Privacy Functionaris: vier mogelijke scenario’s en tips

Let bij uw keuze vooral op onafhankelijkheid en professionaliteit. Dat zijn de belangrijkste drivers bij de keuze voor een externe of interne Functionaris Gegevensbescherming (FG). Uiteraard speelt ook de omvang van uw organisatie een rol. Wij hebben de vier mogelijke scenario’s op een rij gezet met daarbij de voordelen, uitdagingen en tips.

1.      Aanwijzen van een interne medewerker. Voordeel: deze persoon kent de organisatie al. Uitdaging: borgen van de juiste juridische en onafhankelijke positie. Tip: zorg voor continue opleidings- en intervisiemogelijkheden met andere FG’s.

2.      Werven van een medewerker: Voordeel: beschikt over de benodigde ervaring en kennis. Uitdaging: borgen van de juridische en onafhankelijke positie. Tip: zorg voor een adequaat inwerkprogramma en voldoende intervisiemogelijkheden.

3.      Aanstellen (in deeltijd) van een externe FG. Voordeel: onafhankelijkheid en professionaliteit is aanwezig. Daarbij is er automatisch intervisie en ook inzetbaarheid van specialisten. Uitdaging: Snelle bekendheid in en met de organisatie. Tip: Zorg juist bij dit scenario voor een netwerk van privacy ambassadeurs in de organisatie.

4.      Combineren van een interne FG met specialistisch bureau. Voordeel: in te zetten voor (onafhankelijke) ondersteuning en tweedelijns helpdesk. Uitdaging: goede samenwerking en vertrouwen tussen de interne FG en het bureau. Tip: zorg dat het management en de interne FG samen de keuze maken voor het bureau.

Hoe maakt u voor uw organisatie nu de juiste keuze? We lopen de verschillende overwegingen bij de drivers onafhankelijkheid, professionaliteit en omvang van uw organisatie nog eens langs.

De onafhankelijkheid is belangrijk omdat de nieuwe privacywet (AVG) die per mei 2018 geldt, dat expliciet vereist voor organisaties die veel persoonsgegevens verwerken. De onafhankelijkheid mag geen wassen neus zijn. De AVG draagt de FG immers expliciet op toe te zien op de juiste naleving van de verwerking van persoonsgegevens. Hoe borgt u de onafhankelijkheid van de FG? De FG dient voldoende middelen en tijd tot zijn beschikking te hebben, goed geïnformeerd te worden en het management moet het oordeel ook serieus meenemen in de besluitvorming. Voor sommige organisaties kan dat een uitdaging zijn. Zodra iemand in de organisatie intern is aangewezen ontstaat er mogelijk spanning vanuit de werkgevers- en werknemersrelatie. De wetgever heeft dat meegenomen en de FG is daarom op vergelijkbare wijze beschermd als de leden van een ondernemingsraad. Dus is het daarmee opgelost? Dat is een vraag die u zichzelf als management moet stellen en ook erg afhankelijk is van de cultuur binnen uw organisatie. Hoe hoog is het zelf reflecterend en kritisch vermogen in uw organisatie en management? In ieder geval is duidelijk dat vanaf mei 2018 de Autoriteit Persoonsgegevens zeer scherp zal zijn omtrent de wijze waarop persoonsgegevens binnen uw organisatie worden verwerkt. De Autoriteit Persoonsgegevens heeft ook aanzienlijke boetemogelijkheden gekregen. Dat pleit er in ieder geval voor om de onafhankelijkheid van de FG hoog op de agenda te zetten bij de keuze en inrichting van de positie van de FG binnen de organisatie. Zeker in de opstartfase kan het daarom raadzaam zijn te werken met een FG die extern wordt aangesteld. Dat geeft ook ruimte om een soort schoon schip te creëren en de organisatie te laten wennen aan de importantie dat persoonsgegevens conform de nieuwe spelregels worden verwerkt.

Een belangrijke andere driver is de professionaliteit van de FG. Beschikt uw eigen medewerker over voldoende kennis en vaardigheden omtrent juridische, technische en managementprocessen? Privacy is immers niet iets wat je er maar even bijdoet. Bijscholing is een “must” net als intervisie met andere FG’s. Door “anoniem” zaken met elkaar te bespreken wordt het blikveld van de FG verruimd: qua aanpak, actualiteit en interpretatie van de grijze gebieden van de nieuwe Privacywet alsook cultuur- en managementaspecten.

Ten slotte is de omvang van uw organisatie een belangrijke factor in de keuze van een interne of externe FG. Eigenlijk een open deur. Een kleine organisatie heeft veelal geen behoefte aan een fulltime FG. Uiteraard kunnen de werkzaamheden van de FG gecombineerd worden met andere werkzaamheden. De vraag is echter of de onafhankelijkheid van de FG dan voldoende gewaarborgd is. Binnen de organisatie kan snel rolverwarring plaatsvinden. Communiceert de aangewezen persoon als FG of vanuit een andere belegde taak? Maar nog belangrijker is, heeft de aangewezen persoon voldoende kennis of vaardigheden in huis. En weegt de eventuele bijscholing en intervisie qua kosten en tijd op tegen de ogenschijnlijk lagere kosten ingeval van een eigen (deeltijd) FG. Ingeval van een grote organisatie kan er ruimte zijn voor een (bijna) voltijdse FG of misschien zelfs een heus privacy team. Van belang is en blijft dat er voldoende tijd, ruimte en middelen vanuit het management gegeven worden voor bijscholing, intervisie en eventueel interventie. Bij een grote organisatie kan de ombuiging van de cultuur evenwel een weerbarstig vraagstuk zijn wat in de (opstartfase) in ieder geval vraagt om (bijstand van) een externe FG.

Nog even een aantal belangrijke zaken op een rijtje.

De belangrijkste taken van een Functionaris Gegevensbescherming (FG of DPO) zijn:

• Naleving van de principes van dataverwerking
• De rechten van datasubjecten
• Databescherming ‘by default and by design’
• Beschrijving van verwerkingsactiviteiten
• Beveiliging van verwerking
• Notificatie bij en communicatie met de Autoriteit Persoonsgegevens (incl. datalekken)
• Managen van risico’s
• Adviseren van privacy controllers en verwerkers

De eisen op hoofdlijnen aan een Functionaris Gegevensbescherming (FG of DPO) zijn:

-> Toegankelijkheid

De FG moet eenvoudig bereikbaar zijn: zowel voor externen als interne in de organisatie ongeacht het niveau waarop iemand werkzaam is.

-> Kennis en vaardigheden

Voldoende kennis over de privacywetgeving passend bij de gevoeligheid, omvang en complexiteit van de data waar men mee werkt. De FG moet bekend zijn met de sector, met de organisatie en de interne informatiesystemen, databescherming en databeveiliging. Een FG moet dus kennis hebben van juridische zaken, informatiebeveiliging en informatiesystemen (juridisch, technisch en managementprocessen). Een FG moet communicatief en integer zijn en bovendien over een hoge mate van professionele ethiek beschikken.

-> Positie

De FG moet voldoende en tijdig betrokken zijn bij kwesties over persoonsgegevens in de organisatie. Door regelmatig deel te nemen in managementvergaderingen en goed geïnformeerd te worden kan de FG zijn taak adequaat uitvoeren. Aan het oordeel van de FG dient zwaarwegend belang te worden gehecht in de uiteindelijke besluitvorming door het management. Ook moet het management het functioneren van de FG ondersteunen, voldoende tijd en middelen beschikbaar stellen, toegang geven tot alle documenten en systemen en permanente opleiding faciliteren. Ten slotte moet de FG onafhankelijk zijn werk kunnen doen en beschermd worden tegen bestraffende maatregelen door het management. De juridische positie van de FG is vergelijkbaar met de positie van leden van een ondernemingsraad.

Zie ook de richtlijnen van de Europese Autoriteiten Persoonsgegevens over de FG.

Wilt u nog meer weten of overleggen? Neem dan voor vrijblijvend advies contact op met DIGITALconfidence. Van belang is dat u een weloverwogen keuze gaat maken zodat u tijdig de juiste interne of externe FG voor uw organisatie hebt aangesteld.