Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?
De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Een functioneel beheerder is verantwoordelijk voor het beheer van specifieke applicaties binnen de gemeente. Maar hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen? Je leest het in deze blog.
Download hier een pdf van deze blog
Taken van een functioneel applicatiebeheerder
De functioneel beheerder is verantwoordelijk voor het beheer en de verbetering van specifieke gemeentelijke applicaties die op een afdeling worden gebruikt. Ze vormen de schakel tussen de gebruikers op de betreffende afdeling en de IT-organisatie en leveranciers. Ze passen de programma-instellingen aan volgens de behoeften van de gebruikers en de organisatie.
De taken van een functioneel beheerder op afdelingsniveau kunnen het volgende omvatten: het verzamelen en analyseren van wat de gebruikers qua functionaliteiten nodig hebben, het helpen bij het implementeren van veranderingen en updates, het eventueel geven van trainingen/instructies aan gebruikers en het bieden van ondersteuning bij vragen of problemen. Daarnaast zorgt de functioneel beheerder er mede voor dat de informatie binnen de betreffende applicatie veilig is en dat aan alle relevante wet- en regelgeving wordt voldaan.
Centraal of decentraal
Binnen een gemeente kan het functioneel beheer centraal of decentraal worden georganiseerd, wat verwijst naar de manier waarop het beheer voor applicaties zijn verdeeld. Centraal functioneel beheer wordt uitgevoerd door een centrale afdeling die verantwoordelijk is voor alle business applicaties binnen de gehele organisatie. Dit zorgt voor een uniforme aanpak met betrekking tot de inrichting van werkprocessen en kan helpen kosten te besparen. Decentraal betekent dat elke afdeling zijn eigen applicaties beheert. Hierdoor heeft de afdeling zelf meer controle en kunnen ze sneller aanpassingen doen. De keuze hangt af van de grootte van de gemeente, de complexiteit van de infrastructuur en de strategische doelen. In beide gevallen geldt wel dat de proceseigenaar altijd verantwoordelijk is en blijft voor de applicaties die specifiek binnen zijn proces worden gebruikt.
Taken van een Privacy Officer
Een Privacy Officer, vaak afgekort als PO, is de persoon die verantwoordelijk is voor het actualiseren en bewaken van het privacybeleid binnen de gemeente en het ondersteunen van de uitvoering. Als Privacy Officer ondersteun je vaak het lijnmanagement bij het naleven van de privacywetgeving en zorg je ervoor dat persoonsgegevens van personeel of burgers goed worden beschermd.’ In onze eerdere blog ‘Functionaris Gegevensbescherming versus Privacy Officer – wie doet wat?’ lees je meer over wat deze rol precies inhoudt.
Samenwerking tussen functioneel beheerders en Privacy Officers
Samenwerking tussen functioneel beheerders en Privacy Officers in een gemeente is essentieel voor het waarborgen van privacy gegevensbescherming. Beide rollen delen kennis en verantwoordelijkheden die belangrijk zijn voor de naleving van privacywetgeving en implementatie van best practices. De functioneel beheerder, met diepgaande kennis van de applicatie, identificeert en minimaliseert privacyrisico’s op operationeel niveau, terwijl de Privacy Officer juridisch en beleidsmatig inzicht biedt in privacywetgeving. Samenwerking tussen deze twee rollen versterkt de organisatie om te voldoen aan de wettelijke vereisten en het vertrouwen van burgers te winnen door te laten zien dat hun persoonsgegevens goed worden beschermd. Maar hoe kan deze samenwerking er in de praktijk uitzien?
Laat ik beginnen met hoe functioneel applicatiebeheerders de Privacy Officers kunnen ondersteunen.
Hoe kan de functioneel beheerder de Privacy Officer ondersteunen?
Een functioneel beheerder kan de Privacy Officer ondersteunen door te helpen bij het handhaven van de privacywetgeving en het beschermen van persoonsgegevens in de applicaties die hij of zij beheert. Hier zijn enkele manieren waarop dit kan:
- Melden van risico’s: De functioneel beheerder kan privacyrisico’s vroegtijdig opsporen en rapporteren, zoals datalekken of beveiligingsproblemen, en deze melden aan de Privacy Officer.
- Privacyprincipes implementeren: De functioneel beheerder kan helpen bij het toepassen van privacyprincipes in applicaties, zoals Privacy by Design en Privacy by Default, zodat deze systemen alleen noodzakelijke gegevens verwerken.
- Beleid naleven: De functioneel beheerder kan ervoor zorgen dat activiteiten met betrekking tot de applicaties voldoen aan (intern) beleid, procedures, en wettelijke eisen op het gebied van privacy.
- Ondersteuning bij DPIA’s: De functioneel beheerder kan samenwerken met de Privacy Officer bij het uitvoeren van Data Protection Impact Assessments (DPIA’s) en het implementeren van aanbevelingen.
- Verzoeken van betrokkene beheren: De functioneel beheerder kan helpen bij het verwerken van verzoeken van betrokkenen, zoals verzoeken om inzage of correctie van persoonsgegevens, door de benodigde informatie te verstrekken of ervoor te zorgen dat systemen aan deze verzoeken kunnen voldoen.
- Toegangsrechten beheren: De functioneel beheerder kan zorgen voor strikt toegangsbeheer tot applicaties, volgens het principe van minimale toegang (least privilege).
Door deze acties te ondernemen draagt de functioneel beheerder niet alleen bij aan privacy en gegevensbescherming binnen de organisatie, maar helpt hij of zij ook de Privacy Officer bij het naleven van privacywetgeving.
Hoe kan de Privacy Officer de functioneel beheerder ondersteunen?
Omgekeerd moet de Privacy Officer de functioneel beheerder op verschillende manieren ondersteunen bij zijn of haar taken, vooral gericht op het waarborgen van privacy en bescherming van persoonsgegevens in de applicatie. Enkele manieren van ondersteuning zijn:
- Advies over privacywetgeving: De Privacy Officer adviseert over de geldende privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) en de Wet politiegegevens (Wpg), zodat de functioneel beheerder begrijpt welke eisen er zijn voor de specifieke applicaties die hij/zij beheert.
- Ondersteuning bij DPIA’s: De Privacy Officer voert samen met de functioneel beheerder (en waarschijnlijk met andere medewerkers) Data Protection Impact Assessments (DPIA’s) uit om privacyrisico’s te identificeren en te minimaliseren.
- Privacyprincipes implementeren: De Privacy Officer kan richtlijnen en best practices bieden voor integratie van privacyprincipes, zoals Privacy by Design en Privacy by Default, in applicatieontwikkeling en beheer. Dit houdt in dat privacybeschermende maatregelen vanaf het begin worden ingebouwd in systemen en processen en juist worden geconfigureerd door de functioneel beheerder waar dit mogelijk is of anders kan de functioneel beheerder dit met de leverancier overleggen.
- Incidenten en verzoeken beheren: De Privacy Officer kan ondersteuning bieden bij datalekken en verzoeken van individuen over hun privacyrechten, zoals het recht op inzage, om adequaat te reageren op deze situaties en ook helpen om datalekken überhaupt te herkennen.
- Training geven en bewustwording creëren: De Privacy Officer kan trainingen en bewustwordingsprogramma’s organiseren om medewerkers te informeren over de privacyprincipes van de eigen organisatie, en hoe om te gaan met privacygerelateerde vragen.
- Beleid ontwikkelen: De Privacy Officer helpt bij het ontwikkelen van beleid en procedures voor gegevensverwerking en -bescherming. Deze documenten bieden kaders met duidelijke privacyrichtlijnen, waarbinnen de functioneel beheerder zijn of haar taken kan uitvoeren. Door inzicht te hebben op het werk van de functioneel beheerder wordt er voor gezorgd dat het beleid en eventuele procedures ook goed aansluiten bij de werkelijke omstandigheden.
Door deze ondersteuning zorgt de Privacy Officer ervoor dat de functioneel beheerder goed voorbereid is om applicaties te beheren met respect voor privacy en naleving van de relevante wet- en regelgeving.
Hoe kun je deze samenwerking organiseren?
Het is nu duidelijk hoe de functioneel beheerder en de Privacy Officer elkaar kunnen ondersteunen. Maar in de praktijk merk ik dat deze twee groepen elkaar niet altijd opzoeken. Hoe zorg je er nu voor dat deze samenwerking goed verloopt? Hieronder geef ik enkele stappen die je binnen je organisatie kunt implementeren:
Zorg voor duidelijke rollen en taken
Definieer duidelijk de rol en verantwoordelijkheid van zowel de functioneel beheerder als de Privacy Officer. Dit voorkomt verwarring en zorgt voor een efficiënte samenwerking.
Zorg voor regelmatig overleg
Plan overleg tussen de functioneel beheerder en de Privacy Officer om lopende zaken, nieuwe projecten, eventuele privacyrisico’s en -uitdagingen, en veranderende wetgeving of organisatorische prioriteiten te bespreken. Dit kan ook vanuit een afdelingsoverleg besproken worden en hoeft niet altijd een apart overleg tussen de functioneel beheerder en Privacy Officer te zijn.
Zorg voor een gezamenlijke planning en projectmanagement
Werk vanaf de beginfase samen bij nieuwe projecten of veranderingen aan systemen. Dit zorgt ervoor dat privacyoverwegingen, zoals Privacy by Design, vanaf het begin worden meegenomen en dat beide partijen betrokken zijn bij het plannen en uitvoeren van de projecten. Het is niet altijd vanzelfsprekend dat een functioneel beheerder en Privacy Officer standaard onderdeel zijn van het projectteam.
Zorg voor onderwijs en training
Geef samen trainingen over privacywetgeving en -beleid om te zorgen dat alle betrokkenen de privacyregels begrijpen en kunnen toepassen. Zo kan de functioneel beheerder bijvoorbeeld specifieke applicatietrainingen verzorgen – op welke wijze kunnen we privacy-minded werken binnen de applicatie, terwijl de Privacy Officer meer algemene trainingen verzorgt. Uiteraard kunnen de applicatie trainingen ook door de leverancier worden verzorgd, maar zorg dan dat de functioneel beheerder hierbij aanwezig is. Ook is het mogelijk dat de privacybewustwordingstrainingen worden gegeven door een extern bureau als onderdeel van het overall organisatie-breed bewustwordingsprogramma.
Werk gezamenlijk aan risicoanalyses en DPIA’s
Voer gezamenlijk Data Protection Impact Assessments (DPIA’s) uit om privacyrisico’s te identificeren en te verminderen. Waarbij de Privacy Officer het proces kan begeleiden en juridisch advies geeft, terwijl de functioneel beheerder specifieke kennis en inzicht in de operationele werking van de applicatie biedt. Uiteraard is ook de input van andere medewerkerkers noodzakelijk voor een goede DPIA.
Regel incidentbeheer in
Ontwikkel en implementeer samen protocollen voor het omgaan met privacy-incidenten, zoals datalekken. Deze protocollen moeten duidelijk de rol van de functioneel beheerder en de privacy officer in het reactieproces bevatten.
Plan evaluaties in
Evalueer hoe de samenwerking verloopt en pas indien nodig zaken aan.
Door deze stappen te volgen, wordt de samenwerking tussen de functioneel beheerder en de Privacy Officer verbeterd, wat leidt tot een sterker privacybeleid en een betere bescherming van persoonsgegevens binnen de organisatie.
Meer informatie of hulp nodig?
Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons op. Wil je zelf als functioneel applicatiebeheerder meer thuis geraken binnen het onderwerp informatiebeveiliging en privacy? Dan is het ook mogelijk een in-house cursus te organiseren.
- Rapporteren zonder resultaat; de frustratie van elke FG en CISO - 7 oktober 2024
- Hoe voer je een Business Impact Analyse (BIA) uit? - 23 september 2024
- Waarom is het lastig om structureel DPIA’s uit te voeren? - 8 september 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!