Onze aanpak: Privacy Program Management
Voor veel ondernemingen kan de nieuwe privacy-wetgeving een grote of kleine impact hebben. We zien dan ook begrijpelijkerwijs, dat veel partijen hulp willen bieden. Vaak worstelen organisaties in eerste instantie met de ‘wat-vraag’, als in wát zegt de AVG nu eigenlijk, maar al snel komt ook de ‘hoe-vraag’ aan de orde; hoe kan ik er voor zorgen dat ik aan deze wet ga voldoen? Bij het antwoord op deze ‘hoe-vraag’ door hulpbiedende partijen is ons een aantal zaken opgevallen. Zaken waarvan wij denken dat ze anders moeten wil een organisatie op een efficiënte en effectieve wijze aan deze wet voldoen. Voorbeelden daarvan:
- Vaak wordt gewezen op het belang van informatiebeveiliging om te kunnen voldoen aan deze wet. Dat is volkomen terecht. Soms wordt daarbij echter de suggestie gewekt dat als uw informatiebeveiliging op orde is, uw organisatie voldoet aan de privacy wet. Dat is – wellicht helaas – niet waar. Informatiebeveiliging is een belangrijk onderdeel om te voldoen, maar er dient veelal veel meer te gebeuren. Zo dienen er door de verantwoordelijke ook technische en organisatorische maatregelen te worden genomen om aan de gehele wet te voldoen (art 24). Hieronder kunnen – afhankelijk van uw situatie – de verplichting van een register vallen (art 30), het herformuleren van uw ‘privacy notices’, het inrichten van werkwijzen waardoor betrokkenen hun recht op dataportabiliteit (art 20) kunnen uitoefenen, het maken van nieuwe afspraken met uw IT-leverancier, ect.
- Ook zien we regelmatig verleidende reclameteksten waarbij een (IT) product wordt aangeprezen (bijvoorbeeld een firewall of een monitoring applicatie) die er vervolgens voor zou zorgen dat u daarmee ‘GDPR-compliant’ zou zijn. Wellicht biedt het desbetreffende product een prima deeloplossing. Een totaaloplossing hebben wij op deze manier nog niet gezien.
- Een laatste voorbeeld zijn de GDPR-assessments. Sommige wekken de suggestie dat u met een beperkt aantal vragen kunt vaststellen of u reeds aan deze wet voldoet. Natuurlijk kunnen een aantal – beperkte – vragen u een indicatie geven wat de mogelijke impact van deze wet op uw organisatie is. Maar, op basis van bijvoorbeeld 5 vragen bepalen of u ‘compliant’ bent lijkt ons wat hoog gegrepen.
Om deze terechte ‘hoe-vraag’ te adresseren hebben wij een methode samengesteld. Hierbij hebben wij – mede op basis van bestaande ‘best practices’ een handzame aanpak ontwikkeld die als richtlijn kan fungeren en afhankelijk van de omvang van de organisatie en complexiteit smaller of breder gemaakt kan worden. Voor menig organisatie kunnen al deze stappen zelf worden vastgelegd in één handzaam document; u Privacy Programma. Basis voorwaarde daarbij is dat u – al dan niet met ondersteuning – alle stappen worden doorloopt, zodat daadwerkelijk alle facetten van deze wet aan de orde komen.
Het formeren van het Privacy ProjectTeam
Privacy raakt vrijwel alle geledingen van de organisatie:
- HR: een aantal voorbeelden van mogelijke onderwerpen van HR in relatie tot Privacy: salaris en beloningen, registraties van werknemers, trainingsprogramma’s en resultaten, sexuele intimidatie en klokkenluiders-regeling.
- Marketing en business development: benadering van bedrijven en kandidaten.
- Financiën; salaris, onkostenvergoedingen, etc.
- Procurement (inkoop); waarborgen dat leverancier ook voldoet aan AVG indien van toepassing.
- IT en informatiebeveiliging; aantoonbare vertrouwelijkheid van digitaal geregistreerde persoonsgegevens, externe toegang, waarborgen tegen externe toegang door kwaadwillenden, etc.
- Legal; contracten met inkoop- en verkoop, arbeidsovereenkomsten, etc.
Het is daarom van belang om te starten met het installeren van een Privacy Project Team waarin alle relevante bedrijfsonderdelen zijn vertegenwoordigd én waarbij het juiste commitment van het management is gewaarborgd.
- Privacy Visie
Deze privacy-visie bestaat meestal uit niet meer dan 30 woorden. Een voorbeeld in deze is wellicht KPN :
“Klanten kunnen erop rekenen dat bij KPN privacy en veiligheid prioriteit hebben. Het bewaken van de vertrouwelijkheid van communicatie is al meer dan een eeuw het fundament van onze onderneming. In het huidige digitale tijdperk voelen we ons betrokken bij alles wat met deze onderwerpen te maken heeft. Bij dilemma’s gaan we de dialoog aan met onze klanten. Wij zijn transparant over wat we met de gegevens van onze klanten doen, en waarom. KPN luistert geen gesprekken af en leest geen berichten van klanten. Het Privacy Statement is een harde afspraak met onze klanten, waaraan wij ons houden.”
Een ander voorbeeld is van het Hong Kong Trade Development Council:
“We respect your Privacy and we promise:
- To implement computer, physical and procedural safeguards to protect the security and confidentiality of the personal data we collect.
- To limit the personal data collected to the minimum required to provide a better service.
- To permit only properly trained, authorized employees to access personal data.
- Not to disclose your personal data to external parties unless you have agreed, we are required by law or we have previously informed you.”
Middels een aantal gesprekken met vertegenwoordigers van uw organisatie stellen wij samen met u uw Privacy Visie op.
- Kernpunten
In de kernpunten leggen we een aantal basiselementen voor de inrichting van uw privacy vast. Dit is geen statisch gegeven. Met het doorlopen van alle stappen kan het zijn dat op basis van voortschrijdend inzicht wordt teruggekomen op een vorige stap.
- Voor wie; doelgroep van het beleid
- Doel; beschrijving van de beoogde uitwerking
- Visie: organisatievisie, met accent op aangrijpingspunten voor privacyborging
- Randvoorwaarden; benoeming van benodigde vereisten.
- Scope
Voor de scope bepaling wordt allereerst een high level beschrijving gemaakt van de soorten van gegevensverwerkingen, welke soorten informatie daar worden verwerkt en welke (IT) middelen daarbij worden gebruikt. Dit kan ook gelijk als Register in de zin van art 30 GDPR dienen. Daarbij dienen ook de raakvlakken met de andere gebieden aangegeven te worden. Hierbij kan gedacht worden aan; informatiebeveiliging, personeels- en organisatiebeleid, communicatiebeleid, etc..
Ook is het vaststellen van het totale wettelijke landschap onderdeel van deze stap. Het kan bijvoorbeeld zijn dat ook andere privacy-gerelateerde wetgeving van toepassing is. Bijvoorbeeld wanneer transacties buiten Europa plaatsvinden.
Een mogelijk instrument dat hier eventueel ingezet kan worden is de ‘Data Protection Impact Assessment’ (DPIA) op het moment dat wordt vastgesteld dat dit volgens de wet noodzakelijk is conform art 35 GDPR.
- Privacy Management
Bij het Privacy management gaat het om het vaststellen van de rollen en verantwoordelijkheden. Is er bijvoorbeeld een zogenaamde ‘functionaris Gegevensbescherming’ verplicht (art 37 GDPR), en zo ja, wat zijn zijn/haar taken en bevoegdheden etc. Is het wellicht handig/verstandig om een Privacy Manager aan te stellen en hoe wordt deze dan gepositioneerd? Wat zijn de verantwoordelijkheden van de leidinggevenden van de organisatieonderdelen? Wordt er gekozen voor een gecentraliseerde aanpak waarbij één persoon of team verantwoordelijk is voor alles wat met Privacy te maken heeft, of wordt gekozen voor een gedecentraliseerd model waarbij er meer verantwoordelijkheid bij de bedrijfsonderdelen wordt belegd, óf wordt gekozen voor een hybride model waarbij een splitsing wordt aangebracht wat centraal en decentraal wordt belegd.
In de praktijk dienen meestal meerdere varianten te worden geschetst en besproken met betrokkenen voor dat voor uw organisatie de – initieel – het best passende model kan worden gekozen.
- Gegevensverwerking
Voor die onderdelen die daadwerkelijk relevant zijn gebleken op basis van de scoping, wordt hier een gedetailleerde uitwerking van de gevensverwerking uitgevoerd. De diepgang hierbij is op het niveau van de specifieke informatie- categorieën op bijvoorbeeld database niveau. Indien het reeds noodzakelijk was om een DPIA uit te voeren is deze stap daarmee uitwisselbaar.
In deze stap zit ook de uitwerking van de gelaagdheid van het privacybeleid waarbij specifieke onderwerpen nader kunnen worden uitgewerkt. In de procesbeschrijvingen worden de werkprocessen met daarbij de benodigde privacy waarborgen uiteengezet (wederom wellicht achterhaald middels de risicogedreven DPIA, of eventueel een Pentest of Vulnerability scan, ook de aspecten pseudonimisering, annoniemisering en encryptie komen hier aan de orde, etc).
- Gedragsnorm
Het management moet er van op aan kunnen dat de proceseigenaren en medewerkers de nodige maatregelen treffen en zich bewust zijn van hun specifieke verantwoordelijkheid, maar ook die van de organisatie en aanpalende processen. Dit kan bijvoorbeeld door het opstellen en communiceren van een gedragscode. De GDPR promoot het hebben van een dergelijke gedragsnorm. Zie artikel 40 lid 1 GDPR.
- Privacy Services
Hier werken we uit hoe de rechten van de betrokkenen worden nagekomen en hoe de betrokkenen haar rechten kan uitoefenen. Concreet gaat het dan om werkwijzen waarmee betrokkenen bijvoorbeeld geïnformeerd worden, of toestemming kunnen geven en intrekken, hoe ze hun persoonsgegevens kunnen verkrijgen of overdragen, waar ze met klachten terecht kunnen etc. Hierbij adviseren wij vooral gebruik te maken van hetgeen al aanwezig is. Bijvoorbeeld een klachtenprocedure.
- Privacy beleid
In het beleid wordt vastgelegd hoe alles wat hiervoor is gerealiseerd, in stand wordt gehouden. Hierbij kan dan specifiek gedacht worden aan de volgende onderwerpen:
- Bewustwording en training
- PR & Communicatie
- Informatievoorziening
- Informatiebeveiliging
- Regeling Privacy Incidenten (o.a. getraind middels datalek simulatie)
- Handhaving
- Evaluatie
- Audit beleid
Er zijn verschillende vormen van audit die kunnen worden toegepast om de monitoring in te vullen. Gedacht kan worden aan: quick scans, zelfevaluatie en externe audits. Waar, wanneer welke auditmethode wordt toegepast, wordt hier beschreven.