E-Compliance

Uit ASTRA
Naar navigatie springen Naar zoeken springen


Icon-e-compliance 2.png

Ordening

Rechtmatigheid uitwisselen

Beschrijving

E-Compliance maakt mogelijk dat SRK-Ketenpartners kunnen verantwoorden aan autoriteiten en betrokkenen in welke mate aan wet- en regelgeving is voldaan bij het verstrekken / ontvangen van informatie vanuit de strafrechtketen

Toelichting

E-Compliance[1] kan als bron optreden voor (elders) uit te voeren toetsingen, zowel op het niveau van individuele verstrekkingen, hetzij op patronen. Of daarmee het werkproces daadwerkelijk rechtmatig is verlopen valt buiten de scope van E-Compliance.

De ketenvoorziening E-Compliance zorgt voor ketenbrede afspraken over gegevensbescherming voor zover dat nodig is omdat het de afzonderlijke organisaties overstijgt. Gegevensbescherming betreft:

  1. het voldoen aan wet- en regelgeving m.b.t. bescherming persoonsgegevens (AVG, WJSG, WPG[2], PBW, PW, etc.)
    Organisaties zijn verantwoordelijk om aan de wet- en regelgeving te voldoen. Daartoe moet een organisatie:
    • kunnen aantonen dat zij alleen informatieobjecten uitwisselt als daarvoor juridische grondslag(en) en doelbinding(en) zijn;
    • vragen kunnen beantwoorden van betrokkene welke informatie over de betrokkene met wie is gedeeld op grond waarvan.
  2. afspraken rond bescherming van gegevens van slachtoffers, getuigen, justitiabelen.
    Het mag niet zo zijn dat als een ketenpartner afspraken maakt tot bescherming van getuigen, slachtoffers of justitiabelen een andere ketenpartner diens gegevens vrijelijk ter beschikking stelt. Zie o.a. de nota “Privacy van het slachtoffer: feit of fictie”.


Questionmark.png

Er dienen nog ketenbreed afspraken gemaakt te worden hoe de keten gegevensbescherming (foto’s, adres, etc.) van slachtoffers, getuigen, justitiabelen en professionals (o.a. advocaten) implementeert op een rechtmatige wijze.


Organisaties zijn verplicht om administraties bij te houden van verstrekte en ontvangen persoonsgegevens. In eerste instantie worden in deze administraties alleen gestandaardiseerde uitwisselingen (berichten, etc.) opgenomen. E-mail, apps, etc. vallen buiten beschouwing. Deze administraties dienen minimaal te voldoen aan de ketenafspraken.

Verstrekkingen- en ontvangstenadministraties zijn zelf ook onderworpen aan wetgeving voor gegevensbescherming. Net zoals logging voor zowel functioneel als technisch beheer.

Om deze administraties mogelijk te maken zijn referentiepunten nodig. Welke grondslagen kennen wij in de keten en welke GegevensLeveringsOvereenkomsten (GLO’en) zijn afgesproken. Die referentieverzamelingen worden respectievelijk onderhouden in het ketenbrede SRK-Juridische-Grondslagenregister (onderdeel van E-Semantiek) en in ketenbreed ontsloten SRK-GLO-Registers (onderdeel van E-Compliance).


Overweging.png

Voorgesteld wordt om op ketenniveau deze kritieke expertise in een netwerk te organiseren, dan wel de bestaande gremia te versterken om de specifieke kennis van gegevensbescherming in de strafrechtketen te kunnen hergebruiken zodat sneller duidelijkheid verkregen kan worden en kennis niet verloren gaat.



Questionmark.png

Ten slotte staat de vraag open hoe om te gaan met de vraag van een betrokkene naar over hem/haar verstrekte persoonsgegevens. Beschouwt de keten dat als het probleem van de burger die de afzonderlijke organisaties af moet om het inzicht te verkrijgen of kiest zij voor het perspectief van de betrokkene, die recht heeft op hulp om de verstrekkingen en ontvangsten door de hele keten inzichtelijk te krijgen?


De implementatie van verstrekking- en ontvangstregisters is een zaak voor de ketenpartners. In de KDA is weliswaar een optie voorzien voor een gemeenschappelijk verstrekkingenregister. Gezien de consequenties voor archiveren en rechtsstatelijkheid lijkt het toepassingsgebied hier voor zeer klein.

Het is niet uitgesloten dat E-Compliance de landingsplaats is voor andere compliance onderwerpen waarvoor ketenafspraken nodig zijn.

Architectuur

Toetsingskader items[brontekst bewerken]

 IDStatementType
Afspraken over gegevensbescherming ketenbreed bekendWCA02Afspraken m.b.t. gegevensbescherming (foto, adres, etc.) van slachtoffer, getuige, justitiabele zijn ketenbreed bekend en gevolgd.Aanwijzing
Geen centralisatie van verstrekkingen- en ontvangstenregistersWCK04Verstrekkingen- en ontvangstenregistraties mogen technisch niet worden gecentraliseerd.Constructieprincipe
Inhoud verstrekkingen- en ontvangstenregistersWCK02In de verstrekkingen- en ontvangstenregisters wordt minimaal vastgelegd:
  • door wie (persoon + organisatie: informatieverstrekker),
  • aan wie (persoon + organisatie: informatieafnemer),
  • via welke informatiedienst,
  • op grond van welke grondslag(en) en doelbinding(en),
  • welk(e) “identificatiekenmerk”(en) van welk(e) informatieobject(en),
  • over welke persoons-id zijn uitgewisseld c.q. beschikbaar gesteld.
  • Constructieprincipe
    Netwerk van privacy-expertsWCG01Sluit aan bij netwerk van privacy-experts om de specifieke kennis van gegevensbescherming in de strafrechtketen te kunnen hergebruiken zodat sneller duidelijkheid verkregen kan worden en kennis niet verloren gaat.Practice
    Raadpleegbaarheid grondslagen en doelbindingenWCK01De verzameling van alle binnen de SRK te gebruiken grondslagen en doelbindingen zijn te raadplegen door alle ketenpartijen.Richtlijn/standaard
    Relateren verstrekking aan ontvangstWCK03Iedere verstrekking is te relateren aan een ontvangst, en andersom.Constructieprincipe
    Uitwisselen binnen grondslag en doelbindingWCA01Een ketenpartner kan over uitwisseling van een keteninformatieobject met andere ketenpartijen:
  • aantonen dat zij alleen uitwisselt als daarvoor juridische grondslag(en) en doelbinding(en) zijn;
  • vragen beantwoorden van betrokkene welke informatie over de betrokkene met wie is gedeeld op grond waarvan.
  • Aanwijzing
    Verstrekkingen- en ontvangstenregisters vallen ook onder gegevensbeschermingWCA03Verstrekkingen- en ontvangstenregisters, alsmede loggingsbestanden vallen ook onder gegevensbeschermingAanwijzing
    1. Omdat veel ketenpartners in meerdere ketens actief zijn vallen hierin ook afspraken over “schotten” tussen de verschillende ketens.
    2. WPG en WJSG worden vernieuwd en wat betreft terminologie in lijn met de AVG gebracht