Met de komst van de AVG moet iedere organisatie aantoonbaar ‘in control’ zijn op het vlak van privacy en gegevensbescherming. Dat vraagt de nodige inspanningen én kennis van de persoon die de privacyactiviteiten binnen de organisatie mag trekken.
Bovendien verschuiven de taken en de daarvoor benodigde vaardigheden naar gelang de organisatie zich ontwikkelt naar een hoger ‘volwassenheidsniveau’. Laten we eens inzoomen op de rollen van de Functionaris Gegevensbescherming (FG) in de verschillende groeistadia van de organisatie naar een toenemende mate van aantoonbare controle.
De ideale situatie
In de ideale wereld is er binnen de organisatie een duidelijke verantwoordingsstructuur voor het AVG-beleid:
- het management is eindverantwoordelijk voor de verwerking van alle persoonsgegevens en maakt beslissingen over besteding van tijd en geld in lijn met de doelstellingen van de organisatie;
- een of meerdere Privacy Officers coördineren en organiseren de uitvoering van de PDCA-cyclus voor gegevensbescherming. Hierrdoor worden de risico’s en kansen vanuit de operatie (‘bottom up’) aangereikt;
- de operationele ‘Privacy Medewerkers’ zijn binnen hun domein zowel aanspreekpunt als spreekbuis voor AVG-gerelateerde zaken. Ze formuleren passende technische en organisatorische maatregelen voor de teams;
- de Functionaris Gegevensbescherming is toezichthouder, controleert – op gepaste afstand – de uitvoering van het beleid en geeft waar nodig advies op basis van wettelijke kaders of best practices in de sector. De FG trekt samen op met de CISO en de informatiemanager, zodat de organisatie op alle vlakken van informatiebeheer, gegevensbescherming en informatiebeveiliging ‘in control’ is.
Praktijk minder uitgekristalliseerd
Bovengenoemde schets is een nastrevenswaardig ideaalbeeld, maar bij de meeste organisaties is de praktijk een stuk minder uitgekristalliseerd. De kwaliteit van de persoonsgegevensbescherming is sterk afhankelijk van het volwassenheidsniveau van de organisatie.
Is er nog maar net begonnen met gegevensbescherming? Dan vervult de ‘Privacy Professional’ vaak meerdere (zo niet alle!) rollen ineen; kwartiermaker, beleidsmaker en zelfs uitvoerder van de eerste operationele beschermingsmaatregelen. Dit zijn bijvoorbeeld het opstellen van het beleid en de privacyverklaring, het maken van afspraken met leveranciers in verwerkersovereenkomsten en het implementeren van verplichte processen, zoals het afhandelen van verzoeken en het melden van datalekken. Ook zal deze privacypionier binnen de organisatie veelal de eerste hand leggen aan het verwerkingsregister om daarmee grip te krijgen op de processen waarin persoonsgegevens circuleren.
Verwerking op werkvloer
Het verwerkingsregister is een praktisch middel om zicht te krijgen op welke gegevens er door de organisatie stromen. Welke systemen worden gebruikt en wie is verantwoordelijk voor de gegevens in die systemen? Het gevaar is namelijk dat privacy en persoonsgegevensbescherming het feestje van een staf- of een projectafdeling blijven, terwijl de daadwerkelijke verwerking van gegevens op de werkvloer gebeurt. Dáár moeten de passende technische en organisatorische maatregelen ingericht en onderhouden worden.
Inzicht in verantwoordelijkheid
Het register helpt dan om een overzicht te krijgen wie verantwoordelijk is voor welke gegevens(verwerking) en biedt een basis voor het inrichten van kwaliteitscontrole, bijvoorbeeld door het uitvoeren van een DPIA voor specifieke verwerkingen of systemen. Het is dan ook zaak dat een Privacy Professional de juiste medewerkers uit het primaire proces betrekt bij zijn werk en hen medeverantwoordelijk maakt voor de uitvoering. De eerste stap om medewerkers te betrekken is om ze uit te nodigen om mee te denken.
AVG verbetert de organisatie
Medewerkers in de operatie betrekken bij gegevensbescherming is een delicaat proces. Wat zeker niet werkt, is beginnen met een lange lijst van wat ‘niet meer mag volgens de AVG’. Veel effectiever is om met een selecte groep te kijken naar de kwalitatieve eisen die de AVG stelt. Welke gegevens verzamelen we precies en zijn die allemaal nodig? Minder gegevens verwerken kost ook minder tijd. Hoe lang slaan we gegevens op en is dat bewaren wel nuttig? Minder gegevens bewaren verlaagt per definitie het risico. Wie informeren we en kan dat beter?
Begrijpelijke aanknopingspunten
Elke professional is gedreven om zijn werk beter en effectiever te maken. Zo heeft de AVG genoeg begrijpelijke aanknopingspunten, die daadwerkelijk bijdragen aan het verbeteren van de kwaliteit van de organisatie en goed passen binnen andere, strategische doelstellingen. Een praktische administratie met duidelijke taken – en dus geen onleesbare Excel! – is een hulpmiddel waarmee elke medewerker de benodigde kennis aangereikt krijgt.
Best practice voor kennis
Handreikingen bij het implementeren van beleid en verantwoordelijkheden zijn beschikbaar in kwaliteitsnormen en toetsingskaders. Zowel voor Overheid (BIO), Zorg (NEN7510) als Onderwijs (Kennisnet Toetsingskader) zijn normen beschikbaar die fungeren als checklist voor de aandachtsgebieden die bij gegevensbescherming en informatiebeveiliging geadresseerd kunnen worden. De implementatierichtlijnen geven duidelijke uitleg wat van medewerkers in een bepaalde situatie verwacht mag worden – en maken het meetbaar.
Het voordeel van werken met gestandaardiseerde benchmarks is dat ook voor de buitenwereld een aantoonbaar kwaliteitsniveau bereikt wordt
Deze kwaliteitsrichtlijnen helpen de Privacy Professional op meerdere vlakken; ze formuleren de doelstellingen in algemene bewoordingen, ze vertalen de doelstellingen naar concrete taken en ze maken de voortgang meetbaar. Het voordeel van werken met gestandaardiseerde benchmarks is dat ook voor de buitenwereld een aantoonbaar kwaliteitsniveau bereikt wordt. In steeds meer aanbestedingen en contracten is dit een expliciete eis.
Continu verbeteren met PDCA
Het niveau van de maatregelen die een organisatie dient te prioriteren, verandert met de volwassenheid van de organisatie. Bescherming van gegevens start met algemeen beleid, het vastleggen van rollen en verantwoordelijkheden en het planmatig in kaart brengen van processen en risico’s. Voorts worden de maatregelen getroffen die gekoppeld zijn aan de activiteiten en systemen met het hoogste risico. Uiteindelijk komt er een proces voor een risicogestuurde aanpak volgende de PDCA-cyclus. In periodieke risicoanalyse en controles of audits komen de belangrijkste zaken boven tafel en draagt de organisatie (nieuwe) maatregelen aan.
Een goede Privacy Professional heeft dus oog voor waar de organisatie staat en heeft een goed gevoel welke maatregelen passen. Het voordeel is dat de wet organisaties daar veel ruimte voor geeft, zolang ze zich maar duidelijk verantwoorden. Een vastgelegd beleid, onderbouwd met een actueel in de stand van zaken, maakt het verschil tussen boete of een gesprek met de Autoriteit Persoonsgegevens.
Kennis én vaardigheden (en netwerk)
Het inrichten van een effectief gegevensbeschermingsbeleid vraagt dus meer van de Privacy Professional dan kennis van de AVG alleen. Een belangrijke succesfactor van de Functionaris Gegevensbescherming in de organisatie is de vaardigheid om op meerdere niveaus in de organisatie te opereren. De wet schrijft voor dat een Functionaris Gegevensbescherming als toezichthouder onafhankelijk opereert en rechtstreeks rapporteert aan de eindverantwoordelijke, namelijk het bestuur.
In de praktijk is de mate waarin de Functionaris Gegevensbescherming zaken voor elkaar krijgt sterk afhankelijk van zijn politieke en organisatorische vaardigheden en netwerk. Het verdient de aanbeveling om zo snel mogelijk de omgeving van de bestuurder te betrekken bij de AVG-activiteiten. Denk hierbij aan het informeren van de accountant, (interne) inspecteurs, leden van de Raad van Toezicht en zelfs de vertrouwenspersoon. Zo wordt persoonsgegevensbescherming structureel onderdeel van de gesprekken op bestuursniveau.
Instrumentarium voor de Functionaris Gegevensbescherming
Zoals we in het voorgaande gezien hebben, heeft de Functionaris Gegevensbescherming een veelheid aan disciplines én het nodige aanpassingsvermogen nodig. Gelukkig kan de Functionaris Gegevensbescherming zich in de dagelijkse werkzaamheden bedienen van een gespecialiseerde werkomgeving. Hierin is de benodigde kennis over de organisatie gecombineerd met externe benchmarks voor informatiebeveiliging en privacy. In de online werkomgeving kiest hij die maatregelen, die volgen uit de norm én in lijn zijn met de doelstellingen van de organisatie. Op basis van verantwoordelijkheden worden concrete taken op een eenvoudige manier (what-you-see-is-what-you-need) beschikbaar gemaakt voor medewerkers in de operatie.
Omdat medewerkers de taken op een presenteerblaadje aangereikt krijgen, is de administratieve last voor de individuele werknemer en de Functionaris Gegevensbescherming lager. Zo kunnen de functionaris en organisatie de complexiteit die gepaard gaat met een hoger kwaliteitsniveau op een professionele manier beheren en zelf succesvol meegroeien.
Dit artikel, geschreven door Arjaan Kunst en Robert-Jan de Vries, is gesponsord door Privacy Control Center (PCC).