2017 zit er bijna op, en in veel organisaties is hard gewerkt in de ‘privacy offices’ ter voorbereiding op de nieuwe privacyregelgeving. 2018 gaat uiteraard een bijzonder jaar worden met het van toepassing worden van de Algemene Verordening Gegevensbescherming (AVG) in mei. Functionarissen voor de Gegevensbescherming (FG) hebben nog een paar maanden om te wennen aan de nieuwe invulling van hun rol en de organisaties waar ze werkzaam zijn aan de toezichthoudende rol van de FG. Om met een gerust hart het kerstverlof in te gaan, hierbij mijn 5 tips voor een succesvol 2018 als FG.
Tip 1: Maak de governancestructuur voor privacy AVG-proof
De adviserende Richtlijnen voor functionarissen voor gegevensbescherming van de EU Werkgroep artikel 29 geven een goede houvast voor de invulling van de taken van een FG. Om die toezichthoudende rol goed te kunnen uitvoeren is een goede governancestructuur essentieel. Zo eisen de richtlijnen dat de FG rechtstreeks verslag uitbrengt aan de hoogste leidinggevende bij de verantwoordelijke voor de gegevensverwerking. Met een dergelijke directe rapportagelijn wordt verzekerd dat het hogere management op de hoogte is van de adviezen en aanbevelingen van de FG. Ga na of dat ook goed ingeregeld is in jouw organisatie en of de FG ook die directe rapportagemogelijkheid heeft. Ook is het bijvoorbeeld van belang dat in de governancestructuur van de organisatie is opgenomen dat wanneer er beslissingen genomen worden die gevolgen hebben voor de gegevensbescherming, de mening van FG naar behoren in overweging wordt genomen en de FG wordt betrokken bij datalekken.
Tip 2: Maak een FG-jaarplan
Om grip te krijgen op de functie van een FG is een FG-jaarplan een heel praktisch middel. Zeker wanneer het een functie is die in deeltijd wordt uitgeoefend naast andere taken. Zet in het jaarplan welke tijd benodigd is om taken uit te voeren en welke prioriteitsniveaus daarbij horen. Door het jaarplan samen met de organisatie op te stellen is het ook een nuttig instrument om de verwachtingen over en weer goed uit te spreken en conflicten van belangen te voorkomen. Het jaarplan geeft de FG gelijk ook een handvat voor het opstellen van het FG-jaarverslag. Wordt er door de organisatie veel verwacht van de FG? Een meer risk-based aanpak (‘wat doen we wel, wat doen we niet’) en het inrichten van een ‘privacy office’ die de organisatie adviseert bij privacyvraagstukken is dan misschien een goed idee.
Tip 3: Doe een nulmeting op de privacycultuur
Om eind 2018 te kunnen aantonen wat de investeringen in het AVG-proof maken van de organisatie hebben opgeleverd voor de privacycultuur moet je weten wat het vertrekpunt is. Plan daarom in januari een nulmeting op de privacycultuur binnen de organisatie. Dit kan je bijvoorbeeld (laten) doen door een (anonieme) enquête te houden of door binnen de verschillende divisies korte interviews te houden en ze op die manier te bevragen op hoe met bepaalde privacyaspecten (uit het jaarplan uit Tip 2) wordt omgegaan. Niet alleen geef je daarmee invulling aan een van de FG-taken, maar deze metingen leveren ook goede managementinformatie op.
Tip 4: Wees zichtbaar en beschikbaar om vragen te beantwoorden
Zichtbaar en bereikbaar zijn, twee belangrijke taken van de FG. Keerzijde van al die zichtbaar- en bereikbaarheid is dat mensen veel vragen gaan stellen. Ingewikkelde, inhoudelijke vragen vaak ook. Een toegewijd persoon op privacy zorgt er vaak voor dat privacy meer begint te leven in de organisatie. Dat was natuurlijk ook juist de bedoeling van het aanstellen van een FG, maar zorg er dan wel ook voor dat je thuis kunt geven wanneer die vragen komen. Bedenk in je jaarplan welk percentage van de beschikbare tijd de FG moet besteden voor vragen uit de organisatie, of dat je daar extra resources voor nodig hebt.
Tip 5: Breng je kennis up to date
De AVG is nieuw en nog volop in beweging door de adviserende richtlijnen die uitgebracht worden. Denk aan de detailinvulling van datalekken (die anders is dan de huidige meldplicht datalekken!), de gegevensbeschermingseffectbeoordeling (DPIA) en het recht op dataportabiliteit. Een ding durf ik nu al te zeggen: de FG’s gaan het druk krijgen komend jaar. Daarom doe je er goed aan om nu alvast te kijken naar hoe je in 2018 invulling wilt geven aan je ontwikkeling als privacy professional. In 2018 geef ik in Q2 in ieder geval een seminar over privacy in een multi-actor omgeving: grip op privacy in de ketenpraktijk. Dan kan je die alvast op je lijst zetten. Houdt onze privacypagina in de gaten voor de datum.
Alle FG’s en Privacy Officers alvast een fijne kerst en een mooi privacyjaar in 2018 toegewenst!