Stel, je bent FG en neemt je wettelijke taak bijzonder serieus. Je houdt toezicht op de naleving van de AVG, adviseert bij de uitvoering van PIA’s en informeert de organisatie over de praktische invulling van de wettelijke verplichtingen. In het “3 lines of defense model” sta je nadrukkelijk opgesteld in de tweede lijn. Oftewel in een adviserende en controlerende rol. Voor de daadwerkelijke uitvoering van de AVG-verplichtingen vertrouw je op de eerste lijn: de mensen op de werkvloer.
Feestje van compliance en IT
Je gaat aan het werk, maar al gauw merk je echter dat er in jouw organisatie nog weinig te controleren valt. Het verwerkingenregister dat in mei 2018 keurig op tijd is opgeleverd, is sinds die tijd niet meer geopend. De map met verwerkersovereenkomsten bevat nog dezelfde 0.9-versies als waarmee het AVG-project destijds is beëindigd. En in dezelfde week is ook de laatste PIA uitgevoerd. Als je er bij je collega’s navraag naar doet krijg je het gevoel dat je stoort. En als je doorvraagt weet je het zeker. De AVG wordt vooral gezien als het feestje van compliance en IT. De rest van de organisatie houdt zich inmiddels weer bezig met geld verdienen, de burger helpen of de patiënt te verzorgen. En daar hebben ze het al druk genoeg mee.
Wie zich in deze FG herkent, verkeert in goed, maar vooral ook groot gezelschap. Bij veel organisaties is bij de invoering van de AVG de aandacht vooral uitgegaan naar het “vinkbare” gedeelte ervan en veel minder naar het laten landen van privacy op de werkvloer. Dus wel naar het opstellen van een privacybeleid en een datalekkenprotocol, maar niet naar het uitleggen van de principes en het inbedden ervan in de dagelijkse werkzaamheden. Een voornamelijk theoretische oefening dus, niet afgestemd op de praktijk en ver weg van de mensen die het zouden moeten uitvoeren. Gevolg is dat, buiten een handjevol specialisten en enthousiastelingen, de bekendheid met de AVG op de werkvloer nog zeer beperkt is. Het waren de professionals die de vragen stelden. En dezelfde professionals die de antwoorden gaven.
Wat is hier fout gegaan?
Er zijn bij de implementatie van de AVG drie grote valkuilen die ik regelmatig zie terugkomen. Niet geheel toevallig is de organisatie uit het voorbeeld in alle drie tegelijk getrapt:
- Ten eerste de overtuiging dat de AVG een eenmalige oefening is, een afvinklijstje dat je één keer doorloopt en dan klaar is. In plaats daarvan hoort privacy een kwaliteitsaspect te zijn, dus een wezenlijk en doorlopend aandachtspunt in de bedrijfsvoering;
- Ten tweede het idee dat de verantwoordelijkheid voor de naleving van de AVG bij een projectgroep ligt, of bij de FG. Terwijl de AVG deze verantwoordelijkheid nadrukkelijk bij de organisatie legt. Primair dus bij de bestuurder, als eindverantwoordelijke. Maar ook bij de medewerkers, die allemaal ook een eigen, daarvan afgeleide verantwoordelijkheid hebben om AVG-conform te werken. Je hebt elkaar dus allemaal nodig;
- Derde en belangrijkste gemiste kans is dat verzuimd is om een link te leggen tussen de regels van de AVG en de uitvoering ervan in de praktijk. Terwijl het juist de medewerkers zijn die bepalend zijn of binnen een organisatie wel of niet zorgvuldig met de privacy van klanten wordt omgegaan. Je kunt als organisatie alles in regels, procedures en afvinklijstjes zetten, als medewerkers deze niet toepassen blijft het een wassen neus.
Hoe zorg je er dan voor dat de AVG wèl goed landt?
Essentieel voor een goede inbedding van privacy is om naast het onvermijdelijke “papierwerk”, zoals een verwerkingenregister en een privacyverklaring, minstens evenveel aandacht te besteden aan de vertaling ervan naar de werkvloer. Dus niet alleen opschrijven dat alleen díe data worden verwerkt die echt nodig zijn, maar ook nagaan welke gegevens dat zijn, wat de moeilijke gevallen zijn en hoe je er dan mee omgaat. En niet alleen een model verwerkersovereenkomst opstellen, maar ook nadenken over de manier waarop je omgaat met afdelingen en leveranciers die er niet mee uit de voeten te kunnen. Staat in je beleid dat je Privacy by Design toepast, dan zorg je er dus ook voor dat de degenen die zich met productontwikkeling bezig houden weten hoe ze er invulling aan moeten geven.
Omdat de FG doorgaans degene is die op het gebied van de AVG de meeste kennis in huis heeft, is het logisch dat deze bij de vertaling ervan naar de praktijk in eerste instantie een sturende rol speelt. De kunst als FG is echter om dan niet alleen zelf meters te maken, maar ook je collega’s daarin mee te nemen. De enige manier om dit te doen is in een doorlopende dialoog. Waardoor de FG een goed zicht krijgt op de daadwerkelijke risico’s en de medewerkers vertrouwd raken met de wettelijke kaders.
De verschuivende rol van de FG
Hoewel de FG tevens intern toezichthouder is, zal in de eerste fase het accent dus liggen op het adviseren van de organisatie, meedenken en vooral ook meehèlpen. Waar lopen de medewerkers tegenaan en welke ruimte geeft de AVG om hiermee om te gaan? Wanneer houden we een PIA en hoe pakken we dat aan? Welke gegevens moeten we beschikbaar hebben als er een inzageverzoek komt? Allemaal vragen waarop je met elkaar het antwoord zult moeten vinden.
Na verloop van tijd zullen de medewerkers steeds meer vragen zelf kunnen beantwoorden. De focus van de FG verschuift dan geleidelijk naar een meer toezichthoudende rol. Omdat een organisatie per definitie in beweging is, zal de FG ook dan echter nog regelmatig om advies worden gevraagd. En andersom zal de FG zelf ook geregeld bij de business te rade gaan. Bijvoorbeeld om de ernst van incidenten te kunnen beoordelen, of om te horen welke projecten op stapel staan.
Het Privacy Team als verbindende schakel
Essentieel is dus een continue dialoog tussen de FG en de rest van de organisatie. Een goede manier om dit structureel te verankeren is de inrichting van een Privacy Team (PT). Dit is een groep “privacy ambassadeurs”, afkomstig uit alle afdelingen waar het van belang is om op een goede manier met persoonsgegevens om te gaan, die door de FG periodiek wordt bijgepraat m.b.t. de laatste privacy-ontwikkelingen binnen en buiten de organisatie. PT-leden zijn de ogen en oren van de FG in de organisatie. Daarnaast zijn PT-leden ook voor hun collega’s het eerste aanspreekpunt ingeval zich binnen hun afdeling privacy-vragen voordoen. Doordat PT-leden goed getraind zijn voor hun rol, zullen zij veel vragen direct kunnen beantwoorden. Waarmee zij dan niet alleen hun collega helpen, maar tevens de FG ontlasten. Ook bij de afstemming van privacy-vragen tussen verschillende afdelingen of vestigingen kunnen PT-leden een sleutelrol spelen. Doordat zij elkaar kennen is de drempel om elkaar op te zoeken en aan te spreken bijzonder laag, waardoor zaken veel minder lang zullen blijven liggen of escaleren.
Het geheim van een goed werkend PT is een juiste mix van enthousiasme, teambuilding en kennis. Daarnaast heb je een FG nodig die bereid is te schakelen tussen toezicht houden, adviseren en kennis overdragen. En niet in de laatste plaats: een FG die meehelpt. Voor PT-leden zelf blijkt er daarnaast nog een andere cruciale succesfactor te zijn: tijd. Als een PT-lid structureel te weinig tijd heeft om zijn rol in te vullen, gaat het niet werken. Dit betekent dat steun van het management voor een PT essentieel is.
Meer weten?
Vanuit VKA hebben we inmiddels de nodige ervaring met het opzetten en begeleiden van PT’s. Onze conclusie is dat het vrijwel altijd maatwerk is, maar tot nu toe ook altijd de moeite waard. Herken je je in de FG uit de eerste alinea? Of heb je om een andere reden het idee dat een PT ook bij jouw organisatie wel eens de ontbrekende schakel zou kunnen zijn? Neem dan gerust contact met ons op. Ook het kiezen van de juiste oplossing gedijt immers het best bij teamwork.