Wat kan Functioneel Beheer betekenen voor de AVG?

donderdag 22 maart 2018

Het is bijna 25 mei! Dat is de datum waarop de algemene verordening gegevensbescherming in werking treedt. Velen hebben zich hierover gebogen, in eerste instantie IT-ers maar later ook juristen. Het lijkt erop dat er vooral ingezet wordt om op 25 mei 2018 alles geregeld te hebben en compliant te zijn aan de in werking tredende verordening. Onhaalbaar zegt iedereen, terwijl alle initiatieven er toch echt op gericht zijn de compliancy te regelen. Niet omdat de autoriteit persoonsgegevens anders boetes kan uitdelen, maar vooral omdat klanten die moeilijke vragen stellen over de omgang met hun persoonsgegevens ervoor kunnen zorgen dat er (te) veel negatieve pers ontstaat. Wat kan Functioneel Beheer hierin betekenen?

Actueel voorbeeld privacyschending

Een mooi actueel voorbeeld is het facebook-schandaal dat deze maand aan het licht kwam

Afgelopen weekend werd bekend dat accounts van 50 miljoen Facebookgebruikers zijn buitgemaakt door het databedrijf Cambridge Analytica. Dat bedrijf zou de data hebben ingezet om Donald Trump in 2016 te bevoordelen in de verkiezingsstrijd. Volgens een oud-medewerker van Cambridge Analytica werden de gegevens gebruikt om psychologische profielen op te stellen waarmee kiezers konden worden beïnvloed. Facebook schorste het bedrijf en sprak van een "onacceptabele schending" van het vertrouwen.

De publieke dialoog hierover bezorgt facebook aanzienlijk meer schade dan de boete die een overheid op kan leggen voor het schenden van de rechten van privacy. In een dag is de koers van facebook 9% gedaald en zijn al duizenden accounts opgezegd en verwijderd.

Functioneel Beheer en de bescherming van persoonsgegevens

Zo zijn er tal van vragen waarbij functioneel beheer een rol kan spelen in het omgaan met zaken rondom de bescherming van persoonsgegevens:

  • Is het de rol van functioneel beheer om ervoor te zorgen dat het opzeggen en verwijderen van accounts eenvoudiger kan gebeuren?
  • Is het de rol van functioneel beheer om het vertrouwen in facebook te herstellen?
  • Is het de rol van functioneel beheer om de persoonsgegevens achter de accounts (beter) te beschermen?

Toch is het resultaat van de zoekopdracht in Google met de woorden 'functioneel beheer en bescherming persoonsgegevens', teleurstellend. Een paar suggesties over hoe om te gaan met datalekken is het meest relevante resultaat, met dank aan functioneel-beheerder.com.

Welke rol zou functioneel beheer kunnen vervullen?

In mijn optiek is er een aantal taken die functioneel beheer moet vervullen in de queste van organisaties om de bescherming van persoonsgegevens van haar klanten en medewerkers te verbeteren. Het kan zich hierbij richten op het ondersteunen van de functionaris voor gegevensbescherming. Alleen voor deze functionaris kan functioneel beheer een aanzienlijke toegevoegde waarde leveren. Ik noem er hier drie, vanuit de taakbeschrijving van de functionaris voor gegevensbescherming van de AP (PDF).

Toezicht op naleving AVG

  • Het beschrijven van gegevensstromen in het verwerkingsregister;
  • Informatie verzamelen om verwerkingswerkzaamheden te identificeren;
  • Analyseren en controleren in hoeverre verwerkingswerkzaamheden aan de AVG voldoen;
  • De verantwoordelijke of de verwerker informeren, adviseren of aanbevelingen geven om eventuele misstanden te repareren en nog beter, te voorkomen.

De rol van functioneel beheer in de Privacy Impact Assessment (PIA)

  • Leveren van gevraagd en ongevraagd advies of er al dan niet een PIA uitgevoerd moet worden ;
  • Beschrijven van de waarborgen (technische en organisatorische maatregelen) die ingebouwd moeten worden om risico’s voor de rechten en belangen van betrokkenen te beperken;
  • Het uitvoeren van de PIA.

De rol van functioneel beheer bij het voeren van een ordentelijke administratie omtrent datalekken en incidenten

  • Helpen opstellen beleid rondom procedures datalekken;
  • Het registreren van datalekken en het bijhouden van een incidenten logboek;
  • Het voldoen aan de meldplicht datalekken.

Als organisatie is het natuurlijk lastig te voorkomen wat er in het illustrerende voorbeeld van Facebook gebeurt. Cybercrime is helaas niet meer weg te denken uit onze maatschappij en is een groeiende dreiging voor organisaties en daarmee ook voor de persoonsgegevens van klanten en medewerkers. De algemene verordening is mijns inziens daardoor een zeer welkome bijdrage aan het besef dat meer gedaan moet worden om beter om te gaan met de persoonsgegevens van de betrokkenen.

Het zouden de persoonsgegevens van jouw klanten maar zijn die op straat liggen!

Meer informatie over de rol van beheer voor de algemene verordening gegevensbescherming zal komende periode via blogs en andere publicaties beschikbaar gesteld worden. Abonneer je op dit blog als je daar meer over wilt weten.