Europese privacywet: het CBS is er klaar voor

/ Auteur: Miriam van der Sangen
© Hollandse Hoogte / EyeEm Mobile GmbH
Op 25 mei van dit jaar treedt de nieuwe Europese privacywet in werking. Daarin staat dat alle bedrijven en overheden precies moeten bijhouden welke gegevens ze verzamelen, waarom en hoe lang ze bewaard worden. Door deze wet hebben inwoners van de Europese Unie (EU) meer invloed op wat er met hun privacygevoelige informatie gebeurt en wat bedrijven en overheden ermee doen. Het CBS is er klaar voor: het voldoet volledig aan de eisen van de nieuwe Europese privacywet.

Zorgvuldig met persoonsgegevens

Door de nieuwe Europese privacywet wordt in ons land de bestaande Wet Bescherming Persoonsgegevens (WBP) vervangen door de Algemene Verordening Gegevensbescherming (AVG). ‘Bedrijven hebben sinds mei 2016 de tijd gekregen om hun processen zo in te richten dat ze voldoen aan de nieuwe regels vanaf 25 mei 2018. Er is dus geen overgangsperiode, de wet gaat onmiddellijk in. Wij zijn tijdig met de voorbereidingen gestart en zijn klaar met de laatste aanpassingen’, aldus Max Booleman, Functionaris Gegevensbescherming bij het CBS. Hij controleert of het CBS zorgvuldig met persoonsgegevens omgaat en houdt een register bij met alle verwerkingen van persoonsgegevens: de privacyboekhouding van het CBS. ‘Met een kleine aanpassing op ons bestaande register waren we klaar met deze nieuwe eis in de AVG.’

Privacy-proof verklaring

Voor het uitvoeren van zijn wettelijke taak verwerft en verwerkt het CBS gegevens voor de officiële statistiek. Deze gegevens ontdoet het CBS zo snel mogelijk na ontvangst van de direct identificerende persoonskenmerken. Met deze zogeheten gepseudonimiseerde gegevens verricht het CBS vervolgens statistisch onderzoek. Eric Schulte Nordholt, statistisch onderzoeker en nauw betrokken bij het onderwerp privacybeveiliging van het CBS: ‘Wij publiceren alleen statistische informatie als individuele personen niet herkenbaar of herleidbaar zijn én als de informatie voldoet aan de hoogste eisen met betrekking tot gegevensbescherming. Dit wordt jaarlijks getoetst door een externe organisatie en resulteert in een privacy-proof verklaring.’ Ook na de invoering van de Europese Privacywet zal het CBS in het najaar van 2018 weer een externe toets laten doen om te kijken of het aan alle voorwaarden van de nieuwe wet voldoet.

‘In het najaar van 2018 zal het CBS weer een externe toets laten doen om te kijken of het aan alle voorwaarden van de Europese privacywet voldoet’

Strikter toepassing AVG

Met de invoering van de nieuwe Europese privacywet verandert er volgens Booleman niet zoveel voor het CBS. ‘We hebben een aantal teksten op de CBS-website moeten aanpassen. Verder legt de AVG meer nadruk op transparantie. Dat betekent bijvoorbeeld dat het CBS helder is over hoe het CBS werkt, over welke gegevens het beschikt en waarom het CBS over deze gegevens mag beschikken.’ Een belangrijk verschil tussen de oude en nieuwe wet is dat de AVG strikter toegepast wordt voor een aantal registerhouders bij het verzamelen van persoonsgegevens. ‘Er zijn hierover in de afgelopen maanden regelmatig terechte vragen van registerhouders bij ons binnengekomen, bijvoorbeeld of zij bepaalde gegevens mogen leveren en hoe het CBS daarmee omgaat.’ In dit kader is op de CBS-site een meer algemene uitleg opgenomen waarin ook verwezen wordt naar het privacy-proof certificaat en het ISO 27001 certificaat. Andersom besteedt het CBS ook extra aandacht aan de aangeleverde bestanden door te kijken of de leverende partij de gegevens mag hebben.

Hoge boetes

Geruime tijd voor het ingaan van de nieuwe Europese privacywet kreeg het CBS ook allerlei vragen van ministeries, agentschappen en Europese statistiekbureaus. Schulte Nordholt adviseert nationale en internationale (overheids)organisaties in deze kwesties, vooral op methodologisch gebied. ‘Een land als Duitsland heeft de voorbereidingen op de nieuwe Europese privacywet tijdig opgepakt, maar voor een klein land als Litouwen met een relatief klein aantal statistische medewerkers is dit een moeilijke klus. Indien instanties in Nederland niet voldoen aan alle eisen van de nieuwe wet kan de Autoriteit Persoonsgegevens hoge boetes - vier procent van de jaarlijkse omzet - opleggen.’

Het CBS voldoet aan hoogste privacy-eisen
Het CBS voldoet sinds jaar en dag aan de hoogste eisen met betrekking tot privacy. Zo houdt het zich aan de privacy-bepalingen in de CBS-wet en de Praktijkcode voor Europese statistieken. Daarnaast is het CBS gecertificeerd voor ISO 27001 in het kader van Informatiebeveiliging en privacy-proof in het kader van privacy. Sinds vorige week voldoet het CBS als eerste statistische bureau in Europa aantoonbaar aan het Europese security framework.

Relevante links