits.

Lijkt me dat dat toch een superset moet zijn t.o.v. zo'n gedragscode.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 11:22]

nXXt @burne • 13 augustus 2019 14:57

Er zit zeker de nodige overlap tussen informatiebeveiliging en persoonsgegevensbeveiliging: het eerste is een van de voorwaarden voor het laatste, maar bepaald niet de enige. Zo kun je bijvoorbeeld heel veilig allerlei gevoelige data opslaan, maar zegt dat natuurlijk niet of de opslag van die data op zichzelf legitiem is.

Een heel groot deel van de AVG gaat namelijk over welke grondslagen legitiem zijn voor het verzamelen van persoonsgegevens, het recht om vergeten te worden en zaken rondom proportionaliteit.

Falcon10 13 augustus 2019 14:57

Details over de gebruikte certifieëringen

$_/-\o_$

De dag dat ik belang ga hechten aan ISO certificaten van bedrijven, mag je mij direct van een brug smijten.
Ken meer dan een handvol bedrijven die op elk verdiep en aan de inkom etc zo'n mooi kadertje hebben hangen met hun ISO9001, 14001, 50001 etc etc hebben hangen, want ze zijn gecertifieerd en er trots op.
Terwijl ik zelf meer dan goed weet dat het zever in pakjes is, omdat ze zelf hun eigen voorschriften ofwel niet kennen/niet toepassen/niet hebben.
ISO certificaat betekend voor mij 0,0% meerwaarde aan geloofwaardigheid/vertrouwen in een bedrijf.

Als je backup al 2 jaar niet werkt, en je krijgt het toch voor elkaar om na een audit een ISO 27001 certificaat te krijgen ...... dan stel ik me vragen bij die auditbedrijven.

Sergelwd @Falcon10 • 13 augustus 2019 15:04

Vind het ook nogal een papieren tijger.
Bij de vele schendingen van onze rechten zijn er nooit echte boetes en herstelbetalingen gedaan, onze gegevens liggen al in veelvoud op straat(de donkerste steegjes dan) en bedrijven lijken zich vooral in te willen dekken en verantwoordelijkheden weg te wuiven met dit soort gedragscodes.

K-aroq @Falcon10 • 13 augustus 2019 15:15

Natuurlijk zijn er bedrijven die de papiertjes halen om de verkeerde redenen. Maar voor het gros van de bedrijven maakt het gewoon onderdeel uit van het overall kwaliteitbeleid.

En organisaties die van heroes (zoals jij blijkbaar bent) aan elkaar hangen gaan mij niet als klant krijgen. Als de individuen die voor kwaliteit (zonder kwaliteitsbeleid) opstappen stort de kwaliteit van zo'n organisatie in. Met een fatsoenlijk beleid, gebaseerd op ervaringen (zoals ISO, maar er zijn ook andere mogelijkheden), is de continuiteit van een organisatie geborgd.

Michiele93 @Falcon10 • 13 augustus 2019 16:09

ISO27001 is ook een certificaat voor de opzet en bestaan van interne informatiebeveiliging controles, geen werking over een periode.

Zie hier ook een artikel over verschil met assurance en certificering: https://www.compact.nl/ar...-versus-it-certificering/

WhatsappHack

Privacy
AVG

13 augustus 2019 14:38

“ Zo bevat de Data Pro Code de verplichting dat organisaties een Data Pro Statement publiceren, waarin ze uiteenzetten welke beveiligingsmaatregelen ze hebben genomen. Onder andere geven ze in deze verklaringen details over het gebruikte informatiebeveiligingssysteem, standaarden, certificering, pseudonimisering en versleuteling, back-ups, redundantie en de contactgegevens van de contactpersoon voor dataprotectie.”

Sommige van die zaken moeten ook al in de privacy policy, voegt dat heel veel toe?

Ik ben wel benieuwd wat hiermee bedoeld wordt trouwens, want je gaat toch niet alle beveiligingsmaatregelen tot in diep detail publiceren? Ja I know, trust me I know, security by obscurity is no security - maar het kan wel een bijdrage leveren om het niet te makkelijk te maken en onopvallende valletjes te zetten. Raar voorbeeld hoor, maar om het in perspectief te zetten: een kluis verstoppen is geen garantie dat ie niet gevonden wordt, maar als je bordjes in je huis ophangt “Kluis - 2e etage, bewegingssensor met alarm vermijden op de overloop” en er dan een grote pijl bijzet onder welk floorboard ie verstopt zit, dan weet je iig zeker dat ie makkelijk en snel gevonden wordt zonder dat je ‘t weet.

De basis vermelden is een prima zaak en erg goed natuurlijk, maar alles over je beveiliging tot in de puntjes uitleggen lijkt me toch een minder strak plan. Verrassingen kunnen bijdragen aan de detectie (en vervolgens mitigation) van opvallend gedrag. Als ze bedoelen dat je enkel in heel algemene termen moet aangeven dat er monitoring plaatsvindt ofzo is het een ander verhaal en heb ik niets gezegd.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 11:22]

CoenRan @WhatsappHack • 13 augustus 2019 14:48

Er staat dat het doel is om te zorgen dat de klant een goed onderbouwde beslissing kan maken. Daarvoor zal je dus genoeg informatie moeten geven om de klant tevreden te stellen.

Ik denk dus ook dat je niet al je geheimen prijs hoeft te geven, maar sommige klanten zullen doorvragen en dan geef je hiermee aan dat je dan meewerkt.

OverSoft 13 augustus 2019 14:57

Ik vraag me af hoe gedetailleerd je moet aangeven wat de beveiligingsmaatregelen zijn die je hebt genomen. Ik kan me namelijk voorstellen dat dat namelijk als makkelijke bron kan worden gebruikt voor het testen van zero-days of niet gepatchte systemen.

K-aroq @OverSoft • 13 augustus 2019 15:12

Als je heel gedetailleerd de boel in kaart gaat brengen is de kans groot dat je zelf die problemen al hebt gevonden voor dat hackers ze vinden. Nu is het meestal onwetendheid als er vulnerabilities zijn.

OverSoft @K-aroq • 13 augustus 2019 16:17

Ben ik het niet met je eens. Als je bijvoorbeeld specifieke software of versies noemt, kunnen die dingen misschien nu wel veilig zijn, maar over (bijvoorbeeld) 2 maanden niet meer.
Zo kunnen anderen er sneller bij zijn dan de sysadmin.

Ik dek nu alle "lekken" juist af, door alle headers van NginX, PHP, Python, etc... allemaal niet uit te sturen.
En dan zal je ze nu vrolijk op je website vermelden.

Ik weet dat security through obscurity geen security is, maar als het een paar dagen fuzzen scheelt, is het toch wel heel praktisch.

DrPoncho 13 augustus 2019 14:37

Mooi startpunt voor hackers.

arbraxas @DrPoncho • 13 augustus 2019 14:55

Lijkt me niet dat bedrijven even hun hele veiligheidssystemen openbaar maken. Zal meer algemene termen zijn als persoonsgegevens worden versleuteld opgeslagen. Het hoe en waar krijg je echt niet.
Dus nee, ik zie niet hoe dit als startpunt moet dienen.

[Reactie gewijzigd door arbraxas op 23 juli 2024 11:22]

DrPoncho @arbraxas • 13 augustus 2019 15:53

Onder andere geven ze in deze verklaringen details over het gebruikte informatiebeveiligingssysteem, standaarden, certificering, pseudonimisering en versleuteling, back-ups, redundantie en de contactgegevens van de contactpersoon voor dataprotectie.

Dit is een stuk uitgebreider dan de 'het is beveiligd' melding die jij noemt. Lijkt me een prima opsommig van wat je kunt verwachting als je ergens in wilt breken, en de moeite waard als startpunt.

Tunaflish @DrPoncho • 13 augustus 2019 16:15

Dat beschrijf je toch gewoon in iets meer managementtaal, zoals 'moderne sterke encryptie' en 'industriestandaarden voor code'? Zeg je nog steeds niks over hoe je een en ander precies doet, maar wel dat je maatregelen hebt genomen. Eventuele klanten zien dat je er iets mee doet, hackers kunnen er niks mee, en mocht je als toekomstige klant met vragen daarover zitten, kun je die in een gesprek stellen waarbij ze er dan naar jou iets specifieker op in kunnen gaan.

widodepido 13 augustus 2019 16:00

Fijn dit. Nu alleen de juristen van de ICT branche-klanten het werkje nog even doorlichten. Ik denk dat daar nog wel wat uitkomt. Als die check gereed is heeft Ondernemend Nederland weer wat meer duidelijkheid.

mutley69 13 augustus 2019 20:28

Wat had de bankencrisis uit 2007 ons MOETEN leren?

Zelfregulering werkt niet, nu niet, nooit!

En daarmee is voor mij de kous af. De politiek heeft ons opnieuw verraden.

Da's hard, maar u gaat daar geen haar tussen krijgen, zeker weten.

CivLord

@mutley69 • 14 augustus 2019 08:52

Waar heb jij het laatst op gestemd?
Op een partij die voor een kleine overheid is, of op een partij die voor een groot overheidsapparaat is? Wanneer dat op een partij uit de eerste categorie is, heb je totaal geen recht van spreken, dan voert de politiek gewoon uit waar jij voor gekozen hebt.

Hbtb 13 augustus 2019 23:01

Standaardisatie heeft zijn voordelen.
Datapro statements die ik heb gezien zijn van wisselende kwaliteit.

De eerste te beantwoorden vraag is of een IT dienstverlener wel verwerker is en niet in feite verantwoordelijke. De IT dienstverlener die slechts een contract toestaat en de verantwoordelijke geen invloed geeft op de verwerking is in feite gewoon verantwoordelijke: want hij bepaalt!
Voor een standaarddienst is de IT dienstverlener gewoon verantwoordelijke en gee verwerker.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (44)

Sorteer op:

Weergave: