Help, ik ben Functionaris Gegevensbescherming, wat nu?

Om te beginnen: van harte gefeliciteerd! Je hebt een mooie functie met een pittige verantwoordelijkheid. Als Functionaris Gegevensbescherming (FG) ben je een absolute privacyspecialist: de onafhankelijke privacytoezichthouder die niet wijkt voor druk. Maar ook ben je de impactvolle adviseur met businessgevoel, sterk in communicatie (op de werkvloer en met de directie), doorgewinterd in risicomanagement en een terriër die dingen voor elkaar krijgt. Kortom, het schaap met vijf poten waar iedere organisatie van droomt. Maar wat als je dit nog niet bent?

Dan moet je snel aan de slag om deze skills alsnog te ontwikkelen of je team zo organiseren dat deze punten op een andere manier worden geborgd. In deze blog geven we een aantal tips geven voor de (beginnende) FG en geven we suggesties aan de buitenwereld om de positie van de FG te versterken.

Weet wat je rol is

Als FG ben je primair toezichthouder op de privacycompliance van je organisatie, adviseer en informeer je medewerkers en management van je organisatie over hun verplichtingen volgens de privacyregels en onderhoud je de contacten met de Autoriteit Persoonsgegevens (AP). Dit is geregeld in de artikelen 37 t/m 39 van de Algemene Verordening Gegevensbescherming (AVG). Lees ook de recente Richtlijnen voor de Functionaris Gegevens Bescherming van de WP 29(hierna: Richtlijn FG), aandachtig door, want deze geven praktische verduidelijkingen van je rol. Zorg dat je dit kader altijd scherp op je netvlies hebt.

Blijf binnen je rol

Bedenk dat je als FG toezichthouder bent. Je bent niet verantwoordelijk voor de privacycompliance van de organisatie, dat is en blijft namelijk (het management van) de organisatie! Jouw rol is adviserend, aanjagend en stimulerend. Voorkom dat je in een uitvoerende of eerstelijns rol terecht komt, zoals de rol van projectleider van een privacyproject, want dat botst met je primaire toezichtsrol. Meedenken mag, overpakken niet.

Zorg voor je basiskennis

Als FG moet je (a) veel kennis hebben van de Europese en nationale privacyregels, (b) een AVG-expert zijn en (c) goed thuis zijn in privacymanagement.

Pak privacycompliance logisch en effectief aan

Je organisatie compliant maken en houden vergt een gestructureerde aanpak. Het heeft weinig zin om willekeurig een Privacy Impact Assessment (PIA) op een proces of systeem uit te voeren. Logisch is om eerst een PIA op organisatieniveau uit te voeren op (a) de privacygovernance van je organisatie en om (b) de voor privacy relevante processen in beeld te brengen en per proces het privacyrisico daarvan te scoren. Vervolgens ga je risked-based PIA’s op de processen uitvoeren, dus het meest risicovolle proces eerst en het minst risicovolle als laatste. Op basis van deze PIA’s kom je zowel op organisatie- als op procesniveau tot beheersmaatregelen en controls.

Kortom, alleen met een gestructureerde totaalaanpak (zoals hiervoor summier onze privacymanagementaanpak) zul je je budget, mensen en middelen effectief in kunnen zetten om privacycompliance te bereiken.

Hoe kan de buitenwereld de positie van een FG versterken?

De AP en organisaties als de NGFG en de VCO kunnen (beginnende) FG’s een enorme dienst bewijzen door hun kennis te bundelen en samen op korte termijn objectieve opleidings- en ervaringscriteria voor FG’s te formuleren. Dan heeft de FG houvast en weet hij of zij welke opleidingen te volgen zijn en wat qua permanente educatie wordt verwacht. De vraag vanuit de markt naar FG’s zal nog de komende jaren structureel een veelvoud zijn van de kleine groep in Nederland die daadwerkelijk over de benodigde kennis en ervaring beschikt.

De AP kan de FG’s ook op een andere meer praktische manier een flinke steun in de rug geven, namelijk door in elke sector een stevige handhavingsactie uit te voeren. Niets werkt beter om privacy met prioriteit op de agenda van een directie te krijgen, dan het kunnen verwijzen naar een stevige boete bij een zwakke broeder of cowboy uit dezelfde sector. Dan blijkt er plots wel voldoende budget en mankracht te zijn voor privacycompliance.

Bron: PMPartners