De positie van de Functionaris Gegevensbescherming (FG) brengt met zich mee dat hij of zij ‘tijdig en behoorlijk’ betrokken moet worden bij verwerkingen van persoonsgegevens. Formeel is dat meestal ook wel vastgelegd, maar in de praktijk word je als FG nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!
De meeste gemeenten en daaraan gelieerde organisaties voldoen formeel keurig aan de eisen van de AVG. Er is een FG aangesteld, privacybeleid is opgesteld, het verwerkingsregister is aanwezig, werkprocessen zijn aangepast en verwerkersovereenkomsten zijn afgesloten. Toch lijkt privacy en gegevensbescherming nog niet altijd volledig in het DNA van de organisatie te zitten. Met bijvoorbeeld als gevolg dat enthousiaste proceseigenaren met de beste bedoelingen hun proces gaan vernieuwen en verbeteren, maar daarbij vergeten dat hier ook een Data Protection Impact Assessment (DPIA) bij kan horen. Dat betekent waarschijnlijk ook dat Privacy by Design en Default per ongeluk worden overgeslagen en verwerkersovereenkomsten zijn vergeten.
Uiteraard kom je hier als FG bij het toezichthouden wel achter. Met als gevolg dat de organisatie later (dure) herstelwerkzaamheden moet uitvoeren om alsnog te voldoen aan privacywetgeving. Je kan daar op wachten, maar je wilt natuurlijk veel liever van tevoren betrokken zijn. Niet in de laatste plaats omdat dit ook bij je taak hoort. Hoe krijg je dat voor elkaar? Met deze vier punten:
- Privacyorganisatie evalueren
- Bewustwording
- Investeer in management relaties
- Contact met inkoop
Privacyorganisatie evalueren
Als FG werk je veel samen met de Chief Information Security Officer (CISO) en de Privacy Officer (PO). Als het AVG borgingsproduct van de VNG is toegepast heeft je organisatie ook privacy ambassadeurs. Wie nou precies wat doet heeft mijn collega in een eerdere blog goed uitgelegd. Het is verstandig om de inrichting van je privacyorganisatie periodiek te evalueren. Stel daarbij de volgende vragen:
- Vertegenwoordigen de ambassadeurs wel alle onderdelen van de organisatie?
- Is de driehoek van FG, PO en CISO goed op elkaar ingespeeld?
- Is de taakverdeling nog naar wens?
- Zijn de functionarissen op het juiste niveau gepositioneerd?
- Hebben ze de juiste bevoegdheden?
Als de privacyorganisatie een geoliede machine is, kan er als FG weinig aan je aandacht ontsnappen. De ambassadeurs en de PO houden je op de hoogte van nieuwe ontwikkelingen.
Bewustwording
Als privacy en gegevensbescherming alleen leeft bij de betrokken functionarissen en vooral een papieren exercitie is, sta je nog steeds met lege handen. Je hebt alle medewerkers nodig om een succes te maken van gegevensbescherming. Dat vraagt om een structurele en planmatige aanpak voor het creëren van informatiebewustzijn binnen je organisatie. De bijbehorende cultuuromslag kost tijd, maar levert uiteindelijk een enorme bijdrage aan je positie als FG. De motivatie om jou tijdig te betrekken zal steeds meer intrinsiek gemotiveerd zijn.
Investeer in management relaties
Via de ambassadeurs weet je wat er speelt op de werkvloer, maar aan nieuwe ontwikkelingen is vaak al een traject vooraf gegaan. Vooral als de managementstructuur sterk ‘top-down’ is georganiseerd. Voor een volledig beeld is het aan te raden om te investeren in je relatie met het hoogste managementniveau. In het geval van een gemeente ook met de gemeentesecretaris. Aansluiten bij vergaderingen of toegang krijgen tot de notulen is handig en door daarnaast regelmatig even bij te praten kan je elkaar scherp houden. Ook kan je zo veel beter onder de aandacht wat het voordeel is van jou tijdig betrekken bij alles wat maar met de bescherming van persoonsgegevens te maken heeft.
Contact met inkoop
Als nieuwe applicaties worden gekocht of nieuwe leveranciers worden gecontracteerd kan dat ook werkzaamheden op het vlak van gegevensbescherming met zich mee brengen. Waarschijnlijk heeft je organisatie wel een medewerker of een afdeling die zich bezig houdt met inkoop en dat is een mooie ingang voor de PO. Als de opdrachtgever van de aanschaf vergeten is om te kijken naar aspecten van gegevensbescherming kan dat zo ondervangen worden. Als de lijntjes tussen inkoop en PO kort zijn, dan kan de PO ervoor zorgen dat jij als FG waar nodig ook (alsnog) aangehaakt wordt.
Wat als het toch mis gaat?
Het is goed om je te (blijven) beseffen dat jij als FG niet persoonlijk verantwoordelijk bent voor de naleving van gegevensbeschermingseisen. De verwerkingsverantwoordelijke of de verwerker moet zelf kunnen aantonen dat in overeenstemming met de AVG is gehandeld. Dus als achteraf blijkt dat je ondanks al je inspanningen (bewust of onbewust) ergens buiten bent gehouden en het gaat mis, dan zijn de consequenties niet voor jou.
Contact
Neem gerust contact met ons op als je naar aanleiding van deze blog vragen hebt. Kan jij wel wat hulp gebruiken om je effectiviteit binnen je organisatie te vergroten? Kijk dan ook eens naar ons coachingstraject.
- 3 ddos aanvallen die ons land in hun greep hebben deze week - 24 januari 2025
- Boete voor Coolblue voor het ongevraagd gebruiken van cookies - 24 januari 2025
- 7 dingen die je nooit moet vragen of delen met chatbots - 23 januari 2025
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!