Pieter Kloetstra – Managing Consultant
Sinds 25 mei 2018 heeft elke ondernemer of organisatie ermee te maken: de nieuwe privacyregels oftewel de AVG. In een eerdere blog hebben we het gehad over het aanstellen van een specifieke medewerker voor de rol van de Functionaris Gegevensbescherming (FG). We zijn nu een aantal maanden verder. Wat zijn de ervaringen en inzichten?
De Functionaris Gegevensbescherming heeft een belangrijke rol. Deze zorgt onder meer voor het bewustzijn en aandacht voor het thema privacy en ziet erop toe dat de organisatie de regels ook echt naleeft. In grote lijnen heb je een FG nodig als je een overheidsorganisatie bent of veel en vooral gevoelige gegevens gebruikt. Hoe het precies zit hebben we op onze website uitgelegd.
We zijn inmiddels een aantal maanden verder en hebben ervaren dat de praktijk zijn uitdagingen kent. Niet alleen voor de FG maar ook voor de medewerkers. Voor de bestaande medewerkers die op 25 mei in dienst waren en de introductie hebben meegekregen is het al een hele uitdaging. Voor de medewerkers die daarna in dienst zijn gekomen is het nog veel uitdagender. We zien dat er tijdens het inwerkproces weinig aandacht is voor het onderwerp AVG en wat het betekent voor de betreffende functie. We adviseren onze klanten dan ook om weer een opfris moment te organiseren voor medewerkers. En daarnaast om privacy een vast onderdeel te maken van het on-boarding programma.
Naast uitvoerige kennis over de AVG, is een FG ook verantwoordelijk voor het actueel houden van de AVG-regelgeving binnen de organisatie. Daarvoor is het zaak om werknemers te begeleiden en op te leiden. Zodat ze weten hoe zij volgens de AVG-regels moeten werken. Door dit bewustzijn te vergroten, creëer je betrokkenheid en spreek je mensen aan op hun verantwoordelijkheid. Neem bijvoorbeeld een datalek. Een verkeerd geadresseerde e-mail is een van de meest voorkomende lekken. Maar vergeet niet dat een papieren klantenlijst of dossier bij het oud paper evengoed een datalek kan vormen. Medewerkers zijn zich vaak niet eens bewust dat ze een datalek veroorzaakt hebben. Het is dus belangrijk met alle medewerkers regelmatig te bespreken in welke situaties er sprake is van een datalek. En daarna wat hij of zij moet doen om het op te lossen en te melden en vooral ook hoe men het in de toekomst kan voorkomen.
Heb ik de juiste persoon voor me?Kennis en bewustzijn komt ook de orde wanneer we spreken over de rechten die een betrokkene heeft. Denk bijvoorbeeld aan het recht op inzage, waarbij een klant of patiënt alle persoonsgegevens kan opvragen. Dit recht moet in principe altijd verleend worden. Maar de medewerkers moeten daarbij wel alert zijn. Bijvoorbeeld dat er geen persoonsgegevens van anderen worden verstuurd. Ook moet de medewerker er zeker van zijn en dus controleren dat de aanvrager is wie hij beweert te zijn.
Om AVG-compliant te werken moeten de taken en verantwoordelijkheden voor alle medewerkers helder zijn. De FG is hierin de ‘kartrekker’. Daarnaast ligt er een controlerende rol. Gaat alles nog zoals ingericht bij de implementatie? Om dat en eventuele nieuwe risico’s in kaart te brengen, is het belangrijk dat de FG periodiek een DPIA (Data Protection Impact Assessment) laat uitvoeren. Zo kan hij toetsen of de genomen maatregelen nog afdoende zijn. Daarbij doet hij ook de check of er nieuwe processen bij zijn gekomen waar de AVG betrekking op heeft. De organisatie, haar klanten en omgeving zijn immers altijd in beweging. De AVG vraagt dus om onderhoud en aanpassing op de wijzigingen in en buiten de organisatie.
De rol van een FG is geen eenvoudige. De NOS schreef er een artikel over. Er is veel kennis van de materie nodig, het kost tijd en niet in de laatste plaats vraagt het om een onafhankelijke opstelling. Een FG moet stevige standpunten durven innemen als de privacy in het geding is. Zeker wanneer een organisatie veel gevoelige gegevens op een complexe manier verwerkt. In die gevallen kan het raadzaam zijn om de deskundigheid van de FG naar een hoog niveau te tillen. Bijvoorbeeld door de FG op te leiden tot CDPO (Certified Data Protection Officer) of tot CIPP/E (Certified Information Privacy Professional Europe). De Functionaris Gegevensbescherming is daarmee dus een belangrijke rol.
Er is zelfs een Genootschap voor FG’s. Een groep vakgenoten die regelmatig kennis en ervaringen uitwisselt. Gezien de ontwikkelingen en groei van het vakgebied is het als FG de moeite waard om hen te volgen.
Soms worstelen organisaties met het vinden van een geschikte FG. Ze vinden het lastig om in de organisatie iemand te vinden die affiniteit, de benodigde deskundigheid én de juiste persoonlijkheid heeft. Doorgaans is het ook geen fulltime job. In zo’n situatie kan de organisatie ervoor kiezen om de functie uit te besteden. Zo weet u zeker dat u aan alle wettelijke eisen en regelgeving voldoet. Op onze website leest u meer over het inhuren van een FG. Via onze dienst FG-as-a-Service.
Kortom, de rol van een FG is een belangrijke. Een die in beweging is. We houden u periodiek op de hoogte van de ontwikkelingen. Meldt u aan voor onze nieuwsbrief. Dan valt het meest actuele nieuws vanzelf in uw mailbox.
Blog geschreven door Pieter Kloetstra, Managing Consultant
In de complexe wereld van informatiebeveiliging in de gezondheidszorg staat één uitdaging centraal: het vinden van de juiste balans tussen veilig...
Computerweg 22
3542 DR Utrecht
KvK: 30277648
BTW: NL 8217.37.612.B01
Privacy statement - Disclaimer - © 2024 BMGRIP