Redactie - 14 december 2018

Visie: Zo functioneren FG’s beter

De meeste organisaties die onder de AVG verplicht zijn om een functionaris voor de gegevensbescherming aan te stellen, hebben inmiddels een geschikte kandidaat gevonden. Maar hoe zorgt u ervoor dat de FG zijn of haar werk goed kan doen?

25 mei 2018 was lange tijd een gevreesde deadline. Privacyschenders zouden vanaf die dag hard worden aangepakt. Wie de nieuwe Europese Algemene verordening gegevensbescherming stelselmatig aan zijn laars lapt, krijgt te maken met boetes die oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Een half jaar later krijgt Uber kreeg een boete opgelegd ter hoogte van 600.000 euro. In 2016 vond een datalek plaats bij het Uber-concern. Er was sprake van ongeoorloofde toegang tot persoonlijke gegevens van klanten en chauffeurs. Het Uber-concern krijgt een boete omdat het de gegevensinbreuk niet binnen 72 uur na de ontdekking van het datalek heeft gemeld bij de Nederlandse gegevensbeschermingsautoriteit en de betrokkenen. Dit is een boete onder de Meldplicht Datalekken. De Meldplicht was in Nederland in 2016 als het ware als een voorproef ingesteld om voor te bereiden op de AVG. Onder de AVG zelf was de boete veel hoger geweest.

“Zo’n boete is een laatste dwangmiddel”, zegt Marleen Pijpelink. “Daar gaan eerst nog waarschuwingen aan vooraf.” Daar kan bijvoorbeeld het UWV over meepraten. Maar volgens de consultant van Experis Ciber gaat het ook niet alleen om de boetes. Organisaties zijn vaak al veel banger voor reputatieschade. Ziet de klant zijn bedrijf nog wel als betrouwbaar? Zij ziet terugkijkend op het eerste half jaar een belangrijker winstpunt. “Organisaties gaan nu veel bewuster om met privacy dan enkele jaren geleden.”

De weg vinden

Organisaties hebben privacy serieus op de agenda gezet. Dit blijkt ook uit onderzoek van de Autoriteit Persoonsgegevens (AP) onder organisaties die verplicht zijn om de contactgegevens van een FG op hun website te vermelden. Die verplichting geldt bijvoorbeeld voor ziekenhuizen, zorgverzekeraars en overheidsinstanties. Binnen deze sectoren kon de AP in september van dit jaar slechts één organisatie vinden die in gebreke bleef.

Pijpelink plaatst wel een kanttekening bij die mooie cijfers. “Veel FG’s zijn nieuw binnen een organisatie en moeten hun weg nog zien te vinden. Daar komt bij dat de processen voor het borgen van de privacy vaak nog niet op orde zijn. Ze hebben daarnaast ook nog vaak andere taken naast hun FG-taken. Bovendien heeft niet elke FG een juridische achtergrond. En een FG heeft te maken met het krachtenveld tussen management, de toezichthouder en de AVG zelf. Ook de persoonlijke aansprakelijkheid bij obstructie hangt als een zwaard van Damocles boven hun hoofd. Er komt dus erg veel op ze af. Ik heb al gehoord van FG’s die overspannen thuiszitten.”

Effectiviteit verbeteren

Volgens Pijpelink kunnen organisaties meerdere dingen doen om de effectiviteit van de FG te verbeteren:

1. Wijs contactpersonen aan per afdeling

Voorkom dat FG’s verdwalen binnen de organisatie. “Zorg ervoor dat de FG per afdeling een contactpersoon heeft”, adviseert Pijpelink. “Die contactpersoon moet goed op de hoogte zijn van de processen binnen de betreffende afdeling en de FG met de juiste personen in contact kunnen brengen.”

2. Betrek de FG bij de praktijk

“Rapporten zijn leuk, maar uiteindelijk gaat het erom dat de aanbevelingen uit bijvoorbeeld een Data Protection Impact Assessment in de praktijk worden toegepast”, legt Pijpelink uit. Dan helpt het volgens haar als de FG bijvoorbeeld bij projecten wordt betrokken. “Maar daar moet de FG wel de tijd voor krijgen. Alle privacygerelateerde kosten die een bedrijf investeert, moeten als kosten worden meegenomen.”

3. Blijf communiceren over de AVG

De FG heeft de hulp nodig van alle medewerkers. Die moeten het gevoel krijgen dat ze op hun beurt ook geholpen worden. Niet alleen regels opleggen maar ook training en tooling geven. Denk aan iets simpels als multifactorauthenticatie (MFA). Bij het gebruik van MFA mag het wachtwoord vervolgens minder ingewikkeld zijn. Bij veel bedrijven is echter sprake van een dubbele belasting: én MFA, én verplicht een ingewikkeld wachtwoord.

Het is belangrijk om de aandacht voor de AVG vast te houden, zonder dat de medewerkers de nadruk op privacy als vervelend gaan ervaren. Hier zijn volgens Pijpelink meerdere manieren voor. “Denk aan een ‘week van de privacy’ op intranet. Tijdens die periode kunt u met anekdotes of handige tips aandacht vragen voor het onderwerp. Of deel rode en gele kaarten uit aan medewerkers die documenten met persoonsgegevens op hun bureau laten slingeren. En een groene kaart met een kleine beloning voor een opgeruimd bureau.” Begin bij de basis en maak het zichtbaar en concreet.

“Als de communicatie goed is, vinden medewerkers privacy helemaal niet iets vervelends”, besluit Pijpelink. “Dan dringt het besef door dat de aandacht voor privacy niet is om hen te pesten, maar om een belangrijk grondrecht te beschermen. Ook die van henzelf.”

Marleen Pijpelink is Principal Business Consultant EIM bij Experis Ciber

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024