Chaos bij het ontbreken van privacy governance

28 september 2020

Burgers accepteren steeds minder en dienen vaker een klacht in bij de Autoriteit Persoonsgegevens. Privacy moet een structureel onderdeel zijn van je organisatie. Als de basis ontbreekt dan blijf je achter de feiten aanlopen. De basis zet je neer door het inrichten van een privacy governance.

Toegevoegde waarde van een privacy governance

Door het opzetten van een privacy governance zet je een structuur neer waarmee je rollen en verantwoordelijkheden op het gebied van privacy binnen je organisatie belegd. Denk hierbij aan vragen als.

Wie is verantwoordelijk voor het opstellen en bijhouden van het register van verwerkingen?
Wie moet ervoor zorgen dat een Data Protection Impact Assessment (DPIA) wordt uitgevoerd en de maatregelen die daaruit voortvloeien implementeert?
Wie zorgt er voor voldoende bewustwording en training?
En zo kun je nog wel even doorgaan.

Waar het op neerkomt is dat je voor alle essentiële onderdelen uit de AVG iemand verantwoordelijk maakt. Zo kan er strategisch op gestuurd worden en controle op uitgeoefend worden. Laat de privacy verantwoordelijken ook structureel rapporteren over de status ervan. Daarmee zorg je ervoor dat de principes uit de AVG worden geborgd binnen je organisatie en je structureel meters blijft maken.

Waarom dan een chaos?

Stel je eens voor dat niemand binnen de organisatie zich verantwoordelijk voelt om een DPIA uit te voeren. Of dat er op een onderwerp uit de AVG meerdere verantwoordelijken zijn vastgesteld en daardoor niet meer helder is wie waarvoor verantwoordelijk is. Dan ontstaat er ruimte om met de vingers naar elkaar te wijzen en gebeurt er vaak niets. Je kunt dan ook als bestuurder van de organisatie niemand aanspreken als bepaalde elementen uit de AVG niet op orde zijn of soms zelfs helemaal niet zijn opgepakt. De basis ontbreekt en vanwege gebrek aan afspraken gaat iedereen maar wat doen. Je creëert daarmee al snel losse eilandjes, dubbel werk, half werk, geen samenhang, kortom chaos.

Inrichten privacy governance

Hoe moet je al die losse eilandjes aan elkaar vast knopen, structuur en overzicht creëren? Dat doe je door te beginnen met het inrichten van een privacy governance en daarover goed te communiceren binnen je organisatie.

Terug naar het overzicht

Tobias van Oerle

Partner

tobias.van.oerle@mxi.nl

06 12 63 39 48

Heeft u de privacyrisico’s van uw gegevensverwerkingen in beeld? Weet u wanneer en op welke verwerkingen u de verplichte risico- en informatie-analyse moet uitvoeren?

Wij hebben verschillende privacy producten ontwikkeld om te zorgen dat u de juiste stappen zet om uw privacy op orde te krijgen en te houden.

Naar de privacy producten

Gerelateerde publicaties

DPIA’s doe je op een proces

02 oktober 2023

Publicaties

De DPIA is uitgevoerd en er zijn geen hoge risico’s. Wat fijn! Iedereen – de FG, privacy officer en proceseigenaar – haalt opgelucht adem. Totdat de privacy officer een paar weken later verontrustende vragen krijgt. “We hebben alle gegevens uit de applicatie ook in een Excel staan, moeten we daar iets mee?” en “Is er een bewaartermijn voor e-mails met gezondheidsgegevens?” Wat blijkt? Er is een DPIA uitgevoerd, maar deze is uitgevoerd op de applicatie. Het proces dat buiten de applicatie loopt, is niet meegenomen.

Lees verder

IT-storingen voorkomen met de lessen van de CrowdStrike-casus

21 oktober 2024

Blogs

Ziekenhuizen sluiten poliklinieken en spoedposten. Luchthavens kampen met enorme vertragingen. Streekvervoer in verschillende provincies rijdt niet omdat het contact met de alarmcentrale is verbroken. Veiligheidsregio’s zijn in rep en roer. Het hele betalingsverkeer in Australië ligt plat. En dat is slechts een greep uit de gevolgen van de CrowdStrike-storing van medio juli. Een korte storing, gelukkig, maar de financiële gevolgen waren enorm.