Skip to main content

Tijdig betrokken worden als FG

| IB&P | ,

De positie van de Functionaris Gegevensbescherming (FG) brengt met zich mee dat hij of zij ‘tijdig en behoorlijk’ betrokken moet worden bij verwerkingen van persoonsgegevens. Formeel is dat meestal ook wel vastgelegd, maar in de praktijk word je als FG nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

De meeste gemeenten en daaraan gelieerde organisaties voldoen formeel keurig aan de eisen van de AVG. Er is een FG aangesteld, privacybeleid is opgesteld, het verwerkingsregister is aanwezig, werkprocessen zijn aangepast en verwerkersovereenkomsten zijn afgesloten. Toch lijkt privacy en gegevensbescherming nog niet altijd volledig in het DNA van de organisatie te zitten. Met bijvoorbeeld als gevolg dat enthousiaste proceseigenaren met de beste bedoelingen hun proces gaan vernieuwen en verbeteren, maar daarbij vergeten dat hier ook een Data Protection Impact Assessment (DPIA) bij kan horen. Dat betekent waarschijnlijk ook dat Privacy by Design en Default per ongeluk worden overgeslagen en verwerkersovereenkomsten zijn vergeten.

Uiteraard kom je hier als FG bij het toezichthouden wel achter. Met als gevolg dat de organisatie later (dure) herstelwerkzaamheden moet uitvoeren om alsnog te voldoen aan privacywetgeving. Je kan daar op wachten, maar je wilt natuurlijk veel liever van tevoren betrokken zijn. Niet in de laatste plaats omdat dit ook bij je taak hoort. Hoe krijg je dat voor elkaar? Met deze vier punten:

  1. Privacyorganisatie evalueren
  2. Bewustwording
  3. Investeer in management relaties
  4. Contact met inkoop

Privacyorganisatie evalueren

Als FG werk je veel samen met de Chief Information Security Officer (CISO) en de Privacy Officer (PO). Als het AVG borgingsproduct van de VNG is toegepast heeft je organisatie ook privacy ambassadeurs. Wie nou precies wat doet heeft mijn collega in een eerdere blog goed uitgelegd. Het is verstandig om de inrichting van je privacyorganisatie periodiek te evalueren. Stel daarbij de volgende vragen:

  • Vertegenwoordigen de ambassadeurs wel alle onderdelen van de organisatie?
  • Is de driehoek van FG, PO en CISO goed op elkaar ingespeeld?
  • Is de taakverdeling nog naar wens?
  • Zijn de functionarissen op het juiste niveau gepositioneerd?
  • Hebben ze de juiste bevoegdheden?

Als de privacyorganisatie een geoliede machine is, kan er als FG weinig aan je aandacht ontsnappen. De ambassadeurs en de PO houden je op de hoogte van nieuwe ontwikkelingen.

Bewustwording

Als privacy en gegevensbescherming alleen leeft bij de betrokken functionarissen en vooral een papieren exercitie is, sta je nog steeds met lege handen. Je hebt alle medewerkers nodig om een succes te maken van gegevensbescherming. Dat vraagt om een structurele en planmatige aanpak voor het creëren van informatiebewustzijn binnen je organisatie. De bijbehorende cultuuromslag kost tijd, maar levert uiteindelijk een enorme bijdrage aan je positie als FG. De motivatie om jou tijdig te betrekken zal steeds meer intrinsiek gemotiveerd zijn.

Investeer in management relaties

Via de ambassadeurs weet je wat er speelt op de werkvloer, maar aan nieuwe ontwikkelingen is vaak al een traject vooraf gegaan. Vooral als de managementstructuur sterk ‘top-down’ is georganiseerd. Voor een volledig beeld is het aan te raden om te investeren in je relatie met het hoogste managementniveau. In het geval van een gemeente ook met de gemeentesecretaris. Aansluiten bij vergaderingen of toegang krijgen tot de notulen is handig en door daarnaast regelmatig even bij te praten kan je elkaar scherp houden. Ook kan je zo veel beter onder de aandacht wat het voordeel is van jou tijdig betrekken bij alles wat maar met de bescherming van persoonsgegevens te maken heeft.

Contact met inkoop

Als nieuwe applicaties worden gekocht of nieuwe leveranciers worden gecontracteerd kan dat ook werkzaamheden op het vlak van gegevensbescherming met zich mee brengen. Waarschijnlijk heeft je organisatie wel een medewerker of een afdeling die zich bezig houdt met inkoop en dat is een mooie ingang voor de PO. Als de opdrachtgever van de aanschaf vergeten is om te kijken naar aspecten van gegevensbescherming kan dat zo ondervangen worden. Als de lijntjes tussen inkoop en PO kort zijn, dan kan de PO ervoor zorgen dat jij als FG waar nodig ook (alsnog) aangehaakt wordt.

Wat als het toch mis gaat?

Het is goed om je te (blijven) beseffen dat jij als FG niet persoonlijk verantwoordelijk bent voor de naleving van gegevensbeschermingseisen. De verwerkingsverantwoordelijke of de verwerker moet zelf kunnen aantonen dat in overeenstemming met de AVG is gehandeld. Dus als achteraf blijkt dat je ondanks al je inspanningen (bewust of onbewust) ergens buiten bent gehouden en het gaat mis, dan zijn de consequenties niet voor jou.

Contact

Neem gerust contact met ons op als je naar aanleiding van deze blog vragen hebt. Kan jij wel wat hulp gebruiken om je effectiviteit binnen je organisatie te vergroten? Kijk dan ook eens naar ons coachingstraject.

IB&P
Laatste berichten van IB&P (alles zien)

Training

Vraag informatie aan om deze cursus in-house te organiseren!

Ga naar website

Meer blogs lezen

Onzichtbare AI in systemen: privacyrisico’s voor gemeenten

In deze blog leggen we uit hoe AI ongemerkt gemeentelijke software binnendringt, waarom dit een privacyrisico vormt en hoe je hier als gemeente grip op houdt.
Verder lezen

Het belang van de Management Review binnen het ISMS

Een ISMS is geen tool die je even aanzet en afvinkt. Het is een continu proces waarin je risico’s beheerst, maatregelen borgt en blijft verbeteren. En in dat proces is één moment echt cruciaal: de management review. In deze blog leg ik uit wat dit…
Verder lezen

De rol van de CISO tijdens calamiteiten

Een cyber- of ransomware-aanval of een groot datalek: het is de nachtmerrie van elke gemeente. Op zo’n moment moet er snel gehandeld en besloten worden. De Chief Information Security Officer (CISO) speelt daarin een cruciale rol. Maar hoe ziet die…
Verder lezen

De interne controlecyclus; zo maak je toetsing werkbaar

Een belangrijk onderdeel binnen de BIO 2.0 is de interne controlecyclus: hoe toets je structureel of je maatregelen ook echt doen wat ze moeten doen? Niet één keer per jaar omdat het moet, maar continu, als onderdeel van je dagelijkse praktijk. In…
Verder lezen

Zo breng je informatiebeveiligingsbeleid écht tot leven in de organisatie

Bij veel gemeenten voelt informatiebeveiligingsbeleid nog als een verplicht nummer. Zonde! Want een goed informatiebeveiligingsbeleid kan juist richting geven aan de hele organisatie.
Verder lezen

Van afspraken naar praktijk: grip op gegevensdeling in samenwerkingsverbanden

Gemeenten werken steeds vaker samen. Die samenwerking is logisch want samen kun je meer bereiken maar het betekent ook dat er steeds meer gegevens gedeeld worden. En dan is de vraag: hoe zorg je ervoor dat dit rechtmatig, veilig en transparant geb…
Verder lezen