Beleidsmaker: iedereen op dezelfde AVG-koers

Beleidsmaker: iedereen op dezelfde AVG-koers

Alle medewerkers in uw organisatie dezelfde kant op krijgen waar het om de AVG gaat, is voor elke specialist in gegevensbescherming een enorme uitdaging in change management. Op de eerste plaats vereist het een ondubbelzinnig mandaat van de hoogste bedrijfsleiding, dat bovendien duidelijk moet worden gecommuniceerd en dat ook moet worden geaccepteerd door iedereen die te maken heeft met de verwerking van persoonsgegevens.

Er is maar één manier waarop zo’n mandaat waarde kan hebben. Het moet onderdeel zijn van een compleet AVG-beleid met interne focus. Anders werkt het niet en wij spreken uit ervaring. De afgelopen vier jaar hebben we meer dan genoeg gevallen meegemaakt van een mandaat dat ondernemingsbreed in twijfel wordt getrokken vanaf het moment dat de specialist in gegevensbescherming het op zak denkt te hebben. Dan is dat dus een mandaat zonder inhoud. Dat is ook precies de reden waarom wij een speciale, extra rol opnemen in het ensemble van verantwoordelijkheid voor AVG-conformering, de rol van Beleidsmaker. De persoon wiens taak het is om ervoor te zorgen dat een intern gericht AVG-beleid van de grond komt en realiteit wordt.

Waar gaat het om bij zo’n intern AVG-beleid?
In essentie gaat het om training, om bewustwording, om inventarisering van potentiële AVG-risico’s, en om het opstellen van een eerste set ‘richtlijnen’ die de koers bepalen in het traject dat de organisatie gaat doorlopen bij implementatie van de AVG. Opnieuw hebben we daarbij ons best gedaan om te leren van eerdere ervaringen in het bedrijfsleven. Daarom stellen wij een aantal specifieke eisen aan zo’n beleid. Het moet minimaal een ‘privacymissie’ definiëren, het moet ‘privacygedragsregels’ voorschrijven en het moet een voorlopige ‘AVG-implementatieplanning’ bevatten.

1. Privacymissie
De privacymissie, op basis van de zes principes uit artikel 5 van de AVG, is de eerste bouwsteen van een intern privacybeleid. Zoals dat voor missies in het algemeen geldt, moet ook de formulering van deze missie het resultaat zijn van een proces waarbij de centrale, zo niet alle belanghebbenden betrokken zijn geweest. Want het is niet alleen de privacymissie zelf waar het om gaat. Minstens zo essentieel is dat alle belanghebbenden deelhebben in de totstandkoming daarvan. Dat is namelijk de eerste stap op weg naar implementatie van een (top-down) AVG-training, een bewustzijnsverhogend programma in de zin van artikel 39, lid 1 sub b van de AVG.
Is iedereen het eens over de inhoud van die privacymissie, dan dient die vervolgens als het ‘kompas’ waar de organisatie op vaart bij uitdagingen op het gebied van bescherming van persoonsgegevens.

2. Privacygedragsregels
De privacygedragsregels zijn bedoeld voor alle medewerkers in de organisatie die direct of indirect betrokken zijn bij de verwerking van persoonsgegevens. Alle principes van gegevensbescherming die in de AVG worden genoemd en die zijn afgeleid van de OECD Fair Information Principles, dienen in deze regels tot uiting te komen. Net als bij de privacymissie moet ook de formulering van gedragsregels het resultaat zijn van een proces waarbij de centrale, zo niet alle belanghebbenden betrokken zijn geweest. Hun actieve deelname aan dat proces is stap twee op weg naar implementatie van een (top-down) AVG-training, een bewustzijnsverhogend programma in de zin van artikel 39, lid1 sub b van de AVG.
Is iedereen het eens over de inhoud van die gedragsregels, dan dienen deze vervolgens als richtlijnen waar de organisatie zich aan oriënteert bij uitdagingen op het gebied van bescherming van persoonsgegevens, waarbij een balans moet worden gevonden tussen bedrijfsbelang en de belangen van de personen van wie gegevens worden verwerkt.

3. AVG-implementatieplanning
Het laatste onderdeel van het interne privacybeleid is de voorlopige ‘AVG-implementatieplanning’, het uiteindelijke resultaat van een Privacy Quickscan enquête. In deze enquête wordt de deelnemers gevraagd te beoordelen in hoeverre voortgang is geboekt met uitvoering van de 50+ verplichte privacy-activiteiten die de AVG voorschrijft. Dat geheel van activiteiten is dan de derde stap naar implementatie van het eerder genoemde (top-down) GDPR-trainings- & bewustwordingsprogramma, zoals genoemd in artikel 39, lid 1 sub b van de AVG.
Is iedereen het eens over dat voorlopige plan, dan dient die eerste ‘AVG-implementatieplanning’ als basis voor bepaling van prioriteiten in uitvoering van de 50+ verplichte privacy-activiteiten, in de vorm van een privacy-activiteitenplanning waarin de technische en organisatorische maatregelen worden opgenomen die nodig zijn om zeker te stellen, en te kunnen aantonen, dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de AVG (artikel 24).

In de volgende aflevering van deze blogserie bespreken we in nader detail hoe de privacy-activiteiten worden toegewezen aan leden van het privacyteam en hoe dat uiteindelijk leidt tot een exacte privacy-activiteitenplanning. De volgende keer gaan we, met andere woorden, in op de rol van de ‘Planner’.

Het redactieteam van The Privacy Factory

Sluit Menu
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.