Print:

Zo gaan FG’s aan de slag met de AVG

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Als interne toezichthouder met bovengemiddelde kennis van dataprotectie speelt de Functionaris voor de Gegevensbescherming (FG) een sleutelrol in de implementatie en naleving van de Algemene verordening gegevensbescherming (AVG). Hoe houden FG’s zich bezig met dataprotectie en wat kunnen andere privacyprofessionals daarvan leren?

FG in de publieke sector | IIR

 

Met de komst van de AVG staat het werk van de Functionaris voor de Gegevensbescherming (FG) meer dan ooit in de belangstelling. Een toenemend aantal organisaties is verplicht om de interne toezichthouder aan te stellen en de Autoriteit Persoonsgegevens (AP) voert hierop actief controles uit. Als interne toezichthouder vervult de FG namelijk een belangrijke rol in de naleving van de privacywetgeving, aldus de AP.

Tijdens trainingen, opleidingen en congressen van IIR delen FG’s van toonaangevende bedrijven en instellingen hun visie, ervaringen en tips. Drie inzichten waarmee andere FG’s en privacyprofessionals hun voordeel kunnen doen.

1. Maak het praktisch

Het is soms best lastig om een taai onderwerp als de AVG bij collega’s tussen oren te krijgen, zegt Dhiren Gangaram Panday, FG bij publieke omroep NTR. “Mensen kunnen het gevoel krijgen dat ze zich met allerlei extra regels moeten gaan bezighouden. Daarom maak ik het zo makkelijk en praktisch mogelijk. Ik geef onder meer presentaties voor de redacties en leidinggevenden waarin ik de basisbeginselen uitleg en heel praktisch aangeef wat er moet gebeuren bij bijvoorbeeld een vermoeden van een datalek. Er komen ook securitytips aan bod, want IT-beveiliging is onlosmakelijk met dataprotectie verbonden.”

De praktische aanpak van Panday betekent ook dat er ruimte is voor humor. “Ik probeer zo veel mogelijk humor in te brengen als het over privacy gaat. Anders word je oersaai. Bovendien blijven de regels dan beter hangen.” Zo voerde de NTR het krokettenprotocol in. Als Panday merkt dat een collega die even van zijn of haar bureau weg is, de PC niet heeft vergrendeld, stuurt hij vanaf dat e-mailaccount een bericht aan alle collega’s van die afdeling. Met de boodschap: ik neem morgen kroketten mee. Vervolgens vergrendelt hij natuurlijk de pc van de collega.

2. Kies voor een integrale benadering

Het toezicht op de naleving van de AVG is een belangrijke taak van de FG. Daartoe geeft de FG informatie en advies aan collega’s, en beoordeelt of verwerkingen aan de wet voldoen. Een integrale aanpak is daarbij essentieel, zegt Silvia van Dijk, FG bij netbeheerder Stedin. “Het gaat om naleving van de wet, maar minstens zo belangrijk is dat je met elkaar kijkt waar risico’s zitten en hoe je daarmee omgaat. Dat heeft hele praktische consequenties, bijvoorbeeld voor privacy impact assessments (PIA’s). Alles staat of valt met een goede risicoanalyse: op basis daarvan kan je bepalen hoe uitvoerig een PIA wordt.”

Daarnaast past volgens Van Dijk bij de integrale benadering van dataprotectie ook aandacht voor ethische vraagstukken. “Hoe stellen we de mens centraal in ons privacybeleid? Wat betekenen het gebruik van big data en artificial intelligence? Dat zijn vragen waar privacy officers af en toe echt wel even stil bij mogen staan.”

Naast risicoanalyse en ethiek past bij een integrale benadering van het thema dataprotectie volgens Van Dijk ook interne, multidisciplinaire samenwerking. “Als FG heb je een voortrekkersrol, maar samenwerking met aanpalende disciplines is essentieel. Sterker nog, ik heb alle collega’s nodig. Iedereen bij Stedin doet namelijk wel íets met persoonsgegevens. Alleen zijn we ons daar niet altijd van bewust.”

3. Houd een lange adem

“Een compliancetraject voor de AVG doe je er niet zo maar eventjes bij. Je moet daar echt tijd en geld voor beschikbaar hebben”, aldus Erika Steenbrink, FG bij de gemeente Ede. De Gelderse gemeente startte al in 2015 met de voorbereidingen op de AVG. Privacy is niet nieuw en ook met de meldplicht datalekken hebben veel organisaties al ervaring. Maar de implementatie van een Europese kaderwet zoals de AVG is desondanks ingrijpend en tijdrovend, waarschuwt Steenbrink.

Als eerste stap naar de implementatie van de AVG voerde Steenbrink een nulmeting uit, die inzicht geeft in de gegevensverwerkingen binnen de organisatie en de acties die moeten worden ondernomen om te voldoen aan de wet. Vervolgens werd beleid opgesteld, inclusief een doorvertaling naar de afdelingen en clusters. “Daarna is het zaak om met z’n allen te gaan bouwen aan een betere bescherming van persoonsgegevens. De AVG is een mooie kapstok om de bescherming van die gegevens opnieuw neer te zetten.”

Drie lessen

De ervaringen van de FG’s van NTR, Stedin en Ede maken duidelijk dat organisaties gebaat zijn bij een integrale, multidisciplinaire en structurele aanpak van AVG-compliance. En ook als je niet van kroketten houdt, is humor daarbij een belangrijke manier om te (blijven) werken aan awareness.

Geïnspireerd om ook FG te worden? Volg de praktijkcursus FG in de publieke sector, of ga voor de beroepsopleiding Certified Data Protection Officer.

FG in de publieke sector | IIR

Verder lezen?

Laat uw e-mail achter en ontvang de brochure van de praktijkcursus FG in de publieke sector direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten