Privacy is in aanloop van 25 mei 2018 door veel organisaties opgepakt als project. Een nieuwe privacy wetgeving (AVG) gaf de mogelijkheid om privacy nu eens goed in te richten. Een projectteam werd samengesteld van verschillende medewerkers uit de organisatie en samen werd gewerkt aan een gedegen opzet van privacy met een beleid, procedures, een verwerkingsregister en rechten voor betrokkenen. Ook werd vanuit dit projectteam gedacht over privacy verantwoordelijken en een al dan niet verplichte Functionaris Gegevensbescherming (FG).
Een jaar of wat later. Alle verplichte documenten zijn opgeleverd en privacy is in opzet aanwezig in de organisatie. Het projectteam krijgt decharge en de aangewezen Privacy Officer (PO) gaat zelf aan de slag. De projectgroep was een veilige omgeving, los van de rest van de organisatie waar alle aandacht vol op privacy lag en meerdere mensen ermee bezig waren. Eenmaal in de organisatie razen alle andere prioriteiten en veranderingen als snelverkeer langs de PO heen. Compliance is ineens een van de vele onderwerpen op de lijst en bovendien eentje die net al het projectbudget had gekregen, dus nu is een ander onderwerp aan de beurt.
Van opzetten naar onderhouden
In plaats van het opzetten hebben we het nu over het onderhouden van een privacy programma. Dit brengt andere vragen met zich mee voor de Privacy Officer: “Voldoe ik wel voldoende aan de AVG? Hoe houd ik mijn verwerkingsregister bij? Waarover moet ik precies rapporteren en aan wie? Moet ik niet budget aanvragen voor komend jaar? Wat heeft de meeste prioriteit/hoe los is drie incidenten en een datalek op in de 8 uur die ik deze week aan privacy mag besteden?”. Eigenlijk zijn al deze vragen samen te vatten in: “Lukt het één Privacy Officer om de hele organisatie compliant te houden?”.
Dit is geen pleidooi voor meerdere Privacy Officers, maar wel voor het delen van verantwoordelijkheden. Voor een gelaagde structuur waarbij de Privacy Officer vooral een regiefunctie heeft, een verbinder is en kennishouder en adviseur van het onderwerp AVG, zowel naar stakeholders als naar de organisatie. Compliance in zichzelf is geen taak van de Privacy Officer, compliance faciliteren en stimuleren wel!
Geen hiërarchie, wel gelaagdheid
Het aanbrengen van gelaagdheid in de organisatie kan op verschillende manier en zal ook sterk organisatieafhankelijk zijn. Sommige organisaties werken al met ‘sleutelfiguren’ of ‘aandachtsvelders’, vaak zijn dit collega’s die meer kennis hebben van het onderwerp en als eerstelijns vraagbaak dienen. Het is tijd om deze rollen meer aan te kleden: leg hier ook verantwoordelijkheden voor bijvoorbeeld risicosignalering en analyse, het implementeren van dataminimalisatie, het up-to-date houden van (hun deel van) het verwerkingsregister, het afhandelen van verzoeken etc. Maar er zijn meer opties om de Privacy Officer te ontlasten, bijvoorbeeld door het opstellen van een privacy checklist die bij de start van het project wordt afgewerkt. Daarnaast is het vaak vrij eenvoudig om bepaalde sleutelrollen te identificeren die leiding nemen over projecten of processen. Wanneer deze personen worden geactiveerd om toezicht te houden op privacymaatregelen en andere collega’s hier ook aan te herinneren wordt het al een stuk gemakkelijker voor de Privacy Officer om de regie in handen te houden. Dit zal ook bijdragen aan de awareness binnen de organisatie.
Door de Privacy Officer uit de operatie te halen komt er tijd vrij om bezig te zijn met privacy compliance op een hoger niveau. Privacy is niet een vinklijst, maar een verhaal dat vertelt dient te worden, door de organisatie naar buiten toe en intern. Geef de Privacy Officer daarom de ruimte om na te denken over dit verhaal, om de wensen van stakeholders over dit onderwerp op te halen, te rapporteren over voortgang bij de juiste mensen en om budgetten aan te vragen voor komend jaar.