- AVG Scan
- Beleid
- FG
- Audit
- Training
Privacy quickscan
Door gesprekken en/of interviews met directie en medewerkers, en het doornemen van de algemene bedrijfsinformatie wordt inzicht verkregen in de organisatie alsook de bewustwording ten aanzien van het onderwerp privacy en het werken met (bijzondere) persoonsgegevens. De verdere relevante wet- en regelgeving wordt benoemd en de impact van deze wetten op de verwerking van persoonsgegevens. Een inventarisatie wordt gedaan van de toegepaste (software) applicaties, dossiers, de wijze van (digitale) verwerking van gegevens alsook van de data opslag. Mogelijk zijn er reeds technische en organisatorische maatregelen getroffen op privacy gebied; welke zijn dit en welke aanvullende maatregelen zijn nodig? Kan aan de rechten van betrokkenen worden voldaan? Zijn er verwerkers van persoonsdata voor uw onderneming? Is er een verwerkingsregister en zo ja, voldoet dat aan de vereisten? Is er een Functionaris Gegevensbescherming en is dat nodig? Zo nodig worden relevante beleidsstukken opgevraagd. Kortom: een algehele inventarisatie waaruit een goed beeld van de organisatie is te verkrijgen aangaande het verkrijgen, het verwerken, de opslag van data alsook welke partijen bij de verwerkingen betrokken zijn of data (rechtstreeks) verkrijgen.
Beleid
In deze fase worden de bouwstenen (normenkader) voor het (algemeen) privacybeleid ontwikkeld, het beleid opgesteld, en de daaruit voortkomende specifieke protocollen en gedragslijnen samengesteld. Het Register Verwerkingen wordt opgesteld (naar een te kiezen format dat voldoet aan de AVG), alsook het protocol met register datalekken. Verder is hierbij te denken aan een praktische invulling om te kunnen voldoen aan de rechten van betrokkenen. De privacy missie en – verklaring met bijbehorende gedragsregels worden in deze fase opgesteld en gecommuniceerd. In deze fase staat aldus de praktische invulling van de AVG centraal.
Functionaris Gegevensbescherming
Als privacy professional (CTPP) kan ik Functionaris Gegevensbescherming (FG) van uw organisatie zijn. Voornaamste taken van de FG zijn het houden van toezicht op de verwerking van persoonsgegevens bij uw organisatie (voldoet uw bedrijf aan de wet en eventuele andere toepasselijke regelgeving) en het adviseren over veranderingen of verbeteringen aan de hand van constateringen.
De FG traint medewerkers en is makkelijk bereikbaar voor vragen over privacy en persoonsgegevens. Hij is ook het eerste aanspreekpunt voor de mensen van wie de persoonsgegevens door uw bedrijf worden verwerkt en de contactpersoon voor de toezichthouder, de Autoriteit Persoonsgegevens. De FG staat met naam en contactgegevens in de privacyverklaring van uw bedrijf.
Een FG kan zijn taken alleen doen in volstrekte onafhankelijkheid. Rapportage vindt plaats aan de hoogste directie.
De FG past in zijn werk ook het vierfasen-model toe. Het opstellen van het beleid, protocollen e.d. en het implementeren van het resultaat hiervan is vooral het werk van de privacy officer. Ik kan beide rollen vervullen.
Audit
In de controller fase wordt aan het normenkader getoetst of de uitvoering van het beleid het beoogde resultaat heeft opgeleverd. Is de uitvoering volledig gegaan? Zijn de beleidsonderdelen juist uitgevoerd? Is het tijdig gebeurd? Etc. Vanuit deze fase worden aanbevelingen gedaan voor verbetering en/of verdere ontwikkeling.
Training
Het ontbreken van privacy awareness in een instelling is een risico. Het kan leiden tot imagoschade en datalekken. Dit is de reden dat het trainen van medewerkers een belangrijke stap is in het implementatieproces van privacy. Het maken van fouten is menselijk echter indien nagelaten wordt medewerkers bewust te maken van de privacy risico’s die er zijn en de medewerkers niet getraind zijn dergelijke risico’s te kunnen herkennen, dan kan de instelling niet aantonen er alles aan gedaan te hebben de onjuiste verwerking van persoonsgegevens te voorkomen.
Awareness begint bij een basiskennis ten aanzien van privacy gerelateerde onderwerpen in het algemeen. Het bewerkstelligen van awareness wordt bereikt door effectieve training van de medewerkers.
De training is gericht op het informeren over privacy (regels) en het bewust worden van effecten van het eigen gedrag en houding hierbij. Het gaat om basisbekwaamheid in privacy; weet wat er met jouw en andermans persoonsgegevens gebeurt en weet wat de risico’s en gevolgen van je handelen (kunnen) zijn. Het doel van de training is het realiseren van gedragsbewustzijn en -verandering.
Privacy is een abstract en breed begrip. In de training wordt ‘het ongrijpbare’ omgezet naar een levendig onderwerp. Het beoogde effect is dat deelnemers in hun dagelijks handelen afwegingen maken bij verwerkingen van (eigen) persoonsgegevens. Reflectie is daarbij belangrijk; de vraag ‘wat wil jij dat er met jouw gegevens gebeurt’ wordt voortdurend gesteld.
Voor trainingen werk ik samen met PrivacyLab. PrivacyLab is de specialist in het creëren van privacybewustzijn bij medewerkers. Martine van de Merwe heeft het handboek “Zorg voor Privacy” geschreven. Het handboek is gericht op de zorgsector maar de beschreven methodiek is voor meer sectoren relevant. Nadere informatie over trainingen en het boek zijn te vinden op PrivacyLabnederland.nl en PrivacyLabnederland.nl/boek