Toezicht houden als FG, hoe doe ik dat?

| Erna Havinga | ,

De komst van de Algemene Verordening Gegevensbescherming (AVG) bracht ook de verplichte Functionaris voor de Gegevensbescherming (FG) met zich mee. De FG is de interne toezichthouder en dus verantwoordelijk voor, de naam zegt het al, het toezicht houden op de naleving van de privacywetten en –regels en heeft ook de taak om de organisatie hierop te controleren. Maar hoe doe je dat eigenlijk, toezicht houden?

Takenpakket FG

Als gemeente ben je vanuit de AVG verplicht om een FG aan te stellen. De FG kijkt kritisch naar hoe de gemeente omgaat met persoonsgegevens en rapporteert hierover aan het college en de gemeentesecretaris. De FG heeft verschillende taken, zoals het inventariseren en bijhouden van de gegevensverwerkingen binnen de organisatie, vragen en klachten van mensen binnen én buiten de organisatie afhandelen, ondersteunen bij het ontwikkelen van interne regelingen, adviseren over privacy op maat en input leveren bij het opstellen of aanpassen van gedragscodes. Daarnaast heeft de FG, zoals in artikel 39.1.b van de wet wordt aangegeven, ook de taak opgelegd gekregen om ‘de naleving van de AVG te controleren’. In overweging 97 wordt verder gespecificeerd dat de FG ‘de verwerkingsverantwoordelijke of verwerker [moet bijstaan] bij het toezicht op de interne naleving van deze verordening’. Maar hoe ziet deze toezichthoudende rol eruit? In deze blog gaan we hier verder op in.

Toezicht houden

De rol die de FG heeft met betrekking tot de controle op de naleving van de wet bestaat hoofzakelijk uit drie taken, te weten:

1.Verzamel informatie over de gegevensverwerkingen binnen de organisatie

De AVG verplicht gemeente om al hun verwerkingen van persoonsgegevens bij te houden in een eigen register, een zogeheten verwerkingsregister. In dit register worden zaken vastgelegd zoals: het doel van de verwerkingsactiviteiten, een omschrijving van de categorieën van persoonsgegevens die je verwerkt, de categorieën ontvangers van de persoonsgegevens, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen om de gegevens te beschermen et cetera. Hoe je een verwerkingsregister moet invullen, kun je lezen in onze eerdere blog. Als FG van een gemeente heb je, als het goed is, toegang tot dit verwerkingsregister. Op basis van dit register krijg je als FG een goed beeld van waar de cruciale systemen van de organisatie zich bevinden, bijvoorbeeld binnen welke processen. Het is aan te raden om als FG op basis van dit register een top 10 (of top 5) van processen en/of systemen te definiëren die een hoog risicoprofiel hebben als het gaat om privacy. Wat het risicoprofiel is van een proces of systeem kun je bepalen aan de hand van een Data Protection Impact Analysis, ook wel DPIA’s genoemd. Zijn er binnen jouw gemeente nog geen DPIA’s uitgevoerd op cruciale systemen? Dan is het aan te raden om als FG te verzoeken dat dit alsnog wordt gedaan. Dit om mogelijke privacy-risico’s goed op het netvlies te hebben. Binnenkort zullen wij nog een blog schrijven over het uitvoeren van DPIA’s.

Daarnaast kun je jaarlijks een analyse uitvoeren op het datalekkenregister en hieruit bepaalde conclusies trekken met betrekking tot de risico’s van verwerkingen. Waar hebben zich de meeste datalekken voorgedaan? Wat waren de meest voorkomende soorten datalekken? Welke maatregelen zijn hier vervolgens opgenomen en waaruit blijkt dat deze maatregelen ook effectief zijn? Et cetera.

2. Analyseer en beoordeel of de verwerkingen aan de wet voldoen.

Om te beoordelen of de verwerkingen binnen de organisatie aan de wet voldoen is het mogelijk om de top 10 die je hebt gedefinieerd van processen en/of systemen met een hoog risicoprofiel, steekproefsgewijs te toetsen. Dit kan op twee manieren. Je kunt bijvoorbeeld als FG zelf een controlelijst opstellen op basis van de AVG wetgeving, of je kunt hierbij gebruik maken van een praktisch hulpmiddel, namelijk van bestaande Privacy Control Frameworks (PCF). Een PCF geeft een overzicht van de technische en organisatorische maatregelen die genomen moeten worden en kan op die manier doorlopen worden. Zo krijg je als FG een goed beeld van wat de gemeente al gedaan heeft en wat er nog ingeregeld moet worden om aantoonbaar aan de AVG te voldoen. Uiteraard heb je als FG ook de resultaten van de uitvoerde DPIA’s, die ook goed inzicht kunnen geven in hoeverre bepaalde systemen aan de wet voldoet.

3. Geef informatie, adviezen en aanbevelingen aan de organisatie

De bovenstaande steekproeven geven je als FG een goed beeld van hoe de organisatie ervoor staat als het gaat om het naleven van de privacywetgeving. Op basis hiervan kun je de organisatie vervolgens gericht adviseren over de wijze waarop processen, waar nodig, kunnen worden verbeterd om te voldoen aan de AVG. Dit advies kan bestaan uit aanbevelingen voor nieuwe maatregelen die genomen moeten worden, of mogelijkheden om bestaande maatregelen te verbeteren.

Tot slot, en niet geheel onbelangrijk, is de positie van de FG. De FG heeft namelijk een onafhankelijke positie en is niet persoonlijk aansprakelijk wanneer er binnen zijn organisatie een overtreding van de privacywet is. Het college of de gemeentesecretaris is hierin altijd eindverantwoordelijk.

Heb je naar aanleiding van deze blog vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Grip op informatie

Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie. In deze blog licht ik enkele kernpunten en conclusies uit op het geb…

Wat zegt de GIBIT over informatiebeveiliging?

Om te zorgen dat een product of dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van …

Wanneer en hoe zet je software in bij je ISMS-proces?

Onlangs heb ik een presentatie gegeven over hoe je je organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet. In deze blog…

Meten, weten en rapporteren over informatiebeveiliging

Het monitoren en meten van en rapporteren over informatiebeveiliging is essentieel voor het beheren van een goede informatiebeveiligingsfunctie. Maar waarom is het belangrijk om dit te doen en hoe kun je dit dan het beste doen?

Gemeenten massaal naar de cloud; hoe staat het met de uit te voeren DPIA’s?

De afgelopen maanden is digitaal samenwerken in de cloud versneld geïmplementeerd bij veel gemeenten. Werken in de cloud biedt viel mogelijkheden, maar organisaties moeten waken voor beveiligings- en privacyrisico’s. De Rijksoverheid heeft DPIA’s …

Tien stappenplan voor het opstellen van een autorisatiematrix

Een handig hulpmiddel bij het goed inrichten van autorisaties, is een autorisatiematrix. Maar hoe stel je een autorisatiematrix op? IB&P heeft een tien stappenplan gemaakt om je hierbij te helpen. In deze blog lees je hoe je een autorisatiematrix …