E-Compliance
Ordening
Beschrijving
E-Compliance maakt mogelijk dat SRK-Ketenpartners kunnen verantwoorden aan autoriteiten en betrokkenen in welke mate aan wet- en regelgeving is voldaan bij het verstrekken / ontvangen van informatie vanuit de strafrechtketen
Toelichting
E-Compliance[1] kan als bron optreden voor (elders) uit te voeren toetsingen, zowel op het niveau van individuele verstrekkingen, hetzij op patronen. Of daarmee het werkproces daadwerkelijk rechtmatig is verlopen valt buiten de scope van E-Compliance.
De ketenvoorziening E-Compliance zorgt voor ketenbrede afspraken over gegevensbescherming voor zover dat nodig is omdat het de afzonderlijke organisaties overstijgt. Gegevensbescherming betreft:
- het voldoen aan wet- en regelgeving m.b.t. bescherming persoonsgegevens (AVG, WJSG, WPG[2], PBW, PW, etc.)
Organisaties zijn verantwoordelijk om aan de wet- en regelgeving te voldoen. Daartoe moet een organisatie:- kunnen aantonen dat zij alleen informatieobjecten uitwisselt als daarvoor juridische grondslag(en) en doelbinding(en) zijn;
- vragen kunnen beantwoorden van betrokkene welke informatie over de betrokkene met wie is gedeeld op grond waarvan.
- afspraken rond bescherming van gegevens van slachtoffers, getuigen, justitiabelen.
Het mag niet zo zijn dat als een ketenpartner afspraken maakt tot bescherming van getuigen, slachtoffers of justitiabelen een andere ketenpartner diens gegevens vrijelijk ter beschikking stelt. Zie o.a. de nota “Privacy van het slachtoffer: feit of fictie”.
Er dienen nog ketenbreed afspraken gemaakt te worden hoe de keten gegevensbescherming (foto’s, adres, etc.) van slachtoffers, getuigen, justitiabelen en professionals (o.a. advocaten) implementeert op een rechtmatige wijze. |
Organisaties zijn verplicht om administraties bij te houden van verstrekte en ontvangen persoonsgegevens. In eerste instantie worden in deze administraties alleen gestandaardiseerde uitwisselingen (berichten, etc.) opgenomen. E-mail, apps, etc. vallen buiten beschouwing. Deze administraties dienen minimaal te voldoen aan de ketenafspraken.
Verstrekkingen- en ontvangstenadministraties zijn zelf ook onderworpen aan wetgeving voor gegevensbescherming. Net zoals logging voor zowel functioneel als technisch beheer.
Om deze administraties mogelijk te maken zijn referentiepunten nodig. Welke grondslagen kennen wij in de keten en welke GegevensLeveringsOvereenkomsten (GLO’en) zijn afgesproken. Die referentieverzamelingen worden respectievelijk onderhouden in het ketenbrede SRK-Juridische-Grondslagenregister (onderdeel van E-Semantiek) en in ketenbreed ontsloten SRK-GLO-Registers (onderdeel van E-Compliance).
Voorgesteld wordt om op ketenniveau deze kritieke expertise in een netwerk te organiseren, dan wel de bestaande gremia te versterken om de specifieke kennis van gegevensbescherming in de strafrechtketen te kunnen hergebruiken zodat sneller duidelijkheid verkregen kan worden en kennis niet verloren gaat. |
Ten slotte staat de vraag open hoe om te gaan met de vraag van een betrokkene naar over hem/haar verstrekte persoonsgegevens. Beschouwt de keten dat als het probleem van de burger die de afzonderlijke organisaties af moet om het inzicht te verkrijgen of kiest zij voor het perspectief van de betrokkene, die recht heeft op hulp om de verstrekkingen en ontvangsten door de hele keten inzichtelijk te krijgen? |
De implementatie van verstrekking- en ontvangstregisters is een zaak voor de ketenpartners. In de KDA is weliswaar een optie voorzien voor een gemeenschappelijk verstrekkingenregister. Gezien de consequenties voor archiveren en rechtsstatelijkheid lijkt het toepassingsgebied hier voor zeer klein.
Het is niet uitgesloten dat E-Compliance de landingsplaats is voor andere compliance onderwerpen waarvoor ketenafspraken nodig zijn.
Architectuur
Toetsingskader items[brontekst bewerken]
ID | Statement | Type | |
---|---|---|---|
Afspraken over gegevensbescherming ketenbreed bekend | WCA02 | Afspraken m.b.t. gegevensbescherming (foto, adres, etc.) van slachtoffer, getuige, justitiabele zijn ketenbreed bekend en gevolgd. | Aanwijzing |
Geen centralisatie van verstrekkingen- en ontvangstenregisters | WCK04 | Verstrekkingen- en ontvangstenregistraties mogen technisch niet worden gecentraliseerd. | Constructieprincipe |
Inhoud verstrekkingen- en ontvangstenregisters | WCK02 | In de verstrekkingen- en ontvangstenregisters wordt minimaal vastgelegd: | Constructieprincipe |
Netwerk van privacy-experts | WCG01 | Sluit aan bij netwerk van privacy-experts om de specifieke kennis van gegevensbescherming in de strafrechtketen te kunnen hergebruiken zodat sneller duidelijkheid verkregen kan worden en kennis niet verloren gaat. | Practice |
Raadpleegbaarheid grondslagen en doelbindingen | WCK01 | De verzameling van alle binnen de SRK te gebruiken grondslagen en doelbindingen zijn te raadplegen door alle ketenpartijen. | Richtlijn/standaard |
Relateren verstrekking aan ontvangst | WCK03 | Iedere verstrekking is te relateren aan een ontvangst, en andersom. | Constructieprincipe |
Uitwisselen binnen grondslag en doelbinding | WCA01 | Een ketenpartner kan over uitwisseling van een keteninformatieobject met andere ketenpartijen:
| Aanwijzing |
Verstrekkingen- en ontvangstenregisters vallen ook onder gegevensbescherming | WCA03 | Verstrekkingen- en ontvangstenregisters, alsmede loggingsbestanden vallen ook onder gegevensbescherming | Aanwijzing |
- ↑ Omdat veel ketenpartners in meerdere ketens actief zijn vallen hierin ook afspraken over “schotten” tussen de verschillende ketens.
- ↑ WPG en WJSG worden vernieuwd en wat betreft terminologie in lijn met de AVG gebracht