Skip to main content

Tijdig betrokken worden als FG

| IB&P | ,

De positie van de Functionaris Gegevensbescherming (FG) brengt met zich mee dat hij of zij ‘tijdig en behoorlijk’ betrokken moet worden bij verwerkingen van persoonsgegevens. Formeel is dat meestal ook wel vastgelegd, maar in de praktijk word je als FG nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

De meeste gemeenten en daaraan gelieerde organisaties voldoen formeel keurig aan de eisen van de AVG. Er is een FG aangesteld, privacybeleid is opgesteld, het verwerkingsregister is aanwezig, werkprocessen zijn aangepast en verwerkersovereenkomsten zijn afgesloten. Toch lijkt privacy en gegevensbescherming nog niet altijd volledig in het DNA van de organisatie te zitten. Met bijvoorbeeld als gevolg dat enthousiaste proceseigenaren met de beste bedoelingen hun proces gaan vernieuwen en verbeteren, maar daarbij vergeten dat hier ook een Data Protection Impact Assessment (DPIA) bij kan horen. Dat betekent waarschijnlijk ook dat Privacy by Design en Default per ongeluk worden overgeslagen en verwerkersovereenkomsten zijn vergeten.

Uiteraard kom je hier als FG bij het toezichthouden wel achter. Met als gevolg dat de organisatie later (dure) herstelwerkzaamheden moet uitvoeren om alsnog te voldoen aan privacywetgeving. Je kan daar op wachten, maar je wilt natuurlijk veel liever van tevoren betrokken zijn. Niet in de laatste plaats omdat dit ook bij je taak hoort. Hoe krijg je dat voor elkaar? Met deze vier punten:

  1. Privacyorganisatie evalueren
  2. Bewustwording
  3. Investeer in management relaties
  4. Contact met inkoop

Privacyorganisatie evalueren

Als FG werk je veel samen met de Chief Information Security Officer (CISO) en de Privacy Officer (PO). Als het AVG borgingsproduct van de VNG is toegepast heeft je organisatie ook privacy ambassadeurs. Wie nou precies wat doet heeft mijn collega in een eerdere blog goed uitgelegd. Het is verstandig om de inrichting van je privacyorganisatie periodiek te evalueren. Stel daarbij de volgende vragen:

  • Vertegenwoordigen de ambassadeurs wel alle onderdelen van de organisatie?
  • Is de driehoek van FG, PO en CISO goed op elkaar ingespeeld?
  • Is de taakverdeling nog naar wens?
  • Zijn de functionarissen op het juiste niveau gepositioneerd?
  • Hebben ze de juiste bevoegdheden?

Als de privacyorganisatie een geoliede machine is, kan er als FG weinig aan je aandacht ontsnappen. De ambassadeurs en de PO houden je op de hoogte van nieuwe ontwikkelingen.

Bewustwording

Als privacy en gegevensbescherming alleen leeft bij de betrokken functionarissen en vooral een papieren exercitie is, sta je nog steeds met lege handen. Je hebt alle medewerkers nodig om een succes te maken van gegevensbescherming. Dat vraagt om een structurele en planmatige aanpak voor het creëren van informatiebewustzijn binnen je organisatie. De bijbehorende cultuuromslag kost tijd, maar levert uiteindelijk een enorme bijdrage aan je positie als FG. De motivatie om jou tijdig te betrekken zal steeds meer intrinsiek gemotiveerd zijn.

Investeer in management relaties

Via de ambassadeurs weet je wat er speelt op de werkvloer, maar aan nieuwe ontwikkelingen is vaak al een traject vooraf gegaan. Vooral als de managementstructuur sterk ‘top-down’ is georganiseerd. Voor een volledig beeld is het aan te raden om te investeren in je relatie met het hoogste managementniveau. In het geval van een gemeente ook met de gemeentesecretaris. Aansluiten bij vergaderingen of toegang krijgen tot de notulen is handig en door daarnaast regelmatig even bij te praten kan je elkaar scherp houden. Ook kan je zo veel beter onder de aandacht wat het voordeel is van jou tijdig betrekken bij alles wat maar met de bescherming van persoonsgegevens te maken heeft.

Contact met inkoop

Als nieuwe applicaties worden gekocht of nieuwe leveranciers worden gecontracteerd kan dat ook werkzaamheden op het vlak van gegevensbescherming met zich mee brengen. Waarschijnlijk heeft je organisatie wel een medewerker of een afdeling die zich bezig houdt met inkoop en dat is een mooie ingang voor de PO. Als de opdrachtgever van de aanschaf vergeten is om te kijken naar aspecten van gegevensbescherming kan dat zo ondervangen worden. Als de lijntjes tussen inkoop en PO kort zijn, dan kan de PO ervoor zorgen dat jij als FG waar nodig ook (alsnog) aangehaakt wordt.

Wat als het toch mis gaat?

Het is goed om je te (blijven) beseffen dat jij als FG niet persoonlijk verantwoordelijk bent voor de naleving van gegevensbeschermingseisen. De verwerkingsverantwoordelijke of de verwerker moet zelf kunnen aantonen dat in overeenstemming met de AVG is gehandeld. Dus als achteraf blijkt dat je ondanks al je inspanningen (bewust of onbewust) ergens buiten bent gehouden en het gaat mis, dan zijn de consequenties niet voor jou.

Contact

Neem gerust contact met ons op als je naar aanleiding van deze blog vragen hebt. Kan jij wel wat hulp gebruiken om je effectiviteit binnen je organisatie te vergroten? Kijk dan ook eens naar ons coachingstraject.

IB&P
Laatste berichten van IB&P (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…
Verder lezen

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…
Verder lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …
Verder lezen

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…
Verder lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …
Verder lezen

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…
Verder lezen