Planner #1: artikel 24, lid 1 van de AVG: PDCA marsorders voor de verwerkingsverantwoordelijke

Planner #1: artikel 24, lid 1 van de AVG: PDCA marsorders voor de verwerkingsverantwoordelijke

Het is de taak van de verwerkingsverantwoordelijke om passende maatregelen te implementeren (Plan-Do), te controleren (-Check) en getroffen maatregelen, waar nodig, aan te passen (-Act).

In blog twee en drie van deze serie hebben we gekeken naar de rollen van Inspecteur en Beleidsmaker. De eerste opdracht van de Inspecteur had vooral te maken met verkenning van de organisatie van de verwerkingsverantwoordelijke (zoals gedefinieerd in artikel 4, lid 7 van de AVG), zich vertrouwd maken met processen en personeelsstructuur en een begin maken met het proces van identificatie van verwerkingen. De taak van de Beleidsmaker was het afbakenen van verantwoordelijkheden onder de AVG. De Beleidsmaker ziet erop toe dat, conform artikel 5 van de AVG, een privacymissie wordt geformuleerd, dat een set van op de Fair Information Principles gebaseerde gedragsregels wordt opgesteld en dat een voorlopige AVG-planning wordt gemaakt op basis van artikel 24, lid 1 van de AVG. 

In deze blog komt een derde rol aan de orde, die van de Planner, wiens taak het is om een privacyteam samen te stellen, uitvoering van de onder de AVG verplichte privacyactiviteiten toe te wijzen aan afzonderlijke leden van dat privacyteam en de informatie te verschaffen die de teamleden nodig hebben om de aan hen toegewezen activiteiten tot een goed einde te brengen en aan te tonen dat de betreffende activiteiten daadwerkelijk en correct (conform de voorschriften van de AVG) zijn uitgevoerd.

Het privacyteam 

Selectie van een privacyteam is een van de belangrijkste taken van de AVG Compliance Officer. Het team dient te bestaan uit:

  • een lid van het bedrijfsmanagement, verantwoordelijk voor de AVG-complianceportefeuille en als zodanig de CEO/voorzitter van de raad van bestuur vertegenwoordigend; 
  • de AVG Compliance Officer, een medewerker of consultant verantwoordelijk voor implementatie van de AVG in de organisatie van de verwerkingsverantwoordelijke;
  • de Data Protection Officer, een medewerker of consultant, optioneel of verplicht aan te stellen conform artikel 37 van de AVG;
  • de eigenaars van privacyactiviteiten, medewerkers die zijn geselecteerd om specifieke privacyactiviteiten uit te voeren en, uiteindelijk, de bewijzen voor uitvoering van die activiteiten aan te leveren.

In tegenstelling tot de incidentele of eenmalige meetings tijdens de Inspecteur- en Beleidsmakerfasen is het uitnodigen van de privacyteamleden een eerste stap waarbij de AVG werkelijke fte-capaciteit vraagt, en wel op basis van continuïteit. Hetgeen betekent dat een zekere mate van weerstand binnen de organisatie, met name in kringen van het middenmanagement, vaak onvermijdelijk is. De tweede instantie waarbij daarmee rekening moet worden gehouden, is het moment waarop de leden van het privacyteam worden geconfronteerd met de taken die ze op zich moeten nemen en zich realiseren hoeveel werk ze daarvoor moeten gaan verzetten. Hetzelfde geldt voor het moment waarop ze daadwerkelijk de bewijzen moeten leveren voor complete uitvoering van de aan hen toegewezen activiteiten.

Planning van privacyactiviteiten

Is het privacyteam eenmaal operationeel, dan is de volgende stap het ‘toewijzen’ van AVG-privacyactiviteiten. De AVG omvat in totaal meer dan 50 taken die verplicht moeten worden uitgevoerd. Voor elk van die privacyactiviteiten moeten de volgende beslissingen worden genomen: 

  • welk teamlid is het meest geschikt om een bepaalde taak uit te voeren; 
  • met welke regelmaat moet de uit te voeren taak worden herhaald; 
  • wanneer moet uitvoering van de taak beginnen; 
  • welke verwerkingsactiviteiten spelen een rol; en 
  • wat voor bewijzen moeten worden geleverd voor uitvoering van de taak. 

Het eindresultaat is een gedetailleerde planning van privacyactiviteiten. Uitvoering van deze planning is, ofschoon dat binnen de organisatie misschien niet meteen duidelijk zal zijn, een forse uitdaging in termen van tijdige uitvoering van de privacyactiviteiten, correcte documentatie, per privacyactiviteit, van de aan te leveren en aangeleverde bewijzen en, met name, het aanleggen en onderhouden van de verplichte registers. Een 24/7 AVG-accountability uitdaging waar een oplossing in de vorm van een simpele spreadsheet al snel niet meer toereikend zal zijn, ook als verwerking van persoonsgegevens niet eens tot de kernactiviteiten van de verwerkingsverantwoordelijke behoort. Het geldt in gelijke mate voor alle organisaties die zich aan de geest van de AVG wensen te houden, met andere woorden, voor alle organisaties die ernaar streven elk moment van elke dag te kunnen aantonen dat zij handelen in overeenstemming met de AVG waar het gaat om correcte verwerking van de persoonsgegevens die ze in bezit hebben.

Sluit Menu
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.