Regel een goede Privacy Governance structuur

Laten we eerlijk wezen: weinige van ons hebben zich de afgelopen jaren ook maar iets aangetrokken van de Wet bescherming persoonsgegevens (Wbp). Een privacyverklaring op de website, zodat ze konden zien dat je er mee bezig was, en dat was het dan wel weer. Dat moet vanaf volgend jaar wel anders.

In het vorige blog sprak ik er al over; op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Die vervangt onze nationale Wbp. Dat gaat heel wat gevolgen hebben. In de komende blogs wil ik daarom de belangrijkste implicaties bespreken.

Privacy Governance structuur

De GDPR regelt dat bedrijven verschillende activiteiten moeten uitvoeren, zodat ze aan de regels voldoen. Sommige activiteiten zijn verplicht, anderen optioneel. Dat heeft onder meer te maken met de grote van je bedrijf en wat je doet.

Een van de zaken die wel verplicht is, is het opzetten van een Privacy Governance Structuur. Dit regelt de benodigde bestuursstructuur voor het beschermen van persoonsgegevens binnen een bedrijf. Hiervoor moeten een of meerdere medewerkers aangewezen worden, die ervoor zorgen en ervoor waken dat de organisatie aantoonbaar compliant is en dat hierover regelmatig naar de “hoogste functionaris” binnen de organisatie wordt gerapporteerd.

Stappen

Om dit goed te kunnen invullen, zijn de volgende taken omschreven. Afhankelijk van je bedrijf zijn sommige taken verplicht en sommige niet, waarbij wij als PrivacyO bewust een onderscheidt maken tussen de niet verplichte / niet benoemde privacy officer en onder sommige omstandigheden verplicht gestelde ‘Functionaris voor gegevensbescherming’ (FG):

  • het beleggen van de eindverantwoordelijkheid bij een interne privacy officer.
  • het benoemen van een functionaris ‘Gegevensbescherming’; een onafhankelijk toezichthouder die kan toetsen of de privacy activiteiten tijdig en afdoende worden uitgevoerd en daar waar nodig ongevraagd adviseert.
  • het aanwijzen van een directielid of lid van de raad van bestuur, aan wie zowel de interne privacy officer als de functionaris Gegevensbescherming op regelmatige basis kunnen rapporteren.
  • het opzetten van een Privacy team: een team van mensen uit de organisatie en de privacy officer die samen verantwoordelijk zijn voor het uitvoeren van de 50+ privacy activiteiten.
  • het regelmatig beleggen van een overleg tussen het privacy team en, soms externe, stakeholders.
  • het uitvoeren van een initiële privacy risico analyse, soms wellicht als onderdeel zijn van een meer algemene bedrijfsrisico analyse.
  • het opstellen van een intern gericht privacy beleid, met een privacy missie, bijbehorende gedragsregels en een initiële hoofddoel planning.

Kompas

Door het formuleren van met name dit intern gericht privacy beleid wordt aan de organisatie een privacy kompas aangeboden dat niet alleen de eigen medewerkers ondersteunt bij het privacy compliant zijn en blijven, maar ook gebruikt kan worden als leidraad bij het communiceren met externe stakeholders.

Als deze Governance-activiteiten goed worden uitgevoerd, dan heb je een belangrijk fundament gelegd om de GDPR te kunnen naleven.

Om bedrijven op weg te helpen naar de implementatie van de GDPR, schrijft PrivacyO over deze 13 blogs een Whitepaper met de titel ‘GDPR made easier’. Deze zal voor iedereen beschikbaar zijn. Ook een exemplaar? Neem dan contact op met ons via sales@privacyo.eu.