Veel organisaties en overheidsinstanties hebben sinds vorig jaar nieuw gecreëerde functies binnen hun organisatie - denk hierbij aan de functionaris gegevensbescherming, privacy officer en de information security officer. Dit kan binnen de organisatie leiden tot onduidelijkheid wie waarvoor verantwoordelijk is, wat weer niet bevorderlijk kan zijn voor de mate van naleving van de geldende privacy wetgeving.
De gemeenten Amstelveen en Aalsmeer, die op ambtelijk niveau veel samenwerken, liepen ook tegen deze problematiek aan. Dit heeft geresulteerd in een Privacy governance document waarin alle rollen, taken en verantwoordelijkheden van de verschillende functies helder zijn omschreven. Dit zorgt niet alleen voor meer duidelijkheid binnen de organisatie(s), maar ook voor een betere implementatie van de privacy wetgeving.
Hieronder treft u een interview aan met de heer Nasim Ahmadi, de functionaris gegevensbescherming van de gemeenten Amstelveen en Aalsmeer.
Waar liepen jullie tegenaan?
“Op ambtelijk niveau werken de gemeenten Amstelveen en Aalsmeer samen. Maar er zijn twee gemeenteraden en twee Colleges. Telkens kregen we van bestuurders de vraag: wat is nu het verschil tussen de verschillende rollen en functies? Wat doet een Functionaris Gegevensbescherming (FG), een Chief Information Security Officer (CISO) en een privacybeheerder? We bleven het uitleggen, maar het beklijfde niet. Het is natuurlijk ook ingewikkeld en er is een grijs gebied. Soms was het voor onszelf onduidelijk waar de grens lag.”
Kun je daarvan een voorbeeld geven?
“In hoeverre mag ik als FG bijvoorbeeld adviseren terwijl ik een onafhankelijke rol heb? Er was nog niet goed over nagedacht; er bestond geen document waarin rollen helder waren omschreven. Ook wij waren zoekende in het woud aan wettelijke zaken die er omtrent privacy geregeld moesten worden, zoals de AVG en het instellen van een FG.”
Het Privacy governance document beschrijft de rollen, taken en verantwoordelijkheden ten aanzien van privacy.
“Het document bekrachtigt dat deze rollen bestaan, er is geen discussie meer over nodig. Ook hebben we het document gebruikt om het bestuur en het management ervan bewust te maken dat de verantwoordelijkheid echt bij het hen ligt. Zij moeten zorgen voor een zo goed mogelijke implementatie van de AVG. De FG, CISO en privacybeheerder hebben slechts een adviserende rol. En natuurlijk ondersteunen we het bestuur en het management graag bij de implementatie van de privacywetgeving.”
Kun je de rollen ten aanzien van privacy in elke gemeente op dezelfde manier verdelen?
“In sommige gemeenten worden rollen gecombineerd, daar is een FG ook een CISO of privacybeheerder. Dat is bijna niet te doen. In onze 100.000+ gemeente zijn dat 36-urige taken. Mijns inziens heb je die drie verschillende functies echt nodig. Natuurlijk is het in kleine gemeenten lastiger omdat daar minder budget is. Wellicht kunnen kleine gemeenten het met elkaar oplossen. Je zou met drie gemeenten samen één FG kunnen delen, bijvoorbeeld.”
Wat hebben jullie in de dagelijkse praktijk aan het document?
“Bij twijfel over verantwoordelijkheden of rollen pakken we het document erbij. Verder zie ik het als eerste stap om privacy binnen de organisatie op de kaart te zetten. We hebben de directie en de managers om akkoord gevraagd. Maar we moeten er aandacht aan blijven besteden, anders zakt het weer weg.”
Jullie willen het Privacy governance document delen met andere gemeenten.
“Ik hoop dat dit andere gemeenten stimuleert om ook eigen modellen, sjablonen, werkprocedures (bijvoorbeeld een procedure omtrent het inzagerecht) en best practices te delen. Zo leren we van elkaar en hoeven we niet telkens opnieuw het wiel uit te vinden.”
Bron: IBD
