Iedereen is ondertussen wel bekend met het bestaan van de Algemene Verordening Gegevensbescherming (AVG). Maar voor veel mensen is het onduidelijk wat nu de werkzaamheden zijn die verband houden met gegevensbescherming. Wat is zijn nu eigenlijk de taken van een privacyfunctionaris?
Het liefst zou ik het woord ‘privacy’ even willen loslaten en spreken over ‘gegevensbescherming’. Want daar draait het allemaal om: het beschermen van persoonsgegevens. Privacy is een van de dingen die daaruit voortvloeit. Die gegevensbescherming is niet vrijblijvend; het is een must om daar als organisatie in te voorzien. En dat brengt best veel werk met zich mee, zeker in wat complexere organisaties. Laten we eerst de werkzaamheden eens concreet maken.
Vier onderdelen
Het werk rondom de AVG is grofweg in vier onderdelen uit te splitsen: juridisch, educatief, technisch en overige zaken.
Juridisch
- Beleid, verklaring, protocollen, processen
- Rechtmatigheid, verantwoording
Educatief/trainingen
- Informatiesessies privacy/security (“awareness”)
- Informatie over wetgeving en praktische toepassing in de organisatie (boek, portal, vraagbaak, FAQ, eLearning, etc.)
- Advies/vraagbaak privacyvraagstukken
Technisch/veilig verwerken
- Technische (zoals MFA) en organisatorische maatregelen (afspraken)
- Privacy in systemen (ontwerp, settings, techniek)
- Uitvoeren van risicoanalyses, DPIA (impact assessment)
Overig
- Transparantie (taal, uitleg)
- Datalekteam
- Meerjarenplanning, roadmap, jaarplan
- Verwerkingsregister
- Verwerkersovereenkomsten
Overal raakvlakken
In zo’n grote organisatie als waar ik werk, gaat het vaak om complexe situaties. Gegevensbescherming (privacy) heeft raakvlakken met vrijwel alles wat er in een organisatie gebeurt. Het volgende plaatje verheldert hoe de privacyfunctionaris hier precies in is gepositioneerd:
De functietitels ‘Privacy Officer’ en ‘Functionaris voor de Gegevensbescherming’ (FG) komen het vaakst voor. In de ideale situatie is de privacyfunctionaris iemand die niet alleen juridische kennis heeft, hij/zij kan ook goed schrijven, heeft didactische vaardigheden, kennis van informatiebeveiliging en begrijpt hoe programma’s werken. In grotere organisaties is de functie daarom vaak in tweeën geknipt, waarbij bij de een de nadruk ligt op juridische kennis en bij de andere op expertise in de combinatie van de deelgebieden. Dat ziet er ongeveer zo uit:
- de Privacy Officer die zich bezighoudt met de ontwikkeling, implementatie, handhaving van het privacybeleid en procedures/processen rondom het veilig gebruik en de bescherming van persoonsgegevens inclusief risicoanalyses en voorstellen voor technische en organisatorische maatregelen (expertise vanuit deelgebieden juridisch, didactisch en IT).
- de FG die hier vanuit een onafhankelijke positie toezicht op houdt, adviseert en trainingen verzorgt (vaak vooral juridisch onderlegd).
In de praktijk betekent dit dat beiden in elkaars verlengde werken. Soms wordt er gedacht dat de FG leiding geeft aan de Privacy Officer, maar dat is juist niet het geval. Dat zou ook lastig zijn, want de FG moet onafhankelijk zijn toetsing kunnen doen en advies kunnen geven. Het is wel vaak zo dat de FG ook taken van de Privacy Officer uitvoert, zeker in kleinere organisaties.
Gegevensbescherming versus informatiebeveiliging
De privacyfunctionaris is er eigenlijk helemaal niet voor de organisatie, maar voor de natuurlijke persoon, de individu. In mijn geval: de werknemer, de student, relaties van de organisatie. En in die zin verschilt gegevensbescherming ook van informatiebeveiliging. Hugo Leisink en Frans Dondorp schreven daar een artikel over met een verhelderende tabel, waardoor de verschillen in een keer duidelijk worden:
Uit dit artikel wordt ook duidelijk waarom de privacyfunctionaris in de organisatie als extra drempel kan worden ervaren: hij is in dienst van de organisatie, maar komt op voor de rechten en bescherming van de individu. Bovendien is het resultaat van het werk wat vloeibaar: als het goed is, merk je geen verschil.
Toch biedt die gegevensbescherming betere waarborgen tegen datalekken, onveilige programma’s, phishing en ransomware. Als de waarborgen niet voldoende zijn, kan dat vervelend uitpakken voor iedereen, niet in de laatste plaats voor de organisatie.
