ACHTERGROND
Bestuurders en professionals in het publieke domein hebben in toenemende mate te maken met complexe vraagstukken rond sociale veiligheid. Vraagstukken die samenhangen met onder andere polarisatie, sociale spanningen, radicalisering, politiek en religieus extremisme.
NTA biedt inzicht in de aard en omvang van deze vraagstukken en geeft duiding aan gedrag, houding en uitspraken van groepen, stromingen en individuen. Hiermee kunnen organisaties hun informatiepositie versterken, grip krijgen op de afzonderlijke vraagstukken en hiervoor effectief beleid ontwikkelen.
Samen met haar opdrachtgevers en partners zet NTA zich in voor het vergroten van de sociale veiligheid en het beschermen van de rechtsstaat. Het werkgebied van NTA omvat voornamelijk het publieke domein met opdrachtgevers als ministeries, gemeenten, rechtbanken, onderwijsinstellingen en universiteiten.
OPDRACHTGEVERS
NTA werkt voor verschillende opdrachtgevers in verschillende domeinen. Derhalve dient NTA zich te houden aan de specifieke wet- en regelgeving die geldt per opdrachtgever.
Zo kent een onderzoek binnen de persoonsgerichte aanpak (PGA) van contraterrorisme andere waarborgen dan een krachtenveldanalyse (KvA) naar fenomenen en ontwikkelingen in een gemeente. Omdat NTA uiteenlopende producten en diensten levert, vraagt dit een hoge mate van compartimentering en beveiliging van informatie. Daarnaast dient ook het gedrag van medewerkers en de organisatiecultuur aan te sluiten bij deze mate van informatiebeveiliging. Hierbij heeft het scheiden van informatiestromen en bronnen de hoogste prioriteit.
In eerste aanleg wordt NTA gecontroleerd door haar opdrachtgevers en is dit een vast onderdeel voorafgaand aan het aannemen van een opdracht.
Daarnaast heeft NTA waarborgen ingebouwd om aan de doelstellingen te kunnen voldoen van de eigen informatiebeveiliging en haar privacybeleid. Zo is dit beleid ‘by design’ op zodanige wijze ingericht dat medewerkers alleen autorisatie en toegang hebben tot onderzoeken waar zijzelf direct een opdracht voor hebben. Daarbij is er een strikte scheiding in rollen aangebracht. Zo kunnen onderzoekers die aan KvA’s werken niet ingezet worden bij opdrachten binnen de PGA en vice versa.
DOELSTELLINGEN VAN INFORMATIEBEVEILIGING EN PRIVACYBELEID
Een belangrijk doel van informatiebeveiliging is het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie voor NTA. Hieronder zijn de doelstellingen van de informatiebeveiliging en het privacybeleid van NTA geformuleerd:
- Voldoen aan wet- en regelgeving;
- Het waarborgen van de privacy van betrokkenen, waaronder ook de opdrachtgevers en de personen die onderdeel uitmaken van de werkzaamheden en diverse onderzoeken;
- Periodiek verantwoording afleggen over het gevoerde informatiebeveiligings- en privacybeleid;
- Transparantie (kunnen) aantonen ten aanzien van de informatiebeveiliging naar diverse belanghebbenden;
- Zorgdragen voor risicobewust handelen van medewerkers.
Los van deze doelstellingen is het naleven van de privacyregels van belang voor:
- de bescherming van de continuïteit van de bedrijfsvoering binnen NTA;
- de bescherming van middelen en kapitaal;
- het voorkomen en beheersbaar maken van calamiteiten;
- het beschermen van het imago van NTA.
Het informatiebeveiligings- en privacybeleid is gebaseerd op dan wel een afgeleide van de eisen die de opdrachtgevers stellen aan de beveiliging en privacy van informatie door NTA. Bij het opstellen van het beleid is rekening gehouden met de eisen vanuit de Code voor Informatiebeveiliging (NEN-ISO/IEC 27001), de Algemene verordening gegevensbescherming (AVG) en NEN 7510 (2017). Ook wordt gekeken naar ‘best practise’-voorbeelden van andere organisaties.
TOEZICHT EN CONTROLE
NTA hecht grote waarde aan onafhankelijke controle op de uitvoering van haar bedrijfsvoering en werkzaamheden. In dat kader heeft de directie gekozen om het toezicht van alle controlemechanismen bij onafhankelijke, externe deskundige partijen te beleggen. Hiermee beoogt NTA ook een organisatiecultuur te creëren waarbij verantwoording afleggen onderdeel is van het dagelijkse werk.
FUNCTIONARIS GEGEVENSBESCHERMING (FG)
NTA laat een externe onafhankelijke Functionaris Gegevensbescherming (van DPO Consultancy) toezicht houden op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). Hiertoe houdt de Functionaris Gegevensbescherming een register van verwerking bij, ziet toe op de uitvoering van zogenaamde data protection impact assessments (DPIA’s), fungeert als (eerste) aanspreekpunt en sparringpartner voor de Autoriteit Persoonsgegevens (AP) en handelt de mogelijke datalekken af. Daarnaast geeft de Functionaris Gegevensbescherming (gevraagd en ongevraagd) advies aan de directie. Dit alles doet hij/zij vanuit een onafhankelijke positie.
GESPECIALISEERDE PRIVACY ADVOVCATEN
NTA levert producten en diensten met een grote mate van complexiteit in een politiek-bestuurlijke omgeving. Om de risico’s op (onbedoelde) privacyschending en aansprakelijkheid te mitigeren, is NTA gebaat bij het organiseren van tegenspraak.
In dat kader laat NTA haar producten toetsen door een gespecialiseerd advocatenkantoor met een internationaal trackrecord. In het verleden hebben deze toetsingen bijgedragen aan het compliant houden van de producten en diensten aan de geldende regels en aan het verbeteren en verscherpen van het NTA-informatiebeveiligings- en privacybeleid. De laatste toetsing heeft in het voorjaar van 2021 plaatsgevonden. Bij deze toetsing is gekeken of de werkwijze van NTA in relatie tot bijvoorbeeld het verrichten van krachtenveldanalyses nog past binnen de kaders van de AVG. Uit deze toetsing is een aantal aandachtspunten naar voren gekomen en deze aandachtspunten zijn weer door de FG getoetst. Hierna zijn deze aandachtspunten conform de ISO 7002-normering vertaald in eventuele risico’s en vervolgens in maatregelen om deze risico’s te mitigeren.
FUNCTIONARIS INFORMATIEBEVEILIGING (FI)
De Functionaris Informatiebeveiliging is een vanuit de directie gedelegeerde verantwoordelijke ten aanzien van het opstellen van, het communiceren over en het toezien op de naleving van het informatiebeveiligings- en privacybeleid. In die hoedanigheid initieert de Functionaris Informatiebeveiliging activiteiten binnen de lijnorganisatie ten aanzien van de uitvoering en naleving van de getroffen maatregelen. Ook initieert de Functionaris Informatiebeveiliging het bewaken van de actualiteit van het beleid, de richtlijnen en de maatregelen. Daarnaast kan de Functionaris Informatiebeveiliging de directie gevraagd en ongevraagd adviseren over de stand en inrichting van de informatiebeveiliging en het privacybeleid.
De Functionaris Informatiebeveiliging is medeverantwoordelijk voor de controle op de algehele en organisatiebrede naleving van het informatiebeveiligings- en privacybeleid en de daarvan afgeleide instructies. De Functionaris Informatiebeveiliging rapporteert de bevindingen hierover aan de directie. Vanuit deze verantwoordelijkheid kan de Functionaris Informatiebeveiliging zelfstandig controles initiëren of uitvoeren om de naleving van het beleid te garanderen. De Functionaris Informatiebeveiliging spreekt ook de directie aan op haar rol in de PDCA-cyclus (waaronder behandelen kwartaalrapportages, beoordelen managementsysteem, sturen op bewustwording van medewerkers).
Daarnaast zorgt de Functionaris Informatiebeveiliging dat geschikte samenhangende procedures voor de classificering en verwerking van informatie zijn vastgesteld en worden nageleefd. Dit betekent dat de Functionaris Informatiebeveiliging bijvoorbeeld toeziet op een adequaat functioneren van het autorisatiebeleid.
VEEL GESTELDE VRAGEN
NTA krijgt geregeld vragen over haar onderzoeksmethoden en de privacyregels. Iedere organisatie moet zich houden aan de wet- en regelgeving en NTA besteedt daar ook zelf veel aandacht aan. De belangrijkste vragen over onderzoek in relatie tot privacy op een rij.
Als een gemeente opdrachtgever is voor een onderzoek door NTA, worden er dan afspraken gemaakt over privacy?
Ja, er worden vooraf duidelijke afspraken gemaakt over de werkwijze, het doel en de middelen van het onderzoek. Indien NTA persoonsgegevens verwerkt, dan doet zij dat in het kader van een opdracht voor een gemeente. Het verwerken van deze persoonsgegevens vormt echter niet de primaire opdracht.
Deze gemeente stelt het doel en de middelen (de wijze waarop onderzoek moet plaatsvinden) vast van de gegevensverwerking waarmee NTA vervolgens te werk gaat. Dit beperkt zich tot de persoonsgegevens van voormannen en voorvrouwen die al online openbaar zijn gemaakt door de onderzochte organisaties dan wel de betrokkenen zelf (dit betreft de geïdentificeerde of identificeerbare natuurlijke persoon op wie de verwerkte en/of de te verwerken persoonsgegevens betrekking heeft).
In overeenstemming met de AVG worden er verwerkersovereenkomsten gesloten met gemeenten waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke zijn opgenomen.
Tijdens de uitvoering van de onderzoeken houdt NTA zich te allen tijde aan de instructies, zoals deze zijn gegeven door een gemeente. Wanneer er instructies worden gegeven die in strijd zijn met de geldende wet- en regelgeving zal NTA de gegeven opdracht niet uitvoeren.
In 2018 is de nieuwe privacywetgeving ingegaan. Wat betekende dit voor de onderzoeken van NTA?
NTA heeft sinds haar oprichting compliance aan wet,- en regelgeving in de meest brede zin van het woord hoog in het vaandel staan. Met de introductie van de AVG en de verhoogde aandacht voor privacy en dataprotectie heeft NTA dan ook alles in het werk gesteld om in samenhang met haar dienstverlening aan haar (publieke) opdrachtgevers onderzoeksmethoden en procedures te laten aansluiten op deze nieuwe standaard. Onafhankelijke externe deskundigen controleren of NTA zich bij het uitvoeren van onderzoek en in het dagelijkse werk houdt aan de (privacy) wet- en regelgeving. Dit is een continu proces waarbij door middel van audits regelmatig getoetst wordt of er nog steeds sprake is van compliance bij NTA. Sinds de invoering van de AVG merkt NTA dat er niet altijd duidelijkheid is over sommige vraagstukken ten aanzien van de AVG binnen het (sociale) veiligheidsdomein. Compliance is daarom een voortdurend proces van het toetsen van de praktijk aan nieuwe jurisprudentie op het gebied van de AVG.
Hoe voorkomt NTA dat informatie uit de onderzoeken oneigenlijk wordt gebruikt voor andere activiteiten?
NTA heeft waarborgen getroffen om aan de doelstellingen te kunnen voldoen van het eigen informatiebeveiligings- en privacybeleid. Zo is het ‘by design’ op zodanige wijze ingericht dat medewerkers alleen autorisatie en toegang hebben tot onderzoeken waar zijzelf direct een opdracht toe hebben. Daarbij is er een strikte scheiding in rollen aangebracht. Zo kunnen onderzoekers die aan krachtenveldanalyses werken niet ingezet worden bij opdrachten binnen de PGA en vice versa.
Wie controleert of de onderzoekers zich aan de privacywet (AVG) houden?
NTA levert producten en diensten met een grote mate van complexiteit in een politiek-bestuurlijke omgeving. Om de risico’s op (onbedoelde) privacyschending en aansprakelijkheid te mitigeren is NTA gebaat bij het organiseren van tegenspraak.
NTA hecht daarom grote waarde aan onafhankelijke controle op de uitvoering van haar bedrijfsvoering en werkzaamheden. In dit kader wordt NTA in eerste aanleg gecontroleerd door haar opdrachtgevers en is dit een vast onderdeel voorafgaand aan het aannemen van een opdracht.
Daarnaast heeft de directie gekozen om het toezicht van alle controlemechanismen bij onafhankelijke, externe deskundige partijen te beleggen. Hiermee beoogt NTA ook een organisatiecultuur te creëren waarbij verantwoording afleggen onderdeel is van het dagelijkse werk. Allereerst laat NTA haar producten toetsen door een gespecialiseerd advocatenkantoor met een internationaal trackrecord.
Verder houdt een onafhankelijke Functionaris Gegevensbescherming (DPO Consultancy) toezicht op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG).
Tot slot heeft NTA een Functionaris Informatiebeveiliging aangesteld die vanuit de directie een gedelegeerde verantwoordelijkheid heeft ten aanzien van het opstellen van, het communiceren over en het toezien op de naleving van het informatiebeveiligings- en privacybeleid.
Heeft NTA haar interne processen voldoende beveiligd?
Ja, NTA heeft organisatorische en technische maatregelen genomen om ervoor te zorgen dat onbevoegden geen toegang kunnen krijgen tot onderzoeken en onderzoeksresultaten. Toegangsrechten zijn per individu binnen een onderzoeksteam vastgesteld. NTA maakt bij de beveiliging onder andere gebruik van een tweefactorauthenticatie.
Daarnaast wordt het logsysteem periodiek beoordeeld door de leidinggevende en vindt er tweemaal per jaar een IT-risicobeoordeling plaats om de systemen en processen die NTA gebruikt te toetsen. Binnen de organisatie heeft NTA een aantal protocollen en richtlijnen ingesteld die voor alle medewerkers gelden.
Hoe gaat NTA met inzageverzoeken of verzoeken om verwijdering van persoonsgegevens van een onderzoekssubject om?
NTA heeft hiervoor procedures ingericht die in overeenstemming zijn met het wettelijk kader in de AVG. Voor meer informatie verwijst NTA naar haar privacy statement.
Kunnen onderzoekssubjecten klachten indienen bij NTA als zij ontevreden zijn hoe NTA omgaat met hun persoonsgegevens?
Onderzoekssubjecten hebben als betrokkenen op basis van wettelijke bepalingen uit de AVG diverse rechten. Binnen NTA ziet de Functionaris Gegevensbescherming (FG) erop toe dat betrokkenen deze rechten effectief kunnen uitvoeren. De FG is verantwoordelijk voor de behandeling van de verzoeken op basis van deze rechten. In de privacy statement van NTA wordt de betrokkenen uitgelegd hoe ze diverse rechten, zoals het recht op intrekking toestemming, inzage, rectificatie, verwijdering etc., kunnen uitoefenen. Daarnaast is uitgelegd hoe een betrokkene een klacht kan indienen.
