In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Het beschermen van gevoelige persoonsinformatie is niet alleen de taak van IT-afdelingen, Privacy Officer of FG, maar van iedereen binnen de organisatie. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de organisatie houdt. Maar wat houdt deze rol precies in en welke verantwoordelijkheden komen daarbij kijken? Dat lees je in deze blog.
Download hier een pdf van deze blog
Waarom is privacybescherming zo belangrijk?
Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) zijn alle organisaties verplicht om persoonsgegevens goed te beschermen. De AVG vereist dat organisaties veilig en zorgvuldig omgaan met de persoonsgegevens. In veel gevallen is de gemeente de verwerkingsverantwoordelijke voor de persoonsgegevens die zij verwerkt. Daarom dient zij aan te kunnen tonen dat zij voldoet aan alle regels van de AVG. Dit moet niet alleen omdat de wet het zegt, maar het is ook superbelangrijk om ervoor te zorgen dat de burgers vertrouwen blijven houden in de lokale overheid. Het niet naleven van de privacywetgeving kan grote gevolgen hebben, zoals boetes opgelegd door de Autoriteit Persoonsgegevens (AP) of reputatie- en imagoschade. Daarom is het belangrijk dat je als gemeente een sterke privacycultuur ontwikkelt, waarbij de bescherming van persoonsgegevens wordt gezien als een prioriteit op alle niveaus binnen de organisatie. Dit betekent dat alle medewerkers (inclusief lijnmanagers) goed moeten begrijpen wat privacy inhoudt, open en eerlijk moeten zijn over hoe ze persoonsgegevens gebruiken, en er altijd voor moeten zorgen dat de informatie die ze beheren veilig en betrouwbaar blijft.
Taken van de lijnmanager
De verantwoordelijkheid voor het creëren van een sterke privacycultuur ligt bij directie en management; zij zijn namelijk eindverantwoordelijk voor de processen en daarmee ook voor een veilig gebruik van informatie. Als lijnmanager heb je daarom een belangrijke rol bij het waarborgen van privacy binnen jouw afdeling. Jij moet ervoor zorgen dat de privacywetgeving wordt nageleefd. Dit betekent niet alleen dat je moet begrijpen wat privacy inhoudt en waarom het belangrijk is, maar ook dat je op de hoogte moet zijn van bepaalde eisen vanuit de AVG en andere relevante wetten, zoals de Wet politiegegevens (Wpg). Dit geeft je inzicht in waarom privacy ook voor jouw afdeling van belang is. Daarnaast is het belangrijk om op de hoogte te zijn van het privacybeleid van de gemeente (wat een vertaling zal zijn van de eisen vanuit de wetgeving), inclusief de wijze waarop het beleid is geïmplementeerd en de verdeling van taken en verantwoordelijkheden. Hierdoor begrijp je ook wat jouw rol is binnen de organisatie, namelijk:
- Zorgen dat alle processen en activiteiten binnen jouw afdeling voldoen aan de privacy eisen van de organisatie. Dit betekent dat je passende maatregelen moet nemen om gegevens te beschermen en moet controleren of alles nog steeds volgens de regels verloopt.
- Medewerkers trainen en bewust maken van privacyprincipes. Je moet ervoor zorgen dat iedereen weet wat hun verantwoordelijkheden zijn en hoe ze veilig met persoonsgegevens moeten omgaan. Dit omvat ook het organiseren van trainingen over het herkennen en melden van datalekken.
- Toezicht houden op de juiste verwerking van persoonsgegevens binnen jouw afdeling. Hierbij kan een register van verwerkingen van jouw afdeling je bij helpen. Je moet ervoor zorgen dat het privacybeleid wordt nageleefd, dat de toegangsrechten tot gegevens goed worden beheerd, en dat de integriteit en vertrouwelijkheid van de informatie worden gehandhaafd. Ook moet je privacyrisico’s identificeren en maatregelen nemen om deze te verminderen, of incidenten indien nodig melden aan de Privacy Officer of de Functionaris voor Gegevensbescherming (FG).
Deze taken vragen niet alleen om kennis van de privacy regels binnen je organisatie, maar ook de vaardigheid om die kennis effectief over te brengen op je team. Door deze taken serieus te nemen, vervul je als lijnmanager een belangrijke rol in het beschermen van de privacy van burgers en het zorgen dat de gemeente zich aan de wet houdt.
Moet je dit allemaal alleen doen?
Nee. Het feit dat je verantwoordelijk bent voor het naleven van privacywetgeving, betekent niet dat je alles zelf moet doen. De Privacy Officer kan je hierbij helpen. Als lijnmanager moet je wel op de hoogte zijn en de urgentie/verantwoordelijkheid voelen om zelf actie te ondernemen met betrekking tot bovenstaande zaken en ervoor zorgen dat ze worden uitgevoerd. De Privacy Officer heeft vooral een adviserende en ondersteunende rol. Hieronder lees je hoe die samenwerking eruit kan zien:
- Communicatie en overleg
Als lijnmanager heb je regelmatig contact met de Privacy Officer om beleid, procedures en eventuele zorgen met betrekking tot de verwerking van persoonsgegevens te bespreken. Hierdoor blijf je als lijnmanager op de hoogte van privacyregels binnen je organisatie. De Privacy Officer adviseert en begeleidt je als lijnmanager bij privacycompliance. Dit omvat uitleg over de AVG-vereisten, het beoordelen van risico’s en het nemen van passende beschermingsmaatregelen. - Training en bewustwording
De Privacy Officer kan trainingen geven over gegevensbescherming aan je medewerkers of zal een bewustzijnsplan voor de organisatie hebben opgesteld. Als lijnmanager wordt er van je verwacht dat je ervoor zorgt dat jouw teamleden deze trainingen volgen en de kennis toepassen in hun werk. Samen met de Privacy Officer kun je trainingen organiseren of bewustwordingscampagnes opzetten die passen bij de specifieke risico’s en behoeften van jouw afdeling. - Implementatie van privacybeleid
Als lijnmanager wordt er van je verwacht dat je het privacybeleid van de gemeente mede implementeert binnen jouw afdeling. Zorg ervoor dat alle procedures en processen in lijn zijn met dit beleid. Is dit niet het geval, dan pas je deze aan. Bij nieuwe projecten of initiatieven raadpleeg je als lijnmanager de Privacy Officer op tijd om ervoor te zorgen dat de privacyprincipes, zoals privacy by design en by default, worden geïntegreerd. Ook zal er dan mogelijk een Data Protection Impact Assessment (DPIA) worden uitgevoerd. - Incidentmanagement en rapportage
Bij een datalek of privacy-incident zullen medewerkers dit vaak melden bij hun lijnmanager en de Servicedesk. Deze zullen vervolgens een melding maken bij de Privacy Officer en/of FG. Bespreek samen met de medewerkers het incident, neem corrigerende maatregelen en werk samen met de FG wanneer een externe meldingen richting burgers noodzakelijk zijn. De Privacy Officer ondersteunt bij het opstellen van rapportages over privacyincidenten en het documenteren van de genomen maatregelen om toekomstige incidenten te voorkomen. - Voortdurende verbetering
Als lijnmanager werk je nauw samen met de Privacy Officer aan het regelmatig beoordelen en verbeteren van privacypraktijken. Dit omvat het herzien van gegevensverwerkingsactiviteiten (register van verwerkingen), het uitvoeren van DPIA’s en het actualiseren van trainingsprogramma’s. Deze samenwerking zorgt voor een sterke aanpak van privacybescherming binnen de organisatie. De expertise van de Privacy Officer wordt gecombineerd met de operationele kennis van jou als lijnmanager. Dit bevordert een cultuur van privacybewustzijn en compliance in de hele organisatie.
Conclusie
De rol van lijnmanagers bij het beschermen van privacy wordt steeds duidelijker. Ondanks de vele andere verantwoordelijkheden die lijnmanagers hebben, is het belangrijk dat ze actief betrokken zijn bij het waarborgen van privacy binnen de organisatie. Door samen te werken met de Privacy Officer en taken en verantwoordelijkheden goed te verdelen, kunnen lijnmanagers en Privacy Officers elkaar versterken en ervoor zorgen dat aan de regels wordt voldaan en dat privacy een prioriteit blijft.
Hoewel sommige lijnmanagers sneller de nodige aanpak omarmen dan anderen, is het belangrijk dat lijnmanagers ondersteuning krijgen bij het implementeren en vertalen van de privacyregels naar hun collega’s, aangezien de informatievoorziening een voortdurend veranderend landschap is.
Download hier een pdf van de blog, aangevuld met FAQ voor de lijnmanager.
Meer informatie of hulp nodig?
Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons op.
- Rapporteren zonder resultaat; de frustratie van elke FG en CISO - 7 oktober 2024
- Hoe voer je een Business Impact Analyse (BIA) uit? - 23 september 2024
- Waarom is het lastig om structureel DPIA’s uit te voeren? - 8 september 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!