Privacy Governance: redenen om te investeren in een privacy dreamteam

Privacy governance is het raamwerk waarin de positionering, rolverdeling en teamsamenstelling rondom privacy binnen een organisatie worden vastgesteld. Het zorgt ervoor dat verantwoordelijkheden duidelijk zijn belegd en dat privacyregels effectief worden nageleefd. Door te investeren in een privacy dreamteam versterk je de algehele privacy compliance en minimaliseer je risico’s.

Verder verwijst privacy governance naar de structuren, processen en culturen binnen een organisatie die zijn opgezet om de privacy van betrokkenen te waarborgen en ervoor te zorgen dat de organisatie voldoet aan privacywetgeving. Het implementeren van de Algemene Verordening Gegevensbescherming (AVG) is niet alleen een taak voor de Privacy Officer of voor de juridische afdeling. De AVG raakt namelijk alle onderdelen van een organisatie. Het opzetten van een goede privacy governance structuur betekent dan ook dat de taken en verantwoordelijkheden, die voortvloeien uit de AVG, in de gehele organisatie zijn geïmplementeerd.

In de huidige digitale wereld is privacy governance belangrijker dan ooit, zeker vanwege de eisen die de AVG stelt aan organisaties. In de praktijk zien we dat privacy compliance vooral wordt gezien als een juridische aangelegenheid. Veel organisaties beleggen deze taak dan ook bij de Functionaris Gegevensbescherming (FG) en de Privacy Officer. Het waarborgen van privacy gaat echter verder dan enkel juridische naleving – het is een organisatiebrede verantwoordelijkheid die diep geworteld moet zijn in de cultuur en structuur van een organisatie.

Henry Mintzberg, een gerenommeerde organisatiekundige, heeft een governancemodel ontwikkeld. In dit model onderscheidt hij de basisonderdelen van een organisatie onderscheidt: strategische top, middenkader, uitvoerende kern en de staf (advies en standaardisatie):

In deze blog beschrijven we hoe Mintzberg’s governancemodel kan helpen bij het effectief implementeren van privacy governance. We kijken naar de rol van verschillende organisatieonderdelen, van de strategische top tot de uitvoerende laag, en hoe zij gezamenlijk bijdragen aan AVG-compliance.

Waarom is het cruciaal voor AVG-compliance?

Zoals bekend, legt de AVG allerlei verplichtingen op aan organisaties. Om aan deze verplichtingen te voldoen, moet privacy governance op alle niveaus van de organisatie goed worden ingericht. Hier komt Mintzberg’s Governancemodel om de hoek kijken, omdat elk organisatieonderdeel een specifieke rol speelt in het naleven van de AVG. Onderstaand wordt de theorie van Mintzberg toegepast op de privacy governance van een organisatie.

1. Strategische top

De strategische top van een organisatie speelt een belangrijke rol in het vaststellen van de strategische richting voor privacy governance. De strategische top is in dit geval de Raad van Bestuur, College van B&W of de directie. Het is de verantwoordelijkheid van de strategische top om te zorgen dat privacy niet alleen wordt gezien als een juridische verplichting, maar ook als een strategisch doel dat de kern vormt van de organisatiecultuur en bedrijfsvoering. De top zal dan ook de missie en visie voor gegevensbescherming moeten vaststellen. Vervolgens is het de taak van de Functionaris Gegevensbescherming (FG) om deze missie en visie uit te dragen, om zo het privacy bewustzijn van de gehele organisatie te verhogen.

Het topmanagement heeft dus de sleutelrol in het creëren van een organisatiebreed draagvlak voor privacy en compliance met de AVG. Zonder de steun vanuit de top van een organisatie is het moeilijk om privacy governance effectief te implementeren.

2. Middenkader

Het middenkader (het MT) is verantwoordelijk voor het vertalen van de strategische richtlijnen van het topmanagement binnen de gehele organisatie. Om dit te bereiken zal het middenkader moeten zorgen voor de implementatie van gegevensbescherming binnen de uitvoerende laag. Daarover zal het middenkader vervolgens moeten rapporteren naar de strategische top. Ook is het middenkader verantwoordelijk voor het coördineren van de taken, die horen bij het implementeren van gegevensbescherming, binnen de verschillende afdelingen (uitvoerende laag) van de organisatie. Dit is dan ook waar privacy governance concreet vorm krijgt in de dagelijkse praktijk.

Het middenkader speelt een cruciale rol in de communicatie tussen het topmanagement en de uitvoerende kern. Het middenkader zal ervoor moeten zorgen dat medewerkers begrijpen hoe zij privacymaatregelen moeten toepassen en waarom deze belangrijk zijn voor de organisatie. In het kader van privacy governance speelt het middenkader dus een belangrijke rol in het vertalen van de missie en visie vanuit de top naar praktische maatregelen die breed gedragen worden door de organisatie. Hierbij kan het middenkader zich laten bijstaan door de staf.

3. Staf: control en ondersteuning

De staf bestaat enerzijds uit ‘control’ en anderzijds uit ‘ondersteuning (advies)’. Control en ondersteuning zijn twee aparte taakgebieden, maar in de praktijk lopen deze twee vaak door elkaar heen. De staf omvat in de praktijk de administratieve en ondersteunende functies binnen een organisatie, zoals HR, control, juridisch advies, en facilitair management. Hoewel deze afdelingen geen directe invloed hebben op het dagelijkse gebruik van persoonsgegevens, spelen zij toch een belangrijke rol in het waarborgen van compliance met de AVG.

Zo speelt de ondersteunende staf vaak een rol in het organiseren van trainingen, het bijhouden van beleidsdocumentatie en het ondersteunen van het middenkader bij de implementatie van privacymaatregelen. De Privacy Officer wordt dan ook vaak in dit organisatieonderdeel ondergebracht. Control adviseert vervolgens de uitvoerende laag, het middenkader en de top bij de implementatie van de door ‘advies’ ontwikkelde standaarden.

4. Uitvoerende laag

Het uitvoerende niveau bestaat uit de medewerkers die dagelijks de operationele processen uitvoeren. In het kader van privacy governance zijn deze medewerkers degenen die de meeste in aanraking komen met persoonsgegevens en dus een directe rol spelen in het naleven van de privacyregels.

De uitvoerende medewerkers verwerken persoonsgegevens en moeten zich houden aan de privacyrichtlijnen die door het middenkader zijn opgesteld. Dit betekent dat zij verantwoordelijk zijn voor de veilige opslag, verwerking en overdracht van persoonsgegevens. Medewerkers in de uitvoerende laag moeten op de hoogte zijn van hun verantwoordelijkheden onder de AVG en moeten trainingen en bewustwordingsprogramma’s volgen om compliant te blijven.

De betrokkenheid van de uitvoerende laag is essentieel voor het succes van privacy governance. Alleen wanneer medewerkers zich bewust zijn van hun verantwoordelijkheden met betrekking tot gegevensbescherming, kan een organisatie effectief voldoen aan de vereisten van de AVG.

Rollen

Om het privacy governance model te implementeren, is het van belang om de volgende rollen correct in te vullen:

FG (als onafhankelijke staffunctie): verantwoordelijk voor privacy bewustzijn. Daarnaast heeft de FG ook een adviserende rol en houdt toezicht op AVG-compliance binnen de gehele organisatie.
Privacy manager (Chief Privacy Officer): verantwoordelijk voor beleid en standaarden en is onderdeel van Control.
Privacy Officer: heeft een adviserende rol ten opzichte van het middenkader en de uitvoerende laag. De Privacy Officer is daarbij onderdeel van Ondersteuning.
Privacy beheerder: is opdrachtgever van de privacy coördinatoren om standaarden te implementeren. De privacy beheerder is onderdeel van het MT en rapporteert naar de top. De beheerder is verder verantwoordelijk voor het beheren van instrumenten zoals het register van verwerkingen en het incidentenregister.
Privacy coördinatoren (AVG-ambassadeurs): zijn onderdeel van de uitvoerende laag en hebben een signalerende functie. Denk bijvoorbeeld aan het signaleren van projecten waarvoor een DPIA nodig is.

Schematisch ziet dit er als volgt uit:

Conclusie: Privacy Governance als een organisatiebrede verantwoordelijkheid

Om compliant te zijn aan de AVG, moet privacy governance niet alleen op het juridische en technische niveau worden geregeld, maar ook in de gehele organisatie worden geïntegreerd. Het governance model van Mintzberg’s biedt waardevolle inzichten in hoe verschillende lagen binnen een organisatie bijdragen aan privacybescherming. Topmanagement, middenkader, de staf en ondersteunende laag spelen allemaal een belangrijke rol in het waarborgen van privacy compliance.

Een effectieve privacy governance-structuur vereist samenwerking tussen alle organisatieonderdelen, waarbij elke laag binnen de organisatie verantwoordelijkheid draagt voor het naleven van de privacyregels. Alleen wanneer privacy governance op alle niveaus wordt geïntegreerd, kan een organisatie voldoen aan de eisen die voortvloeien uit de AVG.

Heb je vragen over hoe je privacy governance binnen jouw organisatie implementeert? Neem dan contact met ons op. Wij kunnen je helpen bij het inrichten van een passende privacy governance structuur, die voldoet aan de AVG.

En wil je zélf aan de slag met het onderwerp ‘governance’ in jouw organisatie? Volg onze opleiding tot Senior Privacy Professional, waar we in een complete module aan de slag gaan met jouw organisatiesituatie.

Geschreven door Bart Koehorn, Privacy & IT-jurist.

Ook interessant:

Lees meer

#AVGJuridisch Advies

Is een commercieel belang voor het verzamelen, verwerken en delen van gegevens óók een gerechtvaardigd belang?

Met het arrest van 4 oktober 2024 heeft het Europees Hof van Justitie (het Hof) eindelijk duidelijkheid gegeven over de vraag of een commercieel belang ook een gerechtvaardigd belang kan zijn en voor eens en voor altijd een streep gehaald door de opvatting van de Autoriteit Persoonsgegevens (AP) dat een zuiver commercieel belang nóóit een gerechtvaardigd belang kan zijn. Betekent dit dat bedrijven massaal persoonsgegevens mogen verwerken omdat ze er geld mee kunnen verdienen? Kort gezegd: nee.

Lees meer

#AVGHackers en hacks

Een kans op het verwerken van persoonsgegevens, maakt je nog geen verwerker

Er bestaat een kans dat een pentester persoonsgegevens inziet, downloadt of vernietigt. Is deze ethische hacker een verwerker volgens de AVG? En moet er een verwerkersovereenkomst opgesteld worden?

Naam	Aanbieder	Doel	Vervaldatum
CookieConsent	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 jaar

Naam	Aanbieder	Doel	Vervaldatum
_ga	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	2 jaar
_gat	privacy1.nl	Gebruikt door Google Analytics om verzoeksnelheid te vertragen.	1 dag
_gid	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 dag
collect	google-analytics.com	Gebruikt om gegevens naar Google Analytics te versturen over het apparaat en het gedrag van de bezoeker.	Sessie