Privacy Audit Proof certificaten voor CBS-processen

26-9-2016 12:00 / Auteur: Masja de Ree

Onlangs is door PricewaterhouseCoopers (PwC) een audit gehouden over veertien statistiekprocessen. CBS voldoet voor die processen aan alle normen als het gaat om veilig omgaan met data en privacygevoelige informatie. CBS ontvangt voor alle veertien processen een Privacy Audit Proof certificaat en neemt hiermee een unieke plek in onder overheidsinstellingen.

Voldoen aan alle normen

‘CBS gebruikt héél veel gegevens over personen om statistieken mee te maken’, zegt Max Booleman van CBS. ‘Daar moeten we zorgvuldig mee omgaan en daartoe nemen we veel maatregelen.’ Booleman is functionaris gegevensbescherming bij CBS. Dit betekent dat hij erop toeziet dat de privacy van personen bij het maken van statistieken gewaarborgd is. ‘Door ook een externe instantie naar onze werkwijze te laten kijken, hebben we nog meer zekerheid.’ PwC voerde de audit uit op basis van de normen van de Autoriteit Persoonsgegevens en stelde vast dat CBS aan alle normen voldoet.

Veilig werken

Een goede beveiliging van persoonsgegevens bestaat niet alleen uit een veilige IT-infrastructuur. Ook de werkprocessen zijn van belang. Hoe gaan medewerkers om met gegevens? Hoe zorgt CBS ervoor dat informatie niet te herleiden is tot personen? Wie heeft toegang tot welke informatie? Hoe zorg je ervoor dat geen onbevoegde personen het gebouw binnenkomen? Al deze zaken zijn gecontroleerd tijdens de audit.

‘Door ook een externe instantie naar onze werkwijze te laten kijken, hebben we nog meer zekerheid’

Steeds meer data

Om er voor te zorgen dat zorgvuldig wordt omgegaan met data en privacygevoelige informatie hanteert CBS drie uitgangspunten. Booleman: ‘Om te beginnen verwijderen we direct herkenbare persoonsgegevens zoals Burgerservicenummers uit de databestanden, zodra we ze binnenkrijgen. Ten tweede zorgen we ervoor dat medewerkers alleen bij die bestanden kunnen die ze nodig hebben. Tot slot bewaren we geen bestanden die we niet meer gebruiken. Wij krijgen bijvoorbeeld informatie van de Belastingdienst. Zodra die verwerkt is, wordt het bronbestand vernietigd. Dan krijg je geen wildgroei. Met deze drie uitgangspunten beschermen we ook de groeiende hoeveelheid big data van CBS.’

Bewustzijn en transparantie

Voor de afdelingen was de audit een intensief proces. Irene Salemink, directeur van de afdeling waar bedrijvenregisters worden bijgehouden: ‘We hebben ons goed voorbereid. Tijdens de audit zijn medewerkers geïnterviewd en heeft de auditcommissie bekeken of we ook doen wat we zeggen. Het was een intensief en spannend proces, maar het heeft ons ook veel opgeleverd. Het auditproces zorgt op de afdeling voor nog meer bewustzijn en transparantie. Wij vinden dit erg belangrijk. Er zijn steeds meer data. Het wordt steeds complexer. Dan is het extra belangrijk om het overzicht te houden en de privacy blijvend te beschermen.’

Samenwerking buiten CBS

In de veertien statistiekprocessen die het Privacy Audit Proof certificaat ontvingen, wordt gewerkt met extra gevoelige data, bijvoorbeeld medische en strafrechtelijke gegevens. Daarom zijn deze processen als eerste geaudit. Over twee jaar wil CBS beschikken over een organisatiebreed Privacy Audit Proof certificaat. Booleman heeft veel contact met de functionarissen gegevensbescherming die werkzaam zijn bij ministeries. ‘Zij zijn zeer geïnteresseerd in de manier waarop CBS zijn privacybeleid vorm geeft. ’

Behoeften in de samenleving

Masja van Rooij, hoofd Rechtsbescherming en Veiligheid, is het met haar collega eens: ‘Als CBS willen we graag de samenwerking met andere partijen uitbreiden: denk voor ons thema aan politie, brandweer, het openbaar ministerie, de Raad voor de rechtspraak, et cetera. Daardoor kunnen we de statistieken verbeteren en beter laten aansluiten op de behoeften in de samenleving. Het helpt daarbij dat deze audit laat zien dat CBS in staat is om gevoelige informatie te hanteren en daar zorgvuldig mee omgaat.’