De nieuwe FG / DPO: Het Privacy Jaarplan

De nieuwe FG / DPO: Het Privacy Jaarplan

Pix &| Evi is jouw partner in privacy en helpt nieuwe privacy professionals (FG’s / DPO’s) bij het opzetten van hun nieuwe functie. Zo leveren we bijvoorbeeld een privacy management softwarepakket met slim verwerkingsregister, incidentenregister en DPIA module. In onze wekelijkse blog besteden we aandacht aan een specifiek onderwerp om de nieuwe DPO of FG op weg te helpen in het volwassen worden van de organisatie op het gebied van privacy. Deze week besteden we aandacht aan het jaarplan.

De AVG vereist van jouw organisatie aantoonbaar aan de AVG voldoet. Voldoen aan de AVG is niet iets eenmaligs, dat bijvoorbeeld door een implementatietraject afgevinkt kan worden. Privacy vereist continue aandacht en verbeteringen.

Om te blijven voldoen aan de AVG is het daarom van belang om een privacy jaarplan op te stellen. Bijvoorbeeld over het intern toezichthouden, geven van training en het geven van advies. Een jaarplan kan natuurlijk uit meer onderdelen bestaan, maar door aandacht te schenken aan deze drie onderdelen krijg je een goede basis voor jouw eerste privacy jaarplan.

In het jaarplan hou je bij wat je per kwartaal hebt gedaan, wat de uitkomsten en “lessons learned” zijn, welke aanpassingen zijn gedaan en wat je de komende kwartalen gaat doen.

Intern toezicht

De Autoriteit Persoonsgegevens geeft aan dat een belangrijke taak van de FG is intern toezicht houden op het naleven van de AVG. Om dit te kunnen doen, kan de FG:

  • informatie verzamelen over gegevensverwerkingen binnen de organisatie (bijvoorbeeld met behulp van het Pix |& Evi verwerkingsregister en de DPIA applicatie);
  • deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen (bijvoorbeeld met behulp van het Pix |& Evi verwerkingsregister en de DPIA applicatie);
  • informatie, adviezen en aanbevelingen geven aan de organisatie.

Hoe vul je concreet de taak van intern toezicht in? Dat ligt allereerst aan de omvang en complexiteit van jouw organisatie. Kleine organisaties die relatief weinig gegevens verwerken kunnen op een andere manier hiermee omgaan dan grote complexe organisaties die veel persoonsgegevens verwerken. Voor die laatste categorie zijn de eigen zwaarder. Desalniettemin geven we hierbij een eerste opzet.

Verwerkingen

Een goed en slim verwerkingsregister, zoals dat van Pix |& Evi, helpt bij het in kaart brengen van alle verwerkingen en de mogelijke risico’s die uit de verwerkingen volgen. In het jaarplan kan je aandacht besteden aan het controleren van het verwerkingsregister. Per kwartaal kan je een aantal verwerkingen die zijn ingevoerd samen met de dataeigenaar of de gebruiker doornemen om te kijken of het register volledig en correct is ingevoerd en of de verwerkingen bijvoorbeeld in het privacy statement zijn genoemd. Samen kun je controleren of de verwerking niet toch met minder gegevens plaats kan vinden en of er wordt voldaan aan het vereiste van doelbinding. Ook kun je controleren of er voldoende technische en organisatorische maatregelen zijn genomen.

DPIA

Het Pix |& Evi verwerkingsregister is gekoppeld aan de DPIA module. Hierin wordt duidelijk welke verwerkingen een hoog risico opleveren voor de rechten en vrijheden van de betrokkenen. Als er een hoog risico is, dan moet er een DPIA uitgevoerd worden. Dat kan je gemakkelijk doen met de DPIA module van Pix |& Evi. In de DPIA wordt inzicht gegeven in de factoren die het risico verhogen en gekeken op welke manier de risico’s beheerst kunnen worden met technische of organisatorische maatregelen.

In het jaarplan kan je opnemen dat je per kwartaal een aantal verwerkingen waar een DPIA voor gedaan is controleert (bijvoorbeeld met de betrokken afdeling of dataeigenaar) om te kijken of de afwegingen in de DPIA nog juist zijn en of de maatregelen goed zijn geïmplementeerd. Daarnaast kan je bij een aantal verwerkingen opnieuw de pre-DPIA uitvoeren om te controleren of er veranderingen zijn waardoor een verwerking alsnog een hoog risico oplevert (en er dus alsnog een DPIA uitgevoerd moet worden).

Privacy statement

In het jaarplan is het verstandig om op te nemen dat het privacy statement regelmatig wordt gecontroleerd om te kijken of de betrokkenen nog volledig geïnformeerd worden. Dat kan van tijd tot tijd veranderen omdat jouw organisatie meer gegevens is gaan verwerken, andere verwerkers gebruikt, de gegevens voor andere doelen is gaan gebruiken et cetera. Door dit op te nemen in het jaarplan kan jouw organisatie aantoonbaar maken dat het privacy statement regelmatig wordt gecontroleerd en waar nodig wordt aangepast.

Privacy Policy

Een privacy policy is een levend document dat regelmatig moet worden gecontroleerd. Niet alleen de privacy policy zelf, maar ook de interne processen die daarin genoemd worden moeten worden gecontroleerd om te kijken of de betrokken afdelingen de persoonsgegevens nog conform de privacy policy worden verwerkt. Daarnaast is een controle op de privacy policy en de daarin genoemde processen een goed moment om te kijken of de processen aangepast moeten worden. Per kwartaal kan je de focus leggen op een andere betrokkenen (klant, werknemer of leverancier) of afdeling (HR, Sales, Marketing et cetera).

Training

Het is belangrijk dat de organisatie een volwassen privacy cultuur krijgt. Onderdeel daarvan is dat in ieder geval alle afdelingen die betrokken zijn bij de verwerking van persoonsgegevens regelmatig een training krijgen. Je kan daarbij nadenken over een cursus over privacy in het algemeen, datalekken, technische en organisatorische maatregelen, de rechten van betrokkenen en de interne processen en contactpersonen.

Door regelmatig aandacht te besteden aan privacy in de vorm van training zorg je er voor dat privacy top of mind blijft en dat de bewustwording voor de interne processen groot blijft door de gehele organisatie heen. Privacy is niet iets waar de FG of DPO zelfstandig verantwoordelijk voor is. Privacy is een onderwerp waar de gehele organisatie bij betrokken moet worden. Naast trainingen kan het helpen om bijvoorbeeld ook regelmatig een blog op intranet te zetten over privacy gerelateerde onderwerpen.

Advies

De FG of DPO moet advies en aanbevelingen geven over het gebruik van persoonsgegevens binnen de organisatie. Het jaarplan kan een handvat geven om gestructureerd over bepaalde onderwerpen na te denken en een advies of aanbeveling te geven. Uit het verwerkingsregister zou je kunnen opmaken welke verwerkingen een hoog risico opleveren. Dit kan een aanknooppunt zijn om over een bepaald onderwerp te adviseren. Daarnaast kan innovatie binnen de organisatie een advies of aanbeveling noodzakelijk maken.

Door bij te houden waar advies over gegeven wordt, wat er mee gedaan is en wat de lessons learned zijn, maak je voor bijvoorbeeld management inzichtelijk wat de risico’s zijn waar de organisatie tegen aanloopt en hoe de organisatie zich op privacy gebied ontwikkelt.

Opzet

Heb je interesse in een basis opzet voor een jaarplan? Neem dan gerust contact met ons op om een gratis model jaarplan te ontvangen.

Gerelateerde berichten