Privacy en informatieveiligheid

Nu er met man en macht naar de belangrijke deadline toegewerkt is, begint de echte uitdaging pas; hoe zorg ik als organisatie dat ik een goede uitvoering aan privacy en informatiebeveiliging blijf geven? Hiervoor is het belangrijk dat de organisatie zelflerend, zelfsturend en onafhankelijk wordt. Maar hoe bereik je dat?

Een zelflerende organisatie

In de aanloop naar de AVG was er in veel organisaties een te laag awareness- en kennisniveau rond privacy en informatieveiligheid. Met de komst van de AVG en de bijbehorende media-aandacht staat privacy nu op de publieke agenda. Gemeenten kunnen gebruikmaken van dit momentum om medewerkers vakspecifieke privacytrainingen of -instructies aan te bieden. De Functionaris voor de gegevensbescherming (FG) kan dat vanuit zijn rol samen met een Privacy Officer (PO) organiseren. Maar hij of zij doet er verstandig aan om de verschillende afdelingen verantwoordelijk te laten zijn voor hun privacyborging en zelf een toezichthoudende rol aan te nemen.

De FG houdt namelijk toezicht op de toepassing en naleving van de AVG en is daarmee, vergelijkbaar met de Autoriteit Persoonsgegevens, idealiter geen onderdeel van het proces waarop hij of zij toezicht houdt. Zelflerend zijn betekent dus dat kennis van privacyborging niet beperkt blijft tot de expertise van de FG, maar verspreid is in de organisatie. Als uw bijdrage als FG noodzakelijk is voor de inrichting van elk nieuw proces, dan weet u dat u nog werk te verrichten hebt. Als collega’s ook verantwoordelijk worden voor het meenemen van privacynormen, is de expertise en het zelflerend vermogen binnen uw organisatie toegenomen.

Een zelfsturende organisatie

Voor de borging van privacy is het, naast de noodzaak van een zelflerende organisatie, ook van belang dat de organisatie zelfsturend is. Een organisatie waarin de verantwoordelijkheid om privacy proof te handelen decentraal belegd is, kan zichzelf corrigeren en is hiervoor niet afhankelijk van de FG.

Als FG kunt u dit bijvoorbeeld realiseren door privacy officers of privacy ‘ambassadeurs’ op de verschillende afdelingen te benoemen. Deze personen hebben kijk en vooral ook invloed op de werkwijze rondom privacy op hun afdelingen. Ook kunnen zij alert zijn op mogelijke (risico’s op) datalekken in de organisatie en dan maatregelen treffen. Dichter bij de organisatie kun je bijna niet komen. Hoe decentraler dit ingericht is, hoe flexibeler de organisatie is en hoe meer de FG in een toezichthoudende rol kan blijven.

Een onafhankelijke organisatie

Om te voldoen aan de formele AVG-eis dat elke gemeente een FG aangesteld moeten hebben, heeft een aantal organisaties een externe FG aangesteld. Deze functionarissen zijn niet uit de organisatie afkomstig en bedienen soms meerdere organisaties vanuit hun rol als FG. Organisaties die voor deze variant kiezen, hebben daar hun redenen voor, bijvoorbeeld een laag budget of simpelweg geen geschikte interne kandidaten. Ook de rol van chief information security officer (CISO) is soms ingevuld door externen die de informatieveiligheid bij een organisatie professioneel inrichten. Uiteraard is er niets mis met deze praktische werkwijze. Wel is het goed om voor te sorteren op wat er gebeurt als deze externen de organisatie verlaten. Is de kennis dan voldoende verankerd en hebt u als organisatie de specifieke risico’s van uw organisatie zelf goed in beeld?

Zorg er dus voor dat u de juiste maatregelen neemt om risico’s te beheersen en betrek alle personen in de organisatie erbij vanuit hun eigen rol en verantwoordelijkheid. Focus op zelflerend, zelfsturend en op een onafhankelijke wijze invulling geven aan wat privacy en informatieveiligheid in uw gemeente concreet inhoudt. Dat betekent eigen expertise opbouwen, met interne collega’s de risico’s bepalen voor de organisatie en zelf het controlemechanisme inrichten waarmee u informatiebeveiliging en privacy controleert. Zorg er dan voor dat u in uw ISMS, zoals in de Stimulansz-oplossing Pinzicht, zelf kunt bepalen welke acties, bewijslast en controles u van wie verwacht. Zorg ervoor dat documentatie meteen goed wordt opgeslagen en u rapportages en steekproeven kunt uitvoeren op de normen waaraan u moet voldoen.

>Lees meer over privacy & informatieveiligheid

Geselecteerd op basis van dit onderwerp

Deel deze pagina