Het is weer eens wat anders dan de welbekende slogan die we allen van Marilyn Monroe kennen (“diamonds are a girl's best friend”). Maar, in dit geval zeker waar. Net als dat je als vrouw schijnbaar diamanten nodig hebt, staat vast dat je als privacy officer - of Functionaris Gegevensbescherming (FG) - niet zonder de security officer of medewerker binnen je organisatie kunt. Waarom ik hiervan overtuigd ben? Lees snel verder!
Recentelijke aanwezigheid op een internationaal privacycongres bevestigde namelijk wat we allemaal als FG weleens hebben ondervonden: als eenzaam roepende in de organisatiewoestijn ga je er niet komen. Je hebt stakeholders nodig, en specifiek de security officer als je grote vriend. Waarom? Omdat de security officer vaak al een heleboel kennis heeft, waardoor jij niet zelf alles hoeft te ontdekken. Denk bijvoorbeeld aan het vaak al beschikbare overzicht van alle applicaties die worden gebruikt (handig voor je dataflow en verwerkingsregister). Daarnaast heeft de security officer inzage in welke beveiligingsmaatregelen er zijn (handig voor je verwerkingsregister, voor je verwerkersovereenkomsten en om te heroverwegen of het wel ‘passend’ is), tevens weet deze persoon hoe autorisaties zijn ingericht (yes, een goede inrichting kan nogal wat datalekken schelen!), hij of zij bekend is met de omgang met mailboxen en mappen van (ex-)medewerkers (ideaal voor je interne privacyverklaring en -beleid) en weet wat er technisch gezien wel/niet mogelijk is (hi, praktische invulling van privacy by design).
Maar, naast de security officer heb je natuurlijk meer stakeholders nodig om je vriendengroep mee te verrijken en zorgvuldige privacyomgang binnen je organisatie verder te implementeren. Wat te denken van de juridische afdeling/medewerker? Zij sluiten veelal de contracten met klanten, leveranciers en overige derde partijen. Hier vallen natuurlijk ook de verwerkersovereenkomsten onder, en wellicht kunnen ze je helpen met het reeds beoordelen van de locatie van de gecontracteerden (is het nodig om aanvullende passende waarborgen te treffen?). Of, de afdeling compliancy, die gewend is met omvangrijke en brede trajecten om te gaan, nieuwe wegen te bewandelen en een organisatie in lijn met wet- en regelgeving te laten functioneren? Allen onderdelen van je organisatie die je kunnen helpen met een deel van je takenpakket als FG.
Daarnaast is het handig om op iedere afdeling tenminste één gelijkgestemde te hebben. Privacybewustzijn is namelijk iets dat in de gehele organisatie zal moeten worden doorgevoerd, en je kunt als FG helaas niet overal tegelijk zijn. Daarnaast bevat ook jouw werkdag natuurlijk maar 8 uur. Dus, hoe zorg je ervoor dat je weet wat er speelt, mensen een oogje voor je in het zeil houden en je wellicht geïnteresseerden vindt om je te ondersteunen bij deze taken? Make some friends! Op naar het koffieapparaat en kijken wie er geïnteresseerd is in privacy, en je wellicht verder zou kunnen helpen.
Mocht je in je vriendengroep nou nog ruimte hebben voor een extra vriend, dan houden mijn collega’s en ik ons uiteraard graag aanbevolen. We weten namelijk wat je moet doorstaan ('been there, done that') en kunnen je als geen ander bij je privacytaken helpen. Samen kunnen we grijze gebieden opklaren, je ondersteunen met extra uitzoekwerk en vervelende klussen voor je uit handen nemen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.