Organisatie

Privacy Programma Management

De Privacy Officer (PO) staat voor de uitdaging om binnen de organisatie Privacy Management in te richten en levend te houden.

Inrichten van Privacy Management in de staande organisatie vraagt meedenken en meedoen van iedereen. Een projectaanpak, waarbij een projectleider resources (mensen, middelen) uit de organisatie krijgt om daarmee op afstand, binnen een vaste tijdspanne, een vooraf beschreven product op te leveren en vervolgens dit product na afloop in de organisatie implementeert, is daarom niet passend.

Een meer passende aanpak is een programma, waarbij de organisatieleden zelf actief betrokken blijven bij de creatie van een samen steeds scherper te maken doel via logisch samenhangende acties en projecten. Een gedetailleerdere uitleg van de verschillen tussen project en programmamanagement vind je hier. Een verzameling van verandermodellen hier en een invulling van een programma-aanpak als multi-project hier.

De meest geĆ«igende aanpak hangt onder meer af van de voorkeuren en sterke en zwakke kanten van de Privacy Programma Manager, de cultuur van de organisatie, de ondersteuning die de privacy manager bij de diverse experts kan losweken, de ervaring die de organisatie met verandertrajecten heeft, de medewerking van het middle-management en de mate waarin “de top” Privacy Compliancy daadwerkelijk steunt met besluiten en middelen. Als het programma naar de mening van de organisatie voldoende resultaat heeft opgeleverd en de Privacy Management – processen in de “normale” bedrijfsvoering en monitoring zijn opgenomen, zal het programma stoppen. De PO gaat uiteraard verder met de uitvoering van het Privacy Management en het onderhoud van de gerealiseerde Privacy Management Systematiek.

De inrichting van het Privacy Management waar naartoe gewerkt wordt moet uiteraard minimaal kunnen garanderen dat de gehele organisatie aan de wettelijke Privacy eisen voldoet.

Plaats in de organisatie

De organisatorische ophanging van de Privacy Officer (PO) is een belangrijk punt van aandacht. Zit de PO vier lagen diep achteraf, dan is hij/zij geen serieuze gesprekspartner voor het hogere management en is de kans dat er een effectieve inrichting ontstaat klein. Zit hij/zij als adviseur toegevoegd aan de Raad van Bestuur dan kan hij/zij weer gaan “zweven” en de directie tegen zich vinden.

De PO zou bij een Audit-afdeling kunnen worden geplaatst, bij ICT, bij IS, bij een Juridische afdeling of bij Business Continuity. Deze plaatsing zal bijna automatisch betekenen dat de PO de “bril” overneemt van zijn/haar collegae en de afdelingsmanager, en dus ook de accenten in het werk op die manier gaat invullen. Gaat de PO ook de functie van FG op zich nemen EN dient hij/zij het Privacy Management tot en met de detail-proceswijzigingen in te richten, dan kan ook een situatie ontstaan waarin de FG “eigen vlees keurt”. In dat geval is het te overwegen om, voor de duur van de eerste inrichting, een Privacy Programma Manager aan te stellen, waarbij de zoektocht en het inwerken van de FG ook onderdeel is van het programma.

Als een organisatie gaat besluiten een PO aan te stellen, dan is het verstandig vooraf even stevig op directieniveau over de aanpak en organisatorische ophanging na te denken en voors en tegens open en bewust tegen elkaar af te wegen.

Taken

Het pad naar een ingericht management systeem voor Privacy Compliancy is maatwerk. Het thuishonk van de PO ook. Toch valt er wel globaal wel iets te zeggen over de bijdrage die afdelingen aan Privacy Management kunnen leveren.

Voorbeelden van bijdragen aan het Privacy Programma:

  • Communicatie: hulp bij de privacy-bewustwordingscampagnes in de organisatie.
  • Commercie & Marketing: meningen binnenbrengen en de Privacy bewustheid van de organisatie bij klanten uitdragen.
  • Business Continuity: opnemen privacy-risico’s in risico-analyse en de mitigatie van deze risico’s; privacy-breach “brandoefeningen” regelen.
  • Product Development: tijdig de PO inseinen (Privacy by Design, PIA).
  • Organisatie: tijdig de PO inseinen bij ontwikkelingen (PIA), de AO-maatregelen en beschrijvingen verrijken met Privacy aspecten. Inrichten processen voor Transparantie (opvragen gegevens, et cetera).
  • HRM: opnemen Privacy aspecten in huishoudelijk reglement, arbeidscontracten (vaste en tijdelijke), inwerkprogramma en beoordelingssystematiek opnemen; Privacy opleidingen inkopen.
  • ICT/IS: zie de pagina Techniek
  • FinanciĆ«n: regelen reservering of verzekering voor privacy gerelateerde calamiteiten.
  • Informatisering: standaard managementrapportages verrijken met Privacy aspecten; Privacy monitoring inrichten.
  • Inkoop: contracten met derden Privacy-proof maken; ingekochte diensten (cloudopslag = data-export?) Privacy-proof maken; bij inkoop ook PIA meenemen.
  • Facilitaire zaken: fysieke beveiliging Privacy-proof maken; telefooncentrale dimensioneren op telefoonverkeer bij calamiteiten, retentie-periode papieren dossiers Privacy-proof maken.
  • Middle Management: beschikbaar stellen tijd van experts bij inrichting en onderhoud.
  • Medewerkers: doorlopende aandacht voor Privacy.
  • Top Management: eindverantwoordelijkheid nemen: zeggen is doen.

Een daadwerkelijke Privacy Breach is de ultieme test van het draaiboek dat vooraf in overleg met Business Continuity is opgesteld. Als iedereen weet wat hij/zij moet doen bepaalt bijvoorbeeld een Jurist of de databreach wel PI betreft en wat de juridische consequenties zijn met betrekking tot aansprakelijkheid, geeft IS een inschatting van de grootte van de inbreuk, is duidelijk hoe en wie bepaalt of en voor hoe lang de systemen down gaan, zorgt Communicatie voor ondersteuning van de verantwoordelijke manager bij de externe communicatie, kunnen direct forensisch experts opgetrommeld worden om de bron te vinden, zijn de klant-contactgegevens ook nog beschikbaar voor de wettelijk verplichte melding nu de systemen op zwart staan, et cetera, et cetera.

 

Laat commentaar achter