Iedereen is verantwoordelijk
Een belangrijke rol binnen de AVG is weggelegd voor de privacy officer of ‘Functionaris voor Gegevensbescherming’ (FG). Maar wat moet deze eigenlijk doen en wanneer is deze verplicht? En met het aanstellen van een FG bent u er niet, want wie is er bestuurlijk eindverantwoordelijk voor privacy? En wat is de rol van stafmanagers (bijvoorbeeld op het gebied van HR, ICT en inkoop) en van de lijnmanagers? Het is belangrijk om vast te stellen welke plaats een FG inneemt binnen de structuur en het beleid van uw organisatie en wat de logische taken, rollen en verantwoordelijkheden zijn voor medewerkers en managers.
Dit klinkt alsof de AVG alleen zou gelden voor grotere bedrijven. Maar dat is niet zo. Hij geldt voor iedereen op dezelfde manier. Dat maakt de invoering voor kleinere en middelgrote ondernemingen extra lastig. FlexKnowledge en Verdonck Klooster & Associates helpen u daarbij.
In een aantal situaties verplicht de AVG dat u een FG aanstelt. Maar, ook als dit wettelijk niet verplicht is, kan het heel verstandig zijn iemand aan te wijzen die verantwoordelijkheid draagt voor het naleven van de privacyregels. Het is ook mogelijk om een externe privacy officer of FG te hebben. Die rol kunnen wij ook voor u vervullen. Kijk maar wat passend is voor uw organisatie.
Wel of geen FG?
Het is belangrijk om te beoordelen of er binnen uw organisatie een dergelijke functionaris moet worden aangesteld. Voor uitleners zal al snel sprake zijn van verwerking van bijzondere persoonsgegevens op grote schaal. Wat precies bedoeld met ‘grootschalig’ vertelt de AVG niet. Het is ook lastig om hier een getalscriterium aan te hangen. Er is dus een groot grijs gebied waarbinnen u zelf moet bepalen of u een FG aanstelt. Het wordt langzamerhand wel steeds duidelijker, dat als er twijfel is of u wel of geen privacy officer aan moet stellen, u goed moet kunnen motiveren waarom u het níet doet. Een soort omgekeerde bewijslast dus…
Als u niet verplicht bent er een aan te stellen kan het nog steeds verstandig zijn om een functionaris aan te wijzen. Dit zal dan vaak gepaard gaan met het vaststellen van de rollen en verantwoordelijkheden van de bij privacy betrokken functionarissen zoals de security officer, juridische zaken, ICT e.d.
Beleg de verantwoordelijkheden
Hiervoor kan gebruik gemaakt worden van het zogenaamde RACI-model. Dit is een matrix die wordt gehanteerd om de rollen en verantwoordelijkheden van de personen weer te geven. In de matrix staan dan op de horizontale as de namen van de personen of de functionele rollen, en op de verticale as de op te leveren resultaten, betrokken processen of activiteiten. Zo is voor iedereen duidelijk hoe de verantwoordelijkheden rondom privacy zijn belegd.
In het volgende artikel wordt ingegaan op de verwerkingen en grondslagen daarvoor in de wet. Heeft u in beeld in welke systemen, welke gegevens zitten? En: mag u deze gegevens eigenlijk wel hebben…?