Tijdig betrokken worden als FG


De positie van de Functionaris Gegevensbescherming (FG) brengt met zich mee dat hij of zij ‘tijdig en behoorlijk’ betrokken moet worden bij verwerkingen van persoonsgegevens. Formeel is dat meestal ook wel vastgelegd, maar in de praktijk word je als FG nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

De meeste gemeenten en daaraan gelieerde organisaties voldoen formeel keurig aan de eisen van de AVG. Er is een FG aangesteld, privacybeleid is opgesteld, het verwerkingsregister is aanwezig, werkprocessen zijn aangepast en verwerkersovereenkomsten zijn afgesloten. Toch lijkt privacy en gegevensbescherming nog niet altijd volledig in het DNA van de organisatie te zitten. Met bijvoorbeeld als gevolg dat enthousiaste proceseigenaren met de beste bedoelingen hun proces gaan vernieuwen en verbeteren, maar daarbij vergeten dat hier ook een Data Protection Impact Assessment (DPIA) bij kan horen. Dat betekent waarschijnlijk ook dat Privacy by Design en Default per ongeluk worden overgeslagen en verwerkersovereenkomsten zijn vergeten.

Uiteraard kom je hier als FG bij het toezichthouden wel achter. Met als gevolg dat de organisatie later (dure) herstelwerkzaamheden moet uitvoeren om alsnog te voldoen aan privacywetgeving. Je kan daar op wachten, maar je wilt natuurlijk veel liever van tevoren betrokken zijn. Niet in de laatste plaats omdat dit ook bij je taak hoort. Hoe krijg je dat voor elkaar? Met deze vier punten:

  1. Privacyorganisatie evalueren
  2. Bewustwording
  3. Investeer in management relaties
  4. Contact met inkoop

Privacyorganisatie evalueren

Als FG werk je veel samen met de Chief Information Security Officer (CISO) en de Privacy Officer (PO). Als het AVG borgingsproduct van de VNG is toegepast heeft je organisatie ook privacy ambassadeurs. Wie nou precies wat doet heeft mijn collega in een eerdere blog goed uitgelegd. Het is verstandig om de inrichting van je privacyorganisatie periodiek te evalueren. Stel daarbij de volgende vragen:

  • Vertegenwoordigen de ambassadeurs wel alle onderdelen van de organisatie?
  • Is de driehoek van FG, PO en CISO goed op elkaar ingespeeld?
  • Is de taakverdeling nog naar wens?
  • Zijn de functionarissen op het juiste niveau gepositioneerd?
  • Hebben ze de juiste bevoegdheden?

Als de privacyorganisatie een geoliede machine is, kan er als FG weinig aan je aandacht ontsnappen. De ambassadeurs en de PO houden je op de hoogte van nieuwe ontwikkelingen.

Bewustwording

Als privacy en gegevensbescherming alleen leeft bij de betrokken functionarissen en vooral een papieren exercitie is, sta je nog steeds met lege handen. Je hebt alle medewerkers nodig om een succes te maken van gegevensbescherming. Dat vraagt om een structurele en planmatige aanpak voor het creëren van informatiebewustzijn binnen je organisatie. De bijbehorende cultuuromslag kost tijd, maar levert uiteindelijk een enorme bijdrage aan je positie als FG. De motivatie om jou tijdig te betrekken zal steeds meer intrinsiek gemotiveerd zijn.

Investeer in management relaties

Via de ambassadeurs weet je wat er speelt op de werkvloer, maar aan nieuwe ontwikkelingen is vaak al een traject vooraf gegaan. Vooral als de managementstructuur sterk ‘top-down’ is georganiseerd. Voor een volledig beeld is het aan te raden om te investeren in je relatie met het hoogste managementniveau. In het geval van een gemeente ook met de gemeentesecretaris. Aansluiten bij vergaderingen of toegang krijgen tot de notulen is handig en door daarnaast regelmatig even bij te praten kan je elkaar scherp houden. Ook kan je zo veel beter onder de aandacht wat het voordeel is van jou tijdig betrekken bij alles wat maar met de bescherming van persoonsgegevens te maken heeft.

Contact met inkoop

Als nieuwe applicaties worden gekocht of nieuwe leveranciers worden gecontracteerd kan dat ook werkzaamheden op het vlak van gegevensbescherming met zich mee brengen. Waarschijnlijk heeft je organisatie wel een medewerker of een afdeling die zich bezig houdt met inkoop en dat is een mooie ingang voor de PO. Als de opdrachtgever van de aanschaf vergeten is om te kijken naar aspecten van gegevensbescherming kan dat zo ondervangen worden. Als de lijntjes tussen inkoop en PO kort zijn, dan kan de PO ervoor zorgen dat jij als FG waar nodig ook (alsnog) aangehaakt wordt.

Wat als het toch mis gaat?

Het is goed om je te (blijven) beseffen dat jij als FG niet persoonlijk verantwoordelijk bent voor de naleving van gegevensbeschermingseisen. De verwerkingsverantwoordelijke of de verwerker moet zelf kunnen aantonen dat in overeenstemming met de AVG is gehandeld. Dus als achteraf blijkt dat je ondanks al je inspanningen (bewust of onbewust) ergens buiten bent gehouden en het gaat mis, dan zijn de consequenties niet voor jou.

Contact

Neem gerust contact met ons op als je naar aanleiding van deze blog vragen hebt. Kan jij wel wat hulp gebruiken om je effectiviteit binnen je organisatie te vergroten? Kijk dan ook eens naar ons coachingstraject.

Anouk Tijhuis
Recente berichten van Anouk Tijhuis (bekijk alles)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?

In vijf stappen een goed informatiebeveiligingsbeleid

De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. In deze blog de vijf stappen naar een goed informatiebeveiligingsbeleid en dito implementatie.

Rechten van betrokkenen toepassen

Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de creativiteit, maar niet helemaal waar het recht op overdraagbaarheid voor bedoeld is. In deze blog leg ik uit voor welke rechten betrokkenen een verzoek kunnen indienen, wanneer ze van toepassing zijn en hoe je daar praktisch invulling aan kunt geven.

Tips voor het beveiligen van Office 365

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…