Compliancy
Compliancy betekent voldoen aan de eisen die worden gesteld. Die eisen liggen voor iedere organisatie anders. Compliancy eisen kunnen organisatie- of branche-specifiek zijn of universeel gelden. In dat laatste geval kennen de eisen vaak een bepaald aandachtsgebied. Het gebruik van persoonsgegevens bijvoorbeeld.
Regelgeving rond persoonsgegevens
In Nederland wordt de belangrijkste regelgeving rond persoonsgegevens en privacy vastgelegd in de Wpb. Zie voor meer informatie over deze regelgeving onze pagina over privacy.
Daarnaast spelen Europese richtlijnen een grote rol. Vanuit de Europese Commissie wordt gewekt aan een opvolger van de huidige ‘Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’. Het doel is om de richtlijn om te zetten in een verordening. Een van de belangrijkste voorbereidende stukken hiervoor betreft de “Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). Belangrijke punten uit de nieuwe richtlijn vormen ‘het recht om vergeten te worden’, ‘uitdrukkelijke toestemming’ en ‘profiling’.
Daarnaast kunnen er specifieke regels gelden binnen een organisatie, zoals een eigen code of conduct of zelf gestelde normering, die op bepaalde punten aanvullende regels geeft. Ook binnen branches is daar vaak sprake van, denk aan regels voor de financiƫle sector zoals de Wft (wet Financieel Toezicht), SOX en SEPA; de NEN 7510 in de zorg; de Archiefwet voor de overheid; etc.
Misverstand
De kern van zowel de Europese regelgeving als de Wbp is: u mag gegevens van personen NIET gebruiken voor enig ander doel dan waarvoor die gegevens aan u zijn verstrekt. En dat gaat ver. Heel ver. U bent in overtreding voor u het in de gaten heeft. Een aantal misverstanden op dit punt:
- Ik zorg voor een uitstekende bescherming of beveiliging van persoonsgegevens.
Dat is niet voldoende. U mag veel gegevens niet eens vast leggen.
- Ik leg geen echte persoonsgegevens vast.
Ook veel van de zogenaamd anonieme informatie over personen, zoals koopgedrag, ziektebeeld, financiƫle gegevens, vallen onder de Wbp., omdat deze informatie naar personen herleidbaar kan zijn.
- Ik test met geanonimiseerde persoonsgegevens.
De Wbp is hier duidelijk in: dat mag alleen als de gegevens volledig fictief zijn. Anonimiseren van bestaande gegevens is dan niet voldoende.
Verdere informatie over compliancy is te verkrijgen via uw auditbureau. Heeft u die niet of wilt u vrijblijvend meer informatie over dit onderwerp, neem dan contact met ons op. Waar nodig of gewenst brengen we u graag in contact met erkende auditors in uw branche.
Hoge compliancy met Testdorp
Wilt u weten waar u nu staat? We adviseren u om een scan te laten doen met specifieke aandacht voor het onderdeel privacy en de Wbp. Dat is de enige manier om te borgen dat u over de volledige breedte van uw organisatie daadwerkelijk compliant bent aan deze wet en regelgeving.