Privacy management: de verschillende lijnen van privacy governance
Organisaties hebben sinds de komst van de Algemene verordening gegevensbescherming (AVG) het verwerkingsregister op orde gemaakt, procedures en checklists geschreven, gezorgd voor transparante informatie naar betrokkenen en een poging gedaan tot bewustwording van het grote vraagstuk ‘privacy’ bij medewerkers. En nu? Misschien komt dit als een schok: maar de AVG is geen checklist die een organisatie kan afvinken. Privacy, en daarmee de AVG, is een onderwerp dat continu leeft en moet leven in een organisatie.
De borging van de AVG in een organisatie staat of valt met privacymanagement. Een goed privacymanagement kan niet zonder de support vanuit managers en de directie. En ook niet zonder de tijd, capaciteit en opleiding die medewerkers krijgen waarbij een gedeelte van de AVG- implementatie is belegd. Zonder privacymanagement doe je die stappen te niet. De aankomende blogreeks duikt dieper in het onderwerp privacymanagement.
Deze blog richt zich op het concept privacy governance. Privacy governance is een belangrijk onderdeel van privacymanagement. In deze blog wordt uitgelegd wat privacy governance is, hoe privacy governance eruit kan zien en wordt het belang van support, tijd en capaciteit belicht.
Wat is privacy governance?
Privacy governance betekent dat de taken en verantwoordelijkheden die voortvloeien uit de AVG in de gehele organisatie zijn belegd en ingebed. Het is een illusie dat de AVG een feestje van Juridische Zaken is of dat het alleen een taak is van de privacy officer. Dit is niet zo aangezien de AVG alle facetten van een organisatie raakt. Het is dan ook logisch dat de gehele organisatie iets met de AVG moet. Natuurlijk spelen het type en de grootte van de organisatie, welke (bijzondere) persoonsgegevens en de hoeveelheid aan persoonsgegevens die je verwerkt een rol bij de invulling van privacy governance, maar hoe klein of groot ook, elke organisatie moet aan de slag met privacy governance.
Hoe kan privacy governance er dan uit zien?
Privacy governance kan bijvoorbeeld worden verdeeld in verschillende lijnen, namelijk 1ste, 2de en 3de lijns. De 1ste lijn zijn de medewerkers die binnen de afdelingen of teams het eerste aanspreekpunt zijn over AVG. De tweedelijns is de privacy officer en de derde lijn is (wanneer de organisatie deze heeft) de functionaris voor gegevensbescherming (FG).
Het is belangrijk om de verschillende taken en functies van de 1ste, 2de en 3de lijn op papier te zetten, zodat duidelijk is wie voor welke taak verantwoordelijk is en wat een functie inhoudt. Daarnaast is het belangrijk dat ook de organisatie weet hoe de privacy governance binnen de organisatie is ingericht en wie kan worden aangesproken voor privacy gerelateerde vragen.
Betrek van elke afdeling waar persoonsgegevens worden verwerkt (en waar van belang) iemand die als aanspreekpunt (ook wel GDPR Hero, privacy ambassadeur, AVG aanspreekpunt etc. genoemd) voor de AVG en als ogen en oren kan dienen voor een afdeling. Denk hierbij bijvoorbeeld aan HR, IT, marketing, en financiën. Heel belangrijk is dat diegenen begrijpen wat het belang van de AVG en zijn/haar functie is. Dit kan onder andere bereikt worden door workshops of awareness sessies te organiseren.
Een belangrijke rol die vaak wordt overgeslagen is de rol van communicatie. Als bijvoorbeeld eindelijk het proces datalekken af is, hoe zorg je er dan voor dat de medewerkers hiervan op de hoogte zijn en ook daadwerkelijk weten wat ze er mee moeten? Medewerkers staan veelal niet te trappelen om die 20 pagina’s aan beleid te lezen. De afdeling communicatie kan een organisatie goed helpen om het stuk nog leesbaarder en duidelijker te maken en samen een factsheet of een “flyer” te creëren waarop de belangrijkste punten staan van het proces en waar medewerkers in de praktijk iets mee moeten. Zo worden de belangrijkste punten uit het proces behapbaar gemaakt en zorg je ervoor dat meer medewerkers de informatie tot zich nemen.
Belang van support, tijd en capaciteit
Zonder de support, tijd en capaciteit van het management en directie blijft de AVG vaak een papieren tijger van processen en beleidsstukken op papier waar weinig medewerkers iets mee kunnen. Het is dan ook belangrijk dat de taken en verantwoordelijken formeel of informeel worden vastgelegd. En dat de taken uit de AVG niet iets zijn wat er bij allerlei andere taken nog even bij komt, maar dat dit echt een onderdeel wordt van iemands dagelijkse werkwijze. In de praktijk komt vaak terug dat wanneer dit geen onderdeel wordt van de dagelijkse werkwijze het onderwerp AVG vaak onderaan het takenlijstje komt te staan. En dat is ontzettend zonde na alle AVG- implementatie stappen die daarvoor zijn gezet.
Heb je als organisatie hulp nodig bij het inrichten van de taken vanuit de AVG neem dan vooral contact met ons op via info@privacycompany.nl!
Meer over de rollen en taken van de 1ste, 2de en 3de lijns binnen privacy governance in de volgende blog!