Tijdig betrokken worden als FG


De positie van de Functionaris Gegevensbescherming (FG) brengt met zich mee dat hij of zij ‘tijdig en behoorlijk’ betrokken moet worden bij verwerkingen van persoonsgegevens. Formeel is dat meestal ook wel vastgelegd, maar in de praktijk word je als FG nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

De meeste gemeenten en daaraan gelieerde organisaties voldoen formeel keurig aan de eisen van de AVG. Er is een FG aangesteld, privacybeleid is opgesteld, het verwerkingsregister is aanwezig, werkprocessen zijn aangepast en verwerkersovereenkomsten zijn afgesloten. Toch lijkt privacy en gegevensbescherming nog niet altijd volledig in het DNA van de organisatie te zitten. Met bijvoorbeeld als gevolg dat enthousiaste proceseigenaren met de beste bedoelingen hun proces gaan vernieuwen en verbeteren, maar daarbij vergeten dat hier ook een Data Protection Impact Assessment (DPIA) bij kan horen. Dat betekent waarschijnlijk ook dat Privacy by Design en Default per ongeluk worden overgeslagen en verwerkersovereenkomsten zijn vergeten.

Uiteraard kom je hier als FG bij het toezichthouden wel achter. Met als gevolg dat de organisatie later (dure) herstelwerkzaamheden moet uitvoeren om alsnog te voldoen aan privacywetgeving. Je kan daar op wachten, maar je wilt natuurlijk veel liever van tevoren betrokken zijn. Niet in de laatste plaats omdat dit ook bij je taak hoort. Hoe krijg je dat voor elkaar? Met deze vier punten:

  1. Privacyorganisatie evalueren
  2. Bewustwording
  3. Investeer in management relaties
  4. Contact met inkoop

Privacyorganisatie evalueren

Als FG werk je veel samen met de Chief Information Security Officer (CISO) en de Privacy Officer (PO). Als het AVG borgingsproduct van de VNG is toegepast heeft je organisatie ook privacy ambassadeurs. Wie nou precies wat doet heeft mijn collega in een eerdere blog goed uitgelegd. Het is verstandig om de inrichting van je privacyorganisatie periodiek te evalueren. Stel daarbij de volgende vragen:

  • Vertegenwoordigen de ambassadeurs wel alle onderdelen van de organisatie?
  • Is de driehoek van FG, PO en CISO goed op elkaar ingespeeld?
  • Is de taakverdeling nog naar wens?
  • Zijn de functionarissen op het juiste niveau gepositioneerd?
  • Hebben ze de juiste bevoegdheden?

Als de privacyorganisatie een geoliede machine is, kan er als FG weinig aan je aandacht ontsnappen. De ambassadeurs en de PO houden je op de hoogte van nieuwe ontwikkelingen.

Bewustwording

Als privacy en gegevensbescherming alleen leeft bij de betrokken functionarissen en vooral een papieren exercitie is, sta je nog steeds met lege handen. Je hebt alle medewerkers nodig om een succes te maken van gegevensbescherming. Dat vraagt om een structurele en planmatige aanpak voor het creëren van informatiebewustzijn binnen je organisatie. De bijbehorende cultuuromslag kost tijd, maar levert uiteindelijk een enorme bijdrage aan je positie als FG. De motivatie om jou tijdig te betrekken zal steeds meer intrinsiek gemotiveerd zijn.

Investeer in management relaties

Via de ambassadeurs weet je wat er speelt op de werkvloer, maar aan nieuwe ontwikkelingen is vaak al een traject vooraf gegaan. Vooral als de managementstructuur sterk ‘top-down’ is georganiseerd. Voor een volledig beeld is het aan te raden om te investeren in je relatie met het hoogste managementniveau. In het geval van een gemeente ook met de gemeentesecretaris. Aansluiten bij vergaderingen of toegang krijgen tot de notulen is handig en door daarnaast regelmatig even bij te praten kan je elkaar scherp houden. Ook kan je zo veel beter onder de aandacht wat het voordeel is van jou tijdig betrekken bij alles wat maar met de bescherming van persoonsgegevens te maken heeft.

Contact met inkoop

Als nieuwe applicaties worden gekocht of nieuwe leveranciers worden gecontracteerd kan dat ook werkzaamheden op het vlak van gegevensbescherming met zich mee brengen. Waarschijnlijk heeft je organisatie wel een medewerker of een afdeling die zich bezig houdt met inkoop en dat is een mooie ingang voor de PO. Als de opdrachtgever van de aanschaf vergeten is om te kijken naar aspecten van gegevensbescherming kan dat zo ondervangen worden. Als de lijntjes tussen inkoop en PO kort zijn, dan kan de PO ervoor zorgen dat jij als FG waar nodig ook (alsnog) aangehaakt wordt.

Wat als het toch mis gaat?

Het is goed om je te (blijven) beseffen dat jij als FG niet persoonlijk verantwoordelijk bent voor de naleving van gegevensbeschermingseisen. De verwerkingsverantwoordelijke of de verwerker moet zelf kunnen aantonen dat in overeenstemming met de AVG is gehandeld. Dus als achteraf blijkt dat je ondanks al je inspanningen (bewust of onbewust) ergens buiten bent gehouden en het gaat mis, dan zijn de consequenties niet voor jou.

Contact

Neem gerust contact met ons op als je naar aanleiding van deze blog vragen hebt. Kan jij wel wat hulp gebruiken om je effectiviteit binnen je organisatie te vergroten? Kijk dan ook eens naar ons coachingstraject.

Anouk Tijhuis
Recente berichten van Anouk Tijhuis (bekijk alles)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Tien stappenplan voor het opstellen van een autorisatiematrix

Een handig hulpmiddel bij het goed inrichten van autorisaties, is een autorisatiematrix. Maar hoe stel je een autorisatiematrix op? IB&P heeft een tien stappenplan gemaakt om je hierbij te helpen. In deze blog lees je hoe je een autorisatiematrix …

Kennisproducten ter ondersteuning implementatie BIO; wanneer gebruik je wat?

Om gemeenten bij de implementatie van de BIO te ondersteunen heeft de IBD handige kennisproducten ontwikkeld die je op weg kunnen helpen. Maar welke producten zijn er nu allemaal precies, waar dienen ze voor en wat is de onderlinge samenhang? In d…

Weet jij wie je binnenlaat? Het managen van toegangsbeveiliging.

Als gemeente wil je voorkomen dat onbevoegden toegang hebben tot informatie, zowel digitaal als fysiek. Maar hoe kun je logische en fysieke toegangsbeveiliging inzetten binnen je organisatie? En wat is eigenlijk het verschil tussen deze twee? In d…

Een erbarmelijke evaluatie

Het rapport ‘Evaluatie en versterking ENSIA-stelsel’ is vrij geruisloos gepubliceerd op de website Digitale Overheid. Renco Schoemaker vindt de kwaliteit van het evaluatierapport onder de maat. In deze blog lees waarom!

Je medewerkers ‘beveiligen’; hoe doe je dat?

In de Baseline Informatiebeveiliging Overheid (BIO) worden eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarl…