Goed gemutst en wellicht iets te enthousiast ga ik aan de slag bij een bedrijf. Het management heeft Duthler Associates gevraagd om na te gaan of de bescherming van persoonsgegevens goed uitgevoerd wordt binnen het bedrijf. Bij de introductie van de AVG in 2018 is er een project AVG geweest. Toen is er veel tijd en energie in dit onderwerp gestoken maar het management hoort de laatste tijd erg weinig. Ze krijgen geen berichten over datalekken bijvoorbeeld. Geen bericht is goed bericht zou je zeggen maar ze worden aan de bestuurstafel toch wat onrustig hiervan.
Waar te beginnen? In overleg met het management ga ik me eerst een beeld vormen van het bedrijf in hoeverre de bescherming van persoonsgegevens bij een ieder leeft. Ik start bij de medewerkers die destijds bij het project AVG betrokken zijn geweest. Ook spreek ik met sleutelfunctionarissen en medewerkers die ‘echt’ met de persoonsgegevens werken.
Wat was de uitdaging?
Het beeld dat hieruit naar voren komt is vergelijkbaar met uitkomsten bij andere bedrijven:
- Er is een privacybeleid maar niemand (behalve de FG en juridische zaken) kent het beleid;
- Een overzicht van datastromen waarin zich persoonsgegevens bevinden, ontbreekt;
- Het bijhouden van het verwerkingsregister heeft niet consistent plaatsgevonden;
- Een overzicht met welke derde partijen persoonsgegevens worden gedeeld ontbreekt, evenals de toets om deze gegevens te mogen delen;
- Verwerkersovereenkomsten zijn verspreid binnen het bedrijf aanwezig. Er is geen zekerheid of deze compleet zijn en de bijlages zijn vaak niet (goed of volledig) ingevuld. Contractmanagement is niet ingeregeld en verantwoording door de verwerkers ontbreekt;
- Er zijn een paar DPIA’s uitgevoerd omdat deze verplicht waren. Inhoudelijk en naar de geest zijn deze (te) beperkt uitgevoerd; en
- Er wordt geen verantwoording afgelegd of de verantwoording die wordt afgelegd is niet onderbouwd.
Tijdens de gesprekken blijkt iedereen van goede wil te zijn maar is het beschermen van persoonsgegevens naar de achtergrond geraakt. Niemand vraagt er ook om. De medewerkers vinden het wel belangrijk maar denken er niet altijd aan.
Ik koppel de uitkomsten terug naar het management en geef aan dat ik blij ben met ‘de goede wil’, zowel van het management als van de medewerkers. Niets is erger dan te maken hebben met een management dat alleen maar wil gaan voor het ‘vinkje’ voor het voldoen aan de AVG zonder de intentie te hebben het vanuit een intrinsieke behoefte goed te willen doen. Terwijl het goed omgaan met persoonsgegevens van klanten én medewerkers getuigt van respect voor hen. Het is daarom een belangrijke voorwaarde om het management en de medewerkers mee te gaan nemen in het traject van verbetering. Want dat is wat het management me vraagt om vervolgens op te pakken. Hoe krijgen wij het voor elkaar dat medewerkers het beschermen van persoonsgegevens een integraal onderdeel van het werk gaan vinden?
Wat was de aanpak?
Mijn eerste taak is om het management te managen. Hebben zij het beschermen van persoonsgegevens wel verinnerlijkt? Waarom hebben ze zelf niet de vinger aan de pols gehouden de afgelopen jaren? Hoe zit het met hun kennis? Hoe is hun relatie met de FG? Ook wil ik duidelijk maken dat het een langdurig proces wordt om iedereen in het bedrijf mee te krijgen en te behouden.
De boel stap voor stap op orde krijgen is één; de grootste uitdaging zit in het ‘first time right’ en het afleggen van verantwoording.
Functionaris voor gegevensbescherming (FG)
Het bedrijf heeft een FG. Niemand had trek in deze functie dus het werd bij de CISO neergelegd want hij kon dit makkelijk ‘erbij’ doen. Buiten het feit dat een combinatie van deze functies niet verstandig is, stond de CISO/FG voor een onmogelijke taak. Hij had al zijn tijd en aandacht nodig voor de veiligheid van de informatie waaronder persoonsgegevens maar had niet de kennis en affiniteit om de FG taken uit te voeren. Het management had verzuimd om een assessment uit te voeren alvorens de CISO als FG aan te stellen. Hierdoor had het management niet getoetst of de aangestelde FG passend is voor het bedrijf met zijn specifieke kenmerken. De FG kwam dus niet toe aan zijn wettelijke taken, waaronder het toezichthouden, en het management vroeg er niet naar. Zelfs de externe accountant die moet voldoen aan ISA 250 had geen informatie ingewonnen bij het management en de FG over het beschermen van gegevens.
Onbewust onbekwaam
Ook al is er goede wil aanwezig, dan is het nog lastig om een ieder te overtuigen dat het anders en beter moet. De medewerkers zijn onbewust onbekwaam en geven terug dat ‘alles toch goed gaat’. Deze medewerkers ga je niet meekrijgen door een e-learning te laten doen. Wel door het gesprek aan te gaan met ze. Vaak vind je in het bedrijf een afdeling of team dat open staat voor je aanpak en dat worden mijn ambassadeurs, het begin van de olievlek. Met deze groep medewerkers houd ik een kennissessie waarin theorie en voornamelijk het ‘waarom’ achter de theorie wordt doorgenomen. Zoveel als mogelijk laat ik de medewerkers vanuit hun eigen gezichtspunt kijken naar het beschermen van persoonsgegevens. ‘Zou jij je prettig voelen als er op deze manier omgegaan zou worden met je persoonsgegevens?’ Medewerkers zijn gewend om te kijken naar risico’s voor het bedrijf. Ik vraag ze te kijken naar risico’s voor de betrokkene, die ze ook zelf kunnen zijn.
Basishygiëne
Ondertussen werk ik aan de basishygiëne. Dat betekent dat ik het beleid (her)schrijf, procedures opstel en diverse registers aanleg. Vaak is het beleid vanuit een juridisch oogpunt geschreven terwijl de AVG verlangt dat het beleid een operationele uitwerking is van de toepasselijke wet- en regelgeving in het bedrijf en een verbinding maakt tussen wet- en regelgeving aan de ene kant en de visie en het beleid van het bedrijf aan de andere kant. Het privacybeleid moet medewerkers inspireren en aanspreken én duidelijk maken hoe het bedrijf de bescherming van persoonsgegevens vorm wil geven. En dan het belangrijkste: het communiceren over het beleid, het verhaal vertellen en zoveel als mogelijk persoonlijk maken voor de medewerkers. Met het beleid, de procedures en de registers zijn de piketpaaltjes geslagen om aan de slag te gaan.
In het beleid zijn rollen opgenomen die toebedeeld worden aan medewerkers. Deze medewerkers moeten begrijpen wat deze rol inhoudt, wat hun verantwoordelijkheid is en hoe de taken uitgevoerd moeten worden. Samen met HR en de leidinggevenden van deze medewerkers bekijken we hoe dit in de bestaande functieomschrijvingen meegenomen kan worden, inclusief de competenties die nodig zijn voor de functies. Hierbij help ik om het benodigde kennisniveau te beschrijven. Dan is het formeel goed ingeregeld maar daarmee zit de kennis nog niet tussen de oren. Op verzoek organiseer ik workshops om medewerkers hun rol uit te leggen en hiervoor kennis aan te reiken. Met name voor medewerkers die niet bij DPIA’s worden betrokken, is de interesse aanwezig. Omdat ik inmiddels een langere tijd bij het bedrijf betrokken ben, kan ik mooi de theorie en de praktijk aan elkaar verbinden.
Uitvoeren van DPIA’s
Vaak wordt in een bedrijf alleen de wettelijk verplichte DPIA’s uitgevoerd. Zoals hierboven aangegeven, is er vaak onvoldoende informatie aanwezig over de verwerkingen: hoe loopt dit van begin tot eind, welke gegevens worden verzameld en hoe wordt ermee omgegaan. En dat terwijl de AVG aangeeft dat van elke verwerking aangetoond kan worden dat aan de beginselen wordt voldaan, dus niet alleen voor de verwerkingen waarvoor een DPIA verplicht is. En als je niet weet wat de risico’s in een verwerking zijn en de maatregelen niet benoemd hebt, hoe kan je dan verantwoording afleggen over de effectieve beheersing van deze maatregelen? Ik adviseer daarom voor alle verwerkingen een gelijke systematiek te hanteren en voor alle verwerkingen een DPIA uit te voeren. Dat lijkt een heleboel werk en dat is het ook. In overleg met elke afdeling wordt daarom een agenda opgesteld waarin de bekende verwerkingen zijn opgenomen en op basis van verplichting en risico’s een prioriteit in de aanpak gemaakt wordt. We gaan het doen in een tempo dat een afdeling aankan.
Per afdeling houdt een team medewerkers zich bezig met de DPIA’s en gebruikt hiervoor een gelijke methodiek. In het begin is het voor de medewerkers een enorm geworstel. Niet alleen met de methodiek en vanwege een beperkte kennis van de AVG, maar met name met het achterhalen hoe de verwerking plaatsvindt. Wat gebeurt er nu en werkt iedereen wel op een gelijke manier? Dit proces begeleid ik en tijdens dit traject vul ik kennis aan, stel vragen en laat medewerkers zelf ondervinden. Het maakt mij niet uit dat het resultaat niet van het hoogste niveau is. Ik zie dit als een leerproces en elke DPIA wordt beter. En als de DPIA herzien wordt, zal ook weer een verbeterslag volgen. De DPIA’s gebruik ik om het verwerkingsregister bij te werken.
Van pleisters plakken naar ‘first time right’
Tijdens en na de DPIA’s worden actiepunten onderkend en deze worden met een pleister afgehandeld. En dat zie je veel bij bedrijven. Alle tijd voor pleisters plakken maar het blijft moeilijk om het in één keer goed te doen (first time right) hetgeen beter en goedkoper zou zijn. Tijdens mijn aanwezigheid bij het bedrijf probeer ik het bedrijf te bewegen om al bij de initiatie van een idee het beschermen van persoonsgegevens mee te nemen. Het mooiste is als daarbij direct begonnen wordt met een DPIA die meegenomen wordt tijdens het hele traject van ontwikkeling/ inkoop en later kan dienen tijdens de verdere levenscyclus van de verwerking. Zo is de DPIA ook bedoeld, maar ik moet eerlijk zeggen dat dit veel overredingskracht nodig heeft. Terwijl het toch zo goed zou zijn als de requirements allemaal duidelijk zouden zijn zodat deze bij de bouw of inkoop meegenomen kunnen worden.
Inkoopafdeling
Nu we het toch over inkoop hebben. In de praktijk blijkt het triest gesteld met de kwaliteit van de verwerkersovereenkomsten, met name het vullen van de bijlagen die specifiek over de verwerking gaan. Hierdoor ontbreekt het aan duidelijke afspraken. Sowieso kom ik zelden tegen dat de verwerker (schriftelijk) verantwoording aflegt over het nakomen van de afspraken. Maar het bedrijf dat verwerkingsverantwoordelijke is vraagt er vaak niet naar! Hoe kan je dan zelf verantwoording afleggen? En ik vind het ook zorgelijk dat er zo weinig datalekken gemeld worden door verwerkers. Ik zie dan ook graag een afspraak opgenomen dat de verwerker moet verklaren dat er geen datalekken geweest zijn die impact hebben gehad op de uitbestede verwerking.
Wat was het resultaat?
Het woord ‘verantwoorden’ is al gevallen. Er moet vastgesteld worden én aangetoond worden dat het beleid wordt nagekomen. In het beleid is aangegeven dat de uitkomst hiervan meegenomen wordt in de ‘in control’-verklaring van elk lid van het management. Hier worstelt een bedrijf vaak mee. Dat is heel begrijpelijk als je niet weet waar je gegevens zijn, welke risico’s er zijn en welke maatregelen getroffen moeten worden. Vaak heeft een bedrijf sowieso moeite met de interne beheersing en dat maakt het extra lastig om de verantwoording in te regelen. Met de voortgang van de DPIA’s worden ook de maatregelen helder die nodig zijn en kunnen controles ingeregeld worden die vaststellen dat de maatregelen effectief zijn. En ook de registraties in de registers worden beter en kunnen dienen als verantwoording. Ook hier geldt: stap voor stap wordt dit beter.
Tenslotte
Hierboven heb ik mijn ervaringen als privacydeskundige gedeeld. Elke bedrijf vraagt om een eigen aanpak die afhankelijk is van het huidig niveau van beheersen, de cultuur en de capaciteit. Beter een rustig tempo en iedereen meekrijgen. Dat biedt ook meer kans op het verinnerlijken en voorkomt dat over een paar jaar dit onderwerp opgepakt moet worden. Ik werk graag met een volwassenheidsmodel om de status quo en het groeipad te verduidelijken. Het maakt het tastbaar en behapbaar om de ontwikkeling door te maken.
Heeft u vragen of behoefte aan een afspraak?
Vragen? Neem gerust contact met ons op.