Het privacy dreamteam - wie heb je nodig om privacy in je organisatie te borgen?
Het privacy dreamteam
Het verbeteren van privacybescherming binnen een organisatie vergt teamwork. Organisatorische inbedding van een privacybeleid betekent het toewijzen van taken, verantwoordelijkheden en bevoegdheden. Daarnaast dient het duidelijk te zijn bij wie de medewerkers terecht kunnen wanneer zij vragen hebben over gegevensbescherming of de uitvoering en interpretatie van de wet- en regelgeving.
Voor een goede en juiste uitvoering van de privacywetgeving is het van belang dat eenieder binnen de organisatie op de hoogte is van de beginselen van de Algemene verordening gegevensbescherming (AVG). Dit kan bewerkstelligd worden door bijvoorbeeld het opstellen van factsheets. Er zijn verschillende functionarissen die bijdragen aan het waarborgen van de privacybescherming in de organisatie. De meest relevante worden in deze blog toegelicht.
Functionaris Gegevensbescherming
Een Functionaris Gegevensbescherming (FG) is belast met het informeren, adviseren en controleren van de correcte toepassing van de bepalingen van de AVG. Organisaties zijn in bepaalde situaties verplicht een FG aan te stellen. In de de blog Misverstand 4: Functionaris voor Gegevensbescherming wordt uiteengezet wanneer een organisatie verplicht is om een FG aan te stellen.
De AVG verbindt duidelijke eisen aan de positionering van een FG. De FG ziet op de naleving van de verordening, verstrekt informatie en geeft advies aan werknemers die gegevens verwerken over hun verplichtingen onder de wetgeving inzake gegevensbescherming. De FG vormt als het ware de hoeksteen van verantwoording, aangezien de FG de naleving vergemakkelijkt, en ook optreedt als tussenpersoon tussen de toezichthoudende autoriteiten, de betrokkenen en de organisatie door wie de FG is aangesteld.
Wanneer een organisatie een FG heeft aangewezen, moet deze ervoor zorgen dat zij ‘naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens’ in de organisatie. Zo moet de FG betrokken worden bij het verstrekken van advies over de uitvoering van gegevensbeschermingseffectbeoordelingen (ook wel GEB of DPIA). Om de FG in staat te stellen zijn/haar taken efficiënt uit te voeren, moet een organisatie de FG voorzien van de nodige hulpmiddelen, zoals budget en ruimte. Daarnaast dient een organisatie een FG voldoende tijd te geven om zijn/haar taken te vervullen en op de hoogte te kunnen blijven van alle ontwikkelingen in de wetgeving inzake gegevensbescherming.
Naast de wettelijke bepalingen heeft de toezichthouder ook concrete uitgangspunten opgesteld over onder meer de informatiepositie van de FG en de middelen die een organisatie aan de FG dient te verstrekken. Daarnaast zijn er richtlijnen voor de rol van de FG gepubliceerd.
Privacy Officer
In sommige, vooral grote organisaties, kan het voorkomen dat er FG moet worden aangesteld of is aangesteld, maar dat er aanvullende capaciteit nodig is. De functie van Privacy Officer (PO) kan hier soelaas bieden. Zo kan een PO binnen een organisatie bepaalde zaken op zich nemen. Denk aan het begeleiden van een DPIA. De rol van de PO is vooral uitvoerend ten opzichte van de FG die toezichthouder is. Zowel de FG als de PO kunnen interne medewerkers zijn, maar de FG en PO kunnen ook extern worden aangesteld.
Een PO kan er voor zorgen dat privacy al vanaf de beginfase als onderdeel van een nieuwe dienst of product wordt meegenomen binnen een organisatie. Het is wel van belang dat de functies van de FG en PO gescheiden zijn. Er moet namelijk voorkomen worden dat de FG als het ware zijn eigen vlees keurt.
De PO is verantwoordelijk voor het ontwikkelen en het bewaken van het privacybeleid. Ook biedt de PO ondersteuning bij het uitvoeren van het privacybeleid en fungeert als aanspreekpunt voor privacyvraagstukken die spelen binnen een organisatie.
Chief Information Officer
De Chief Information Officer (CIO) houdt zich binnen een organisatie bezig met ICT, informatisering en automatisering. De CIO draagt zorg voor de inrichting en het functioneren van de gehele ICT-organisatie bij een organisatie en is verantwoordelijk voor het implementeren van de wensen en eisen op het gebied van de bescherming van persoonsgegevens.
Chief Information Security Officer
De Chief Information Security Officer (CISO) heeft een centrale rol in het zorg dragen voor informatiebeveiliging. De CISO informeert en adviseert een organisatie en houdt toezicht op het gebied van informatiebeveiliging, waaronder beveiliging van persoonsgegevens. De CISO is verantwoordelijk voor het implementeren van informatiebeveiligingsbeleid en het toezicht daarop.
Een CISO kan zowel organisatorisch gericht zijn als technisch. Het doel van de meer technisch gerichte functie is, om met de bij de functie behorende kennis en kunde het beveiligingsrisico als gevolg van toepassing van technologieën op aanvaardbaar niveau te brengen en te houden. De CISO heeft een rol bij enerzijds de ontwikkeling van nieuwe processen en/of systemen en anderzijds het onderhoud en beheer van bestaande processen. De meer beleidsmatige kant van de CISO heeft als doel om binnen een organisatie voldoende organisatorische beveiligingsmaatregelen te nemen.
Organisatiebrede inbedding van privacy: de privacy buddy’s
Vooropgesteld werken de vier hierboven genoemde functionarissen nauw samen. Maar ook organisatiebreed is het van belang dat medewerkers weten bij wie ze voor welke privacyvraagstukken kunnen aankloppen en wie verantwoordelijk is voor welk proces. Het is dus van belang dat er bij medewerkers bewustwording wordt gecreëerd over de rollen en werkzaamheden van de functionarissen.
Daarnaast kan het in organisaties aan te raden zijn om privacybuddy(s), ook wel aanspreekpunten, of andere personen aan te wijzen die dienen als rechterhand van de PO. Zo maken bijvoorbeeld veel gemeenten gebruik van aanspreekpunten, omdat een gemeente verschillende afdelingen kent waar soms afdelingsspecifieke privacyvraagstukken terug komen. Door een aanspreekpunt aan te stellen, wordt de stap om een privacyvraag te stellen verkleind. De aanspreekpunten moeten hiervoor wel de trainingen, begeleiding en de tijd krijgen om deze vraagstukken (goed) op te kunnen pakken.
De taken van de aanspreekpunt kunnen de volgende zijn:
- Eerste aanspreekpunt van de afdeling voor privacygerelateerde vragen;
- Leveren van een bijdrage aan het opstellen van afdelingsspecifieke privacyprocessen, gedragscodes, factsheets, werkinstructies en overige communicatie; dit onder begeleiding van en in overleg met de PO en/of FG.
- Signaleren van privacygevoelige of risicovolle verwerkingen; het bespreken hiervan met de PO en/of FG en zorgen voor implementatie van de eventueel te nemen maatregelen.
- Bijdragen aan verhogen privacy bewustwording binnen de afdeling (o.a. agenderen in team/afdelingsoverleg).
Heb je naar aanleiding van deze blog nog vragen, neem dan gerust contact met ons op via info@privacycompany.nl
Meer over het belang van governance en het uitvoeren van DPIA’s in de volgende blog!