Alexander Singewald zet uiteen welke kwaliteitseisen de wet aan persoonsgegevens stelt. De Wet bescherming persoonsgegevens (Wbp) spreekt over juiste en nauwkeurige gegevens. Een vage terminologie. Waar de Wbp op doelt is transparantie. Dit betekent dat bij gegevensverwerking moet worden voldaan aan: de informatieplicht; bieden van het verzetsrecht; melding maken bij het CBP; algemene geheimhouding en grondslag tot gegevensverwerking. De eisen zijn proportioneel. Maar kwaliteit van gegevens speelt altijd een belangrijke rol op een ander niveau: bijvoorbeeld bij het ontdubbelen van gegevens. Onjuiste data zorgen niet alleen voor een hoog percentage verspilling, maar doet het bedrijfsimago ook geen goed.
3. Wet bescherming
persoonsgegevens
Artikel 11
• Persoonsgegevens worden slechts verwerkt voor zover
zij, gelet op de doeleinden waarvoor zij worden
verzameld of vervolgens worden verwerkt, toereikend,
ter zake dienend en niet bovenmatig zijn.
• De verantwoordelijke treft de nodige maatregelen opdat
persoonsgegevens, gelet op de doeleinden waarvoor zij
worden verzameld of vervolgens worden verwerkt, juist
en nauwkeurig zijn.
Wat is juist en nauwkeurig?
• Transparantie:
– Voldoen aan informatieplicht
– Recht van verzet
– Melden bij het College bescherming
persoonsgegevens
– Algemene geheimhouding, alleen die
persoonsgegevens verwerken die noodzakelijk zijn
voor uitvoering taak of verstrekken op basis van een
wettelijk voorschrift
– Grondslag: overeenkomst, pre-contractueel,
gerechtvaardigd belang
2
4. Procedureel
• Heeft u procedures en maatregelen getroffen waarmee de
kwaliteit van de gegevensvoorbereiding en de invoer van
gegevens gewaarborgd kan worden?
• Zo ja, is hierbij aandacht besteed aan:
• Gegevensvoorbereiding door de gebruikersorganisatie.
– Persoonsgegevens worden alleen verzameld en verder verwerkt voor
het doel waarvoor ze zijn bestemd. De persoonsgegevens zijn terzake
dienend, niet bovenmatig,juist en nauwkeurig. Invoerformulieren en
invoerschermen waarborgen onder meer dat fouten en het achterwege
laten van invoer wordt geminimaliseerd?
• Autorisatie van brondocumenten.
– Brondocumenten worden gemaakt door geautoriseerd personeel.
– Er is voldoende functiescheiding met betrekking tot de oorsprong en
goedkeuring van een brondocument?
• Gegevens verzamelen voor brondocumenten.
– Alle geautoriseerde brondocumenten worden tijdig,volledig,accuraat en
juist verantwoord en verwerkt?
Procedureel
• Foutbehandeling brondocumenten.
– Tijdens het opstellen van gegevens worden fouten en
onregelmatigheden ontdekt,gemeld en gecorrigeerd?
• Handhaven brondocumenten.
– Originele brondocumenten blijven in bezit van de organisatie of zijn
binnen een acceptabele termijn te verkrijgen indien reconstructie of
herstel van gegevens nodig is en om te voldoen aan de wettelijke
eisen?
• Autorisatieprocedures gegevensinvoer.
– Gegevens worden alleen door geautoriseerde personeelsleden
ingevoerd?
– Foutenafhandeling tijdens gegevensinvoer waarborgt dat fouten e.d.
worden ontdekt,gemeld en gecorrigeerd?
• Juistheid-,volledigheid,- en autorisatiecontroles.
– Ingevoerde gegevens worden gecontroleerd op juistheid,volledigheid en
autorisatie.Tevens worden de ingevoerde gegevens zo dicht mogelijk bij
de bron gevalideerd en bewerkt?
• Herstelprocedure gegevensinvoer.
– Herstelprocedures zorgen voor correctie van onjuiste invoer van
gegevens?
3
5. Procedureel
• Heeft u procedures en maatregelen getroffen
waarmee de kwaliteit van de gegevensverwerking
gewaarborgd kan worden?
• Zo ja, is hierbij aandacht besteed aan:
• Validatie van gegevensverwerking en bewerking.
– Validatie van de gegevensverwerking,authenticatie en bewerking
vindt zo dicht mogelijk bij de plaats van ontstaan plaats?
• Integriteit van de gegevensverwerking.
– Functiescheiding en het controleren van de verwerking van
persoonsgegevens in de vorm van bijvoorbeeld
(geprogrammeerde)verbanden en totalen,mutatie- en andere
verwerkingscontroles?
• Foutafhandeling bij gegevensverwerking.
– Onjuiste transacties worden vastgelegd en geïdentificeerd
zonder dat ze verwerkt worden of dat andere juiste transacties
vervallen of worden onderbroken?
Procedureel
• Heeft u procedures en maatregelen getroffen waarmee de kwaliteit van
de uitvoer en de integriteit van gegevensbestanden gewaarborgd kan
worden?
• Zo ja, is hierbij aandacht besteed aan:
• Beoordelen van uitvoer.
– De juistheid van de uitvoerverslagen wordt gecontroleerd door de verstrekker en
de relevante gebruikers? De afhandeling van fouten in de uitvoer wordt
beheerst?
• Behandelen en behouden van uitvoer.
– Uitvoerformulieren uit de informatiesystemen worden behandeld en indien onjuist
niet verstrekt?
• Vergelijken en herstellen uitvoer.
– De uitvoer wordt automatisch vergeleken met relevante controletotalen.
– Audit trails worden ter beschikking gesteld voor het traceren van verwerkte
gegevens en herstellen van verminkte gegevens?
• Librarybeheer.
– De inhoud van de gegevens opgeslagen in de bibliotheek wordt systematisch
geïnventariseerd en de integriteit van de bewaarde media wordt
instandgehouden?
4
6. Welke eisen, waarvoor?
• Polisadministratie: zware eisen
» bewijsfunctie
• Marketing bestand: lichtere eisen
– Kwaliteit speelt wel bij ontdubbeling
• Risico bij ontdubbeling met lokaal en branche
Infofilter
• Proportionaliteit
Opt definities
• Opt-in: voorafgaande toestemming van de
betrokkene
• Opt-out: recht om te blokkeren door
betrokkene zelf
5
7. Opt-in / Opt-out
– geadresseerde mail: opt-out
– spraak telefoon: opt-out
– fax: opt-in
– automatisch belautomaten
zonder menselijke
tussenkomst, prerecorded
boodschap: opt-in
– ongeadresseerde mail: opt-out
Elektronische berichten I
• Commercieel, charitatief en ideëel
• Elektronische berichten: ieder bericht
dat kan worden opgeslagen in
netwerk of randapparatuur
• E-mail, sms, mms
• Hoofdregel: altijd voorafgaande
toestemming nodig van de abonnee
om zijn elektronische
contactgegevens te gebruiken (opt-
in)
6
8. Elektronische berichten II
• Uitzondering: indien in het kader van
verkoop elektronische
contactgegevens worden verkregen
is gebruik toegestaan voor
aanbieden van eigen, gelijksoortige
producten en diensten, mogelijkheid
geboden om gebruik te blokkeren bij
verzamelen van elektronische
contactgegevens
B-to-B e-mail
• B-to-B email onder de werking van de
Telecommunicatiewet, wetsvoorstel in
parlement
– Zelfde regime als b-to-c: voorafgaande
toestemming
• Uitzondering: e-mailadres dat bekend is gemaakt
om te worden gebruikt voor commerciële
doeleinden
7
9. l
.n
cy
B-to-B e-mail pr
iva
n@
u re
• B-to-B email onder de werking evan de st
rto
Telecommunicatiewet, wetsvoorstel in n aa
er
parlement hi
st
ru voorafgaande
ge
– Zelfde regime als b-to-c:
tu
toestemming kun
tie
• Uitzondering: e-mailadres dat bekend is gemaakt
ica
om teun worden gebruikt voor commerciële
m
co
doeleinden
ci ele
er
m
C om
Bovenmatigheid
• ‘toereikend, ter zake dienend en niet
bovenmatig’
– Let op bij verrijking
• Noodzaak kunnen onderbouwen, anders is het
verwerken niet toegestaan:
‘Je weet maar nooit’
8
10. Wet- en regelgeving
• Wet bescherming persoonsgegevens
• Telecommunicatiewet
• Wet financiële dienstverlening
• Gedragscodes
– Fedma DM gedragscode
– Gedragscode verwerking persoonsgegevens
Financiële Instellingen
• Etcetera
Onderzoek en statistiek
• Gedragscode voor onderzoek en statistiek
• Nimmer rapporteren op identificerend
niveau, tenzij met uitdrukkelijke
toestemming:
– Kwaliteit van gegevens
– Procedures
9
11. Praktijk
• Als je gegevens kwalitatief goed zijn is het geen
garantie voor een juist gebruik van gegevens
Vragen?
10