Planner: Geen adequate bestuursstructuur zonder betrokkenheid op directieniveau!

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter
management

In een van mijn vorige blogs heb ik het gehad over de rol van Inspecteur en hoe de juiste invulling van die rol mede afhankelijk is van bijkomende zaken, zoals de aanstelling van een AVG-projectleider of Privacy Officer, zoals wij die functie benoemen. Dat is welbeschouwd de eerste stap in de richting van een AVG-georiënteerde bestuursstructuur. In deze blog wil ik nader ingaan op de feitelijke implementatie van een dergelijke bestuursstructuur.

Onze ervaring leert dat de persoon die wordt aangesteld als AVG-projectleider vaak niet beschikt over de middelen, noch over het mandaat om die moeilijke taak naar behoren uit te voeren. In veel gevallen komt dat omdat het management van de organisatie niet beseft dat voldoen aan de AVG net zoiets is als voldoen aan fiscale verplichtingen, en dat de uitdaging op vergelijkbare manier moet worden aangegaan.
Daarom geloven wij ook dat er twee belangrijke beslissingen moeten worden genomen aan het begin van elk AVG-implementatietraject. Aanstelling van een lid van de Raad van Bestuur als verantwoordelijke voor de AVG-portefeuille en aanstelling van een Privacy Officer die over een helder mandaat van diezelfde Raad van Bestuur beschikt. Dat zijn de essentiële eerste stappen die moeten worden gezet om een organisatie voor te bereiden op succesvolle implementatie van de AVG. 

Plan-Do-Check-Act

Bovendien moeten die twee beslissingen worden gezien als eerste stappen in de totstandkoming van een organisatiebrede AVG-gerelateerde bestuursstructuur. En er zijn andere, net zo belangrijke stappen die daarna moeten worden gezet, waaronder de vorming van een privacyteam, zoals impliciet genoemd in art. 24, lid 1 jo. art. 39, lid 1, sub b van de AVG. Impliciet, omdat art. 39, lid 1, sub b alleen melding maakt van de verplichting “verantwoordelijkheden toe te wijzen”, terwijl art. 24, lid 1 stelt dat maatregelen genomen in het kader van conformering aan de AVG moeten worden “geëvalueerd en indien nodig geactualiseerd”. Om het in termen van de Privacy Factory methodologie te zeggen, het implementatieproces moet volgens een Plan-Do-Check-Act benadering verlopen.

Risicobeoordeling

De volgende stap is uitvoering van een beoordeling van bedrijfsrisico’s conform art. 24 AVG, “rekening houdend met … qua waarschijnlijkheid en ernst uiteenlopende risico’s …” om op die manier de mogelijke gevaren voor de rechten en vrijheden van natuurlijke personen in kaart te brengen en eventuele zwakke punten in de beveiliging van persoonsgegevens te inventariseren. De uitkomst van die evaluatie is dan een lijst van bedrijfsprocessen die op technisch dan wel organisatorisch vlak moeten worden aangepast of verbeterd om ervoor te zorgen dat de organisatie privacy-accountable wordt of blijft en, wat ook steeds belangrijker wordt, om de merkreputatie te beschermen en het vertrouwen van de klant in stand te houden.

Aanstelling van een Functionaris voor Gegevensbescherming

Als het privacyteam eenmaal is geïnstalleerd en de risico’s in beeld zijn gebracht, komt de vraag aan de orde of de organisatie, op basis van art. 37 AVG[1], wel of niet verplicht is een Functionaris voor Gegevensbescherming aan te stellen. Dit betreft een privacyactiviteit die moet worden toegewezen aan het lid van de Raad van Bestuur dat door de CEO of bestuursvoorzitter is belast met verantwoordelijkheid voor de AVG-portefeuille.

Rapportage

De volgende belangrijke kwestie die moet worden geregeld, vanuit het perspectief van bestuursstructuur, heeft te maken met de eis die gesteld wordt in art. 38, lid 3 AVG, te weten dat de Functionaris voor Gegevensbescherming, indien aan te stellen, direct dient te rapporteren aan het hoogste managementniveau binnen de organisatie. De FG heeft, volgens art. 37 AVG, het recht om op die manier in de hiërarchie te staan.

Maar wat te doen als er geen sprake is van de verplichting tot aanstelling van een Functionaris voor Gegevensbescherming? Wij zijn van mening dat het ook dan van belang is diezelfde rapportagepositie zeker te stellen voor de dan in beeld komende Privacy Officer, en wel voorafgaand aan aanstelling van een PO. In onze optiek is het voor een Privacy Officer net zo essentieel als het voor de FG zou zijn om direct toegang te hebben tot het hoogste niveau van management in de organisatie (CEO, Voorzitter van de Raad van Bestuur) waar het gaat om rapporteren over de status van privacy-accountability. Uiteindelijk is het namelijk datzelfde hoogste management dat verantwoordelijkheid draagt voor en afgerekend wordt op die status van AVG accountability. Het kan nooit de bedoeling zijn de controller ‘af te schermen’ van de realiteit op het gebied van AVG-compliance binnen zijn eigen organisatie.

 

The Privacy Factory

Marc Vrijhof

[1]  Guidelines on Data Protection Officers (‘DPOs’) (wp243rev.01)

Marc Vrijhof

Marc Vrijhof

Abonneer u op privacyartikelen

U ontvangt alleen updates van onze blog
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.