Functionaris voor de gegevensbescherming; een beetje licht in de duisternis

Nog een maand of zes en dan staat de nieuwe Europese privacywetgeving op de stoep. Grote kans dat je tegen die tijd een functionaris voor de gegevensbescherming (FG) aangesteld moet hebben. In een eerdere blogpost hebben we de FG al even genoemd. Maar heel duidelijk is het allemaal nog niet; wanneer heb je zo’n FG nodig, waar moet hij (of zij) aan voldoen en hoeveel mankracht kost je dat? Jasper Kosters, Business Consultant bij MostWare, deelt zijn bevindingen.

Geen eenduidige regels

Een FG is kort gezegd een interne toezichthouder op de verwerking van persoonsgegevens. Voor zover is het makkelijk uit te leggen. Maar daarna wordt het lastiger. De regels zijn niet eenduidig, ze zijn niet erg richtinggevend en concreet opgesteld en bovendien nog niet in beton gegoten. Dit leidt tot veel onduidelijkheid en maakt het voor organisaties lastig om in te schatten wat er nu moet gebeuren.

Wel of geen FG aanstellen; that’s the question

Allereerst zien we organisaties worstelen met de vraag of ze überhaupt een FG moeten aanstellen. Overheidsinstanties en publieke organisaties zijn sowieso verplicht een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Denk daarbij aan rijksoverheid, gemeenten en provincies, maar ook aan zorg- en onderwijsinstellingen. Maar hoe zit het met het MKB? Waar eerder de duidelijke regel was dat organisaties met meer dan 250 medewerkers een FG moesten aanstellen, is dat nu weer gewijzigd. Nu heeft de regel meer betrekking op de mate van gegevensverwerking binnen je organisatie. Maar hoe weet je of je bedrijf ‘op grote schaal’ persoonsgegevens verwerkt? Wat is op grote schaal? Het is dus moeilijk heel hard te stellen of je wel of niet een FG nodig hebt; het zal vaak maatwerk zijn. De leiding van een organisatie moet samen met een GDPR-expert allerlei aspecten bekijken en analyseren om een goede beslissing te kunnen nemen.

Voor welke vorm kies je?

Als je dan als organisatie duidelijk hebt dat er een FG aangesteld moet worden, doemt de volgende vraag op: hoe gaan we dat vormgeven? Gaat iemand parttime deze rol op zich nemen, huren we er iemand fulltime voor in, besteden we het uit of kiezen we voor een hybride variant. Bij een hybride variant neemt een externe FG gedeeltelijk de inrichting en toetsing van proces, techniek of mens op zich, bijvoorbeeld omdat intern de technische kennis niet aanwezig is. Ook hier verschilt het weer per organisatie wat de beste keuze is.

Objectiviteit staat voorop

We merken dat mensen de regels zelf gaan interpreteren. Logisch, want de tijd dringt – maar het gevaar is dat je dan dingen over het hoofd zien die vervelende gevolgen kunnen hebben. We zien bijvoorbeeld in een aantal organisaties dat de FG-pet wordt opgezet door iemand die ook beslissingsbevoegd is. Dat mag dus niet; de FG moet objectief zijn zodat belangenverstrengeling voorkomen wordt. Het hoofd financiën, de strateeg, de marketingmanager en de informatiemanager zijn dus al uitgesloten, om maar een paar voorbeelden te noemen.

Stevige persoonlijkheid gezocht

Maar wie dan wel? Vanuit de wetgeving worden er geen eisen aan het kennisniveau van een FG gesteld. Maar vergis je niet, de functie vergt echt wel iets van persoon. Er is bovengemiddelde kennis van de GDPR nodig, de juridische kaders moeten duidelijk zijn, er is goede kennis van de organisatie nodig – waar staan de persoonsgegevens en hoe worden ze verwerkt – en bovendien moet een FG weten wat technisch haalbaar en realistisch is. Tel daarbij op dat het iemand moet zijn die stevig in z’n schoenen staat en nee durft te zeggen en je begrijpt dat deze mensen niet voor het oprapen liggen.

En nu…

Er zijn dus nog talloze vragen en de tijd dringt. Veel bedrijven schakelen iemand in om een nulmeting te doen en advies uit te brengen. Een goed idee. Maar helaas is het maar al te vaak zo dat het resultaat een ellenlange lijst met aanbevelingen is terwijl je behoefte hebt aan een roadmap, een visie. Wat zijn de eerste praktische stappen, hoe liggen de prioriteiten, waar moet ik mee beginnen en wat kan nog even wachten? Een aantal documenten ontbreekt nog, die worden in de komende periode nog gepubliceerd. Dat kan nogal wat impact hebben, dus je wilt voorkomen dat je dingen gedaan hebt die moeilijk terug te draaien zijn. En de teksten die er al wel zijn, scheppen nog weleens verwarring. Op de site van de Autoriteit Persoonsgegevens staat bijvoorbeeld letterlijk: “Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die u verwerkt. U mag zelf weten hoe u dit register opstelt.” Daar kun je als organisatie wel erg veel kanten mee op. Ook de eigenlijke taken van een FG – het toetsen en sturen van het proces, van de techniek en van de bewustwording binnen een bedrijf – komen niet duidelijk naar voren in de documentatie. Maar juist dat, die ‘heilige’ drie-eenheid van mens, techniek en proces is waar het om gaat als je wilt dat het met de privacy goed is geregeld binnen je bedrijf.

De tijd dringt, maar zet je stappen weloverwogen

25 mei 2018 komt met rasse schreden dichterbij. Stilzitten is geen optie. Maar harde beslissingen nemen is soms ook nog lastig. Op dit moment zou het een goede optie kunnen zijn om iemand in te huren; zo krijg je wel vast meer grip en houvast op de situatie zonder dat je iets doet dat moeilijk terug te draaien is. Je kunt dan in de komende periode heel concreet gaan bepalen in welke vorm je de FG gaat aanstellen, hoeveel tijd die persoon daaraan kwijt is, en wie een geschikte kandidaat zou kunnen zijn, zodat je bij de daadwerkelijke implementatie goed van start gaat

Trek in een kop koffie gekregen?

Werk je bij een zorginstelling, financiële instelling of een non-profitorganisatie en heb je nu wel behoefte aan een sparringpartner met de juiste expertise als het gaat om de GDPR in jouw werkveld? Kom gerust langs voor een stevige kop koffie. Dan kunnen we eens vrijblijvend praten over hoe een stappenplan er voor jouw organisatie uit zou kunnen zien. Onze partnerschap begint bij een goed gesprek. Bel even naar 071-5791010, dan plannen we een afspraak!