Kan een recherchebureau ISO screening of persoonlijk onderzoek voor derden verzorgen, maar deze certificering zelf niet hebben? Paradoxaal!
Een beroepsgroep die vaak te maken heeft met persoonlijke, vaak gevoelige, persoonsgegevens is die van de particulier recherche onderzoeker.
Men is als recherchebureau wettelijk verplicht zich te houden aan de geldende AVG (Algemene Verordening Gegevensbescherming) richtlijnen en men moet zich zeer bewust zijn wat een goede informatiebeveiliging nu betekent en inhoudt.
Definitie van informatiebeveiliging:
Het geheel van maatregelen, procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen.
Maar informatiebeveiliging gaat verder dan alleen ICT-normen. Eén van de vereisten om te voldoen aan de ISO 27001 norm is het screenen van personeel, de richtlijnen zijn hierin heel duidelijk: screening van (nieuw) personeel is vereist. Een werkgever kan dit natuurlijk laten doen door de eigen HR-afdeling, maar omdat het heel belangrijk is om te weten of de medewerkers binnen een organisatie echt betrouwbaar zijn kan men ook kiezen om deze screening uit te besteden aan een extern bureau. Goed gekwalificeerd en integer personeel is namelijk de echte basis van een organisatie. Om een dergelijke ISO-screening te verzorgen mag je dan ook op zijn minst verwachten dat de ingehuurde externe deskundige zelf ook voldoet aan de ISO 27001 norm.
Op 29 februari 2016 heeft de AP (Autoriteit Persoonsgegevens) de ‘Privacy gedragscode sector particuliere onderzoeksbureaus’ voor een periode van vijf jaar goedgekeurd. Dit gebeurde wel met de kanttekening dat deze op 25 mei 2018 (invoerdatum AVG) aangepast diende te worden naar de richtlijnen van de AVG. Dit betekent onder andere dat er bij de doorgifte van persoonsgegevens passende waarborgen getroffen moeten zijn en een certificering gewenst is.
Toen wij als Digitale Opsporing in 2018 begonnen na te denken over een certificering ingevolge artikel 42 van de AVG – hierin stond nog niet specifiek beschreven aan welke certificering moest worden voldaan- kwamen we al snel uit bij de ISO 27001 certificering. Groot was wel de verbazing dat binnen de beroepsgroep van particuliere recherchebureaus de gecertificeerden op minder dan een hand te tellen zijn. En juist deze beroepsgroep gaat in dit digitaal tijdperk iedere dag om met zeer vertrouwelijk (persoons)gegevens.
Artikel 42 van de AVG stelt verder dat er transparantie dient te zijn voor betrokkenen over het gegevensbeschermingsniveau van activiteiten, producten en diensten.
Vanaf 2020 wordt een certificering of een ‘right to audit’-contract zelfs een must als je als recherchebureau werkzaamheden of onderzoek wilt verrichten voor de gemeentelijke overheid. Zij mogen vanaf januari 2020 deze specifieke werkzaamheden alleen nog maar uitbesteden aan leveranciers die hun certificering op orde hebben.
En ja hoor, binnen enkele weken hopen wij van Digitale Opsporing, na een traject van meer dan een jaar, een van die zeldzame Nederlandse recherchebureaus te zijn die ISO gecertificeerd zijn.
Paradoxaal genoeg bestaan er particulier rechercheurs die op hun website gewag maken van het feit dat ze een ISO 21007 screening kunnen uitvoeren, maar die zelf …. Ja dat.
Wilfred van Roij
Algemeen directeur Digitale Opsporing