Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

Sinds 25 mei 2018 is de nieuwe Europese privacywet van toepassing: de Algemene Verordening Gegevensbescherming (AVG). De AVG geeft organisaties nieuwe uitdagingen. Eén ervan is dat bepaalde organisaties verplicht een Functionaris voor de Gegevensbescherming (FG) moeten hebben. De groep privacydeskundigen en FG’s is echter klein en vaak niet direct beschikbaar. Een oplossing om wel toezicht te houden in je organisatie en daarmee te voldoen aan de AVG is het inzetten van een FG op afstand. Maar is deze FG wel zichtbaar in de organisatie? Wat zijn de voor- en nadelen?

Wij vroegen het aan Jaap Roest, privacyconsultant bij EIFFEL. Jaap is al voor diverse organisaties werkzaam (geweest) als FG in de organisatie en op afstand, zoals bij de gemeente Amersfoort, Stichting Tuchtrecht Banken en ABN AMRO Verzekeringen.

Wat is jouw rol als FG?

"Als FG ben ik een toezichthouder en heb ik de taak om te controleren of en hoe een organisatie voldoet aan de privacyregels. Er is een aantal verplichtingen die organisaties moeten doorvoeren. Dat controleer ik altijd eerst. Hiervoor gebruik ik het 10-stappenplan van de Autoriteit Persoonsgegevens."

"Als privacy in de organisatie is aangevlogen als project dan vraag ik het plan van aanpak op en beoordeel of de belangrijkste punten zijn opgenomen, zoals een privacystatement, privacybeleid, register van verwerkingen, PIA’s en rechten van betrokkenen. Als privacy nog niet voldoende is geïmplementeerd, dan bespreek ik met de organisatie hoe ze die implementatie kunnen oppakken. Het liefst werk ik met een projectleider, privacy officer of privacyjurist die de implementatie van privacy op zich neemt. Als toezichthouder kun je wel adviseren over privacy, maar de uitvoering moet de organisatie zelf doen."

"Als toezichthouder richt ik mij vooral op de processen met hoge risico en de persoonsgegevens die daarin worden verwerkt. Persoonsgegevens zijn niet altijd nodig voor ieder proces. Zodra ik bijvoorbeeld BSN-nummers zie staan, ben ik alert. Deze worden vaak gebruikt om personen te identificeren, terwijl ze voor het eigenlijke proces niet gebruikt hoeven worden. Als ik het vermoeden heb dat het gebruik van bepaalde persoonsgegevens in een proces niet klopt (bovenmatig is), ga ik hierover in gesprek met de business en laat ik ze eventueel een PIA uitvoeren op het proces. Uit de PIA kan blijken dat een proces niet goed is beschreven of dat men zich in de uitvoering niet houdt aan de schriftelijke afspraken. Mijn rol hierin is adviserend."

Op afstand en toch zichtbaar moeten zijn als FG, hoe doe je dit?

"Op afstand zichtbaar zijn is natuurlijk lastig. Vanaf het begin moet je investeren in je zichtbaarheid. Je collega’s moeten jou actief kennen als FG, zodat je later op afstand nog steeds in beeld bent. Wees vooral zichtbaar bij de uitvoerende afdelingen van de organisatie en de afdelingen die veel met data doen. De uitvoerende afdelingen communiceren veel met de klanten van de organisatie, met een verhoogd risico op fouten in de communicatie. De afdelingen die veel met data doen, willen vaak verschillende datasets met elkaar vermengen. Dit mag echter niet altijd. Investeer daarom eerst in je zichtbaarheid bij die afdelingen. Door gerichte maar ook pragmatische adviezen te geven hoe datadeling wel mogelijk is, krijg je het vertrouwen van de organisatie en komen de medewerkers ook naar jou toe. Uiteindelijk wil je niet de organisatie stilleggen, maar medewerkers bewust en veilig met persoonsgegevens om laten gaan. Verder is het voor het werken op afstand een grote pre als de organisatie de faciliteiten biedt om goed en efficiënt op afstand te kunnen werken, bijvoorbeeld door het gebruik van chatopties, telefoonopties en inloggen op afstand."

Hoe houd je toezicht op naleving van de AVG binnen een organisatie?

"Het houden van toezicht in de organisatie is gestoeld op het 10-stappenplan van de Autoriteit Persoonsgegevens, eigen waarnemingen en gebeurtenissen in de organisatie. De organisatie moet een aantal zaken verplicht hebben geregeld en die verplichtingen dragen ook bij in het rechtmatig handelen van de organisatie en voor mezelf het toezicht houden."

"Ik vind persoonlijk dat het register van verwerkingen als basis en leidraad dient voor hun werken en handelen van de organisatie. Een goed ingevuld register zorgt voor inzicht in de processen waarin persoonsgegevens worden verwerkt, met welke externe partijen deze eventueel worden gedeeld, welke persoonsgegevens worden beveiligd dan wel welke mitigerende maatregelen zijn genomen, of er sprake is van verwerkers, et cetera.  Als er een datalek is geweest, dan controleer ik bijvoorbeeld of het betreffende proces in het register is opgenomen en klopt."

Wat is de grootste uitdaging van een FG (op afstand)?

"Organisaties zijn in beweging en deze beweging kun je niet zo maar stoppen. Privacy moet door de medewerkers niet als belemmerend worden ervaren. De uitdaging is om  oplossings- en risicogericht te werk te gaan, zodat medewerkers zich niet gegijzeld voelen door privacyregels. De kunst is om het belang van privacy binnen de organisatie zo over te brengen dat de medewerkers privacy als onderdeel van de manier van werken maken. Daarom zeg ik altijd: privacy is een functie, niet iets dat je er zo even bij doet."

Wat zijn de voor- en nadelen van een FG op afstand voor een organisatie?

Voordelen
"Met name bij kleine organisaties is de FG geen fulltime functie. Hierdoor is het lastig om gekwalificeerd personeel aan te trekken. Met een FG op afstand beschik je over iemand met kennis, ervaring en een netwerk die in beperkte tijd pragmatische oplossingen kan bieden. De FG op afstand heeft ook geen werkplek nodig in de organisatie."

Nadelen
"Een FG op afstand kan zich de business niet altijd eigen maken. Dit is echter ook niet noodzakelijk, omdat de medewerkers zelf de processen inzichtelijk moeten maken. Hiervoor kunnen ze bijvoorbeeld de hulp inroepen van een privacy officer of privacyjurist. Als FG richt je je vooral op de privacykant van de processen en op de bescherming en beveiliging van persoonsgegevens door de organisatie als geheel."

"Een ander nadeel kan zich voordoen bij een groot issue met media-aandacht. Als er sprake is van een incident met een hoge (media-)impact, moet je je als FG op afstand focussen op dat incident en moet je schuiven met taken bij andere opdrachtgevers."

Welk advies geef je aan je collega's/andere klanten om invulling te geven aan de rol van de FG?​

"Blijf jezelf, wees benaderbaar voor collega’s en ga met elkaar in gesprek! Normen en waarden over de bescherming van persoonsgegevens moeten altijd onderwerp van gesprek blijven. Medewerkers moeten bewust zijn dat de persoonsgegevens waarmee ze werken toebehoren aan een persoon, die door onjuiste behandeling in een kwetsbare positie kan belanden. Dat kun je op papier nooit duidelijk genoeg maken. Daarnaast is respect voor de organisatie belangrijk en denk bij privacyvraagstukken oplossings- en risicogericht: de AVG is voor meerdere uitleggen vatbaar. Gevraagd wordt om aantoonbaar te voldoen aan de AVG. Dus welke oplossing je ook bedenkt: leg uit wat je doet."

Over de auteur

"Snowboarden vind ik één van de mooiste dingen om te doen. Relaxt en vertrouwend op mijn vaardigheden een berg afdalen en daarbij genieten van de omgeving. In mijn werk doe ik hetzelfde. Ik gebruik mijn kennis en ervaring om tot een prestatie te komen en ben me bewust van de omgeving waarin ik werk. In samenwerking of alleen, maar altijd in overleg met mijn collega’s."

Neem contact op Indra van der Wolf Legal consultant
06 4567 47 22
Gerelateerde artikelen
Alle artikelen