Als functionaris gegevensbescherming bekleed je een ondankbare positie in je organisatie. Collega’s ervaren gegevensbescherming als lastig en belemmerend, terwijl bestuurders het beschouwen als een eenmalig ‘moetje’ en liever investeren in de groei van de onderneming. Aan jou de schone taak om het management te overtuigen van nut en noodzaak van privacy- en informatiebeveiliging en bovendien de rest van de organisatie mee te krijgen.
Een tool kan helpen om jouw positie te versterken, de kosten omlaag te brengen en aantoonbaar meer te bereiken.
De positie van de functionaris gegevensbescherming is verankerd in de AVG. Het management hoort erop toe te zien dat de FG wordt betrokken bij alle aangelegenheden die verband houden met gegevensbescherming én dat hij wordt voorzienvan de benodigde middelen om zijn taak te kunnen vervullen.
De FG rapporteert aan de ‘hoogste leidinggevende’, maar mag niet geïnstrueerd worden over de uitvoering van zijn taken. Hiërarchisch gezien is de plaats van de functionaris dan ook als onafhankelijk adviseur en toezichthouder náást het hoger management.
AVG-compliance is work in progress
In de praktijk hebben veel FG’s de grootst mogelijke moeite om de bescherming van persoonsgegevens bij bestuurders onder de aandacht te brengen. Ze worstelen dagelijks met de vraag hoe zij noodzakelijke beleidswijzigingen en beschermingsmaatregelen geagendeerd en gebudgetteerd krijgen. Het wenselijke doel is om over de gehele linie aantoonbaar in control te zijn, maar sinds de komst van de AVG bevinden veel organisaties zich nog altijd in een meer of minder gevorderd stadium van implementatie.
Dat betekent dat AVG-compliance op veel vlakken nog een ‘work-in-progress’ is en dat de FG zich als duizendpoot bezighoudt met velerlei verschillende ad hoc zaken die in een ideale wereld bij een privacyofficer of procesverantwoordelijke belegd is. Pas wanneer het privacybeleid zich in alle gelederen van de organisatie heeft gezet, kan de FG een passende afstand nemen en groeien in zijn rol als onafhankelijk toezichthouder. Tot het zover is, moet de organisatie – en met haar de FG – zich de nodige groeipijnen getroosten.
De uitdaging
Voor menig FG is het een uitdaging om verantwoordelijkheden rond gegevensbescherming te beleggen bij de mensen die verantwoordelijk zijn voor het betrokken proces of systeem. Zij zijn immers in the lead als het gaat om besluitvorming rond verandertrajecten en andere zaken die een mogelijke invloed hebben op de bescherming van persoonsgegevens. In veel gevallen vergt dit tijd en aandacht. Voor jouw collega’s is gegevensbescherming een nieuw kennisdomein en zij zullen daarom gerichte ondersteuning en uitleg nodig hebben om privacy als vanzelfsprekend in hun besluitvorming mee te nemen. Het is daarbij zaak om veranderingen stapsgewijs te introduceren om te voorkomen dat men overvoerd wordt en gedemotiveerd raakt.
Met een risicogebaseerde benadering geef je prioriteit aan de maatregelen die de grootste pijn wegnemen en het best aansluiten bij de dagelijkse praktijk. Zo kun je de inspanningen van collega’s beperken tot de zaken die het meest bijdragen aan gegevensbescherming. Dit vergt een gestructureerde aanpak en beschikbaarheid van de kennis die nodig is om een gefundeerde inschatting te kunnen maken van de privacyrisico’s in de organisatie.
Van risico’s naar doelstellingen
Een FG, die alleen reactief met maatregelen strooit om incidenten en datalekken te bestrijden, zal eindeloos bezig zijn met het blussen van brandjes. Om afstand te kunnen nemen van de operatie is het noodzakelijk om een doelgericht beleid uit te stippelen, dat de organisatie stapsgewijs naar een hoger volwassenheidsniveau tilt. Een hoger volwassenheidsniveau betekent daarbij een hogere mate van verankering van gegevensbescherming in de processen van de organisatie. Basis voor dit beleid is een plan van aanpak, waarin de doelstellingen rond gegevensbescherming op hoofdlijnen zijn bepaald en waarin de voorgenomen maatregelen zijn afgestemd op reële risico’s en echte praktijksituaties.
De doelstellingen dienen door het hoger management onderschreven te worden en daarom is het zaak om deze te presenteren op een manier, die voor de bestuurder begrijpelijk is en een verband legt tussen de langetermijnvisie en benodigde middelen. Het gepresenteerde (jaar)plan zal daarom gekoppeld zijn aan risico’s voor de organisatie, zodat het management in staat is om op grote lijnen nuances aan te brengen zonder daarvoor de maatregelen in detail te kennen.
Taakgestuurd werken
Het vertalen van doelstellingen naar concrete en behapbare taken brengt de onderneming daadwerkelijk naar een hoger volwassenheidsniveau. Dit is maatwerk: voor optimale werking zijn taken afgestemd op het kennis- en volwassenheidsniveau van de afdeling en de mensen die ze moeten uitvoeren. De beste methode is om deze taken dan ook in overleg met (vertegenwoordigers van) afdelingen uit te werken. Alleen zo krijgt de FG de mensen mee om verantwoordelijkheid te nemen voor gegevensbescherming binnen hun eigen processen of systemen, zodat hij kan ondersteunen vanuit zijn rol als intern toezichthouder.
Schaken op verschillende borden
Zoals uit voorgaande blijkt, moet je als FG op verschillende borden schaken om te komen tot een situatie waarin je jouw rol als adviserend toezichthouder optimaal vervult. Het juiste instrumentarium kan je helpen om de benodigde kennis bijeen te brengen, te structureren en te interpreteren. Met de juiste tooling word je ondersteund bij het identificeren van risico’s en het vertalen van doelstellingen in passende maatregelen en de bijbehorende taken.
Voor het inrichten van maatregelen is er overigens een ruim aanbod aan normen en sectorale toetsingskaders, die als leidraad en benchmark kunnen dienen. Met het oog op mogelijke certificering, nu of in de toekomst, is het raadzaam om bij deze best-practices aan te sluiten. Of in ieder geval te werken ‘in de geest van’. De inzichtelijke, realtime rapportages die een online werkomgeving levert, zijn cruciaal voor het overtuigen van het management van de urgentie van voorgenomen maatregelen. Tot slot dient het complex van maatregelen en taken, en de voortgang daarvan, bij te dragen aan de verantwoordingstructuur, die in- of extern getoetst kan worden.
Ondersteuning met het juiste instrumentarium helpt bij het gericht kennis en informatie aanbieden aan de verschillende belanghebbenden en hun rollen: what you see is what you need. Zo versterkt een goede GRC-tool jouw positie als FG (of CISO) en draagt deze bij aan het zalige gevoel van ‘in control’ zijn.
Geplaatst 18-06-20