Route: Je maakt of wijzigt beleid

Voor iedere route heb je capaciteit en middelen nodig. Beslis dus op tijd over de aard en omvang hiervan.

Als manager ben je altijd verantwoordelijk voor de naleving van de AVG- en andere privacywet en -regelgeving in processen, en de manier waarop je organisatie dat doet (zie basisvoorwaarde 3). Toon daarom met documentatie en registratie aan dat de vereiste tussenstops zijn uitgevoerd en hoe.

De AVG verplicht ook dat je regelmatig de actualiteit van registraties, afgesloten overeenkomsten, risico's, maatregelen en de gemaakte afwegingen controleert. Je voert beheer over deze activiteiten volgens de Plan, Do, Check en Act (PDCA-)cyclus.

Controleer bij wijziging van beleid of dit invloed heeft op de gegevensverwerkingen: is de verwerking noodzakelijk, rechtmatig, doelmatig en proportioneel? Creëer zo nodig een grondslag in wetgeving.

Je mag ze niet een op een overnemen. Je kan de afwegingen van de originele proces/beleid wel gebruiken als vertrekpunt voor de afwegingen over de wijzigingen.

Transparantie over de verwerkingen bevordert het vertrouwen van burgers in de overheid, maar ook van medewerkers in hun werkgever. Leg het doel en de aard van de verwerking in het beleid transparant en duidelijk uit. Maak duidelijk hoe de overheid met die gegevens omgaat. Gebruik daarbij een gemakkelijk toegankelijke vorm en eenvoudige taal.

Transparantie over de verwerkingen bevordert het vertrouwen van burgers in de overheid, maar ook van medewerkers in hun werkgever. Leg het doel en de aard van de verwerking in het beleid transparant en duidelijk uit. Maak duidelijk hoe de overheid met die gegevens omgaat. Gebruik daarbij een gemakkelijk toegankelijke vorm en eenvoudige taal.

Doel en aard leg je uit in de toelichting bij beleid of een wetsvoorstel.

Leg de afwegingen over de beleidswijzigingen vast.

Voer een beleids- of wetgevings-DPIA uit in samenwerking met een multidisciplinair team waarin ook een burgerpanel of een klantenraad kan aansluiten. Leg de DPIA ter beoordeling voor aan de functionaris voor gegevensbescherming.

Bij het uitvoeren van een beleids- of wetgevings-DPIA vindt er een systematische, uitgebreide beoordeling plaats om te bepalen of de beoogde verwerking effect heeft op de bescherming van persoonsgegevens en mensenrechten. Daarnaast worden in de DPIA de maatregelen in kaart gebracht die je als manager moet nemen om de (kans op) risico’s te verkleinen die uit de verwerking van de persoonsgegevens voortvloeien. Een beleids- of wetgevings-DPIA kan het beste vanuit een multidisciplinair team opgesteld worden.

Afspraken over gegevensdeling met een derde partij moet stelselmatig zijn vastgelegd in een overeenkomst. Dat kan intern zijn, maar ook met een leverancier. Check op vaste momenten, bijvoorbeeld aan de hand van je PDCA-cyclus, of de bestaande afspraken nog up-to-date zijn. Pas ze zo nodig aan, eventueel met ondersteuning van een hulplijn.

Door afspraken vast te leggen kan je aan het publiek of de Toezichthouder aantonen dat je voldoet aan de AVG of juist waarom niet (comply or explain). Daarnaast heb je inzicht in en overzicht van de afspraken waar je verantwoordelijk voor bent en waar je dus op moet sturen.

Ja. Er kunnen onder andere afspraken worden gemaakt, bijvoorbeeld over de beveiligingsmaatregelen, bewaartermijnen en hoe te handelen bij datalekken. Er zijn verschillende typen overeenkomsten, afhankelijk van de relatie tussen de partijen en wie verantwoordelijk is. Rijksbreed zijn hier formats voor.

Verhoogde risico’s en regels kunnen van toepassing zijn wanneer je bijzondere persoonsgegevens wilt verwerken (zoals medische gegevens, etniciteit of politieke opvattingen), algoritmen wilt inzetten of persoonsgegevens van kinderen wilt verwerken. Ook bij cameratoezicht is er bijvoorbeeld sprake van een verhoogd risico.

De risico's bij het verwerken van persoonsgegevens variëren. Voor de persoon in kwestie kan het negatieve gevolgen hebben zoals uitsluiting, discriminatie, imagoschade of identiteitsfraude. Voor de overheid kunnen de gevolgen van een datalek reiken van imagoafbreuk tot financiële schade en onbruikbare systemen.

Maak een integrale afweging tussen de (publieke) waarden en doelen die je met dit proces wilt bereiken. Kijk of die in lijn zijn met maatschappelijke en morele verwachtingen ten aanzien van de overheid. Zijn er doelen en waarden die met elkaar conflicteren? Weeg dan de waarden en risico’s met elkaar af vanuit de verschillende perspectieven en onderbouw dit. Documenteer de uitkomsten van dit proces.

Vraag hiervoor advies bij een (chief) privacy-, security- of data officer, een ethicus en/of een privacy-technoloog. De functietitels kunnen soms verschillen per organisatie. Wat betreft de inhoud kan het bijvoorbeeld gaan om een security officer, inkoopadviseur of contractmanager. Informeer dus wie voor jou de deskundige is. De privacy governance van de organisatie geeft hier uitleg aan.

Mitigerende maatregelen zijn technische en organisatorische maatregelen die de kans op of impact van een risico verkleinen. Breng deze maatregelen in kaart om de veiligheid te waarborgen en risico’s voor de betrokkene in het beleid te beperken (mitigeren). Zo verklein je de kans op, of de impact van de geconstateerde risico’s. Ook vergroot je de kansen op het realiseren van je doelen bij het maken van een integrale afweging.

De manager is altijd verantwoordelijk voor de naleving van de AVG in beleid en kan die ook aantonen, zowel intern als extern. Idealiter is dit in de PDCA-cyclus opgenomen, zodat de inbedding van privacy in de organisatie optimaal en blijvend aantoonbaar is. Als manager moet je de naleving van AVG in beleid altijd via documentatie en registratie aantonen

Intern is de Functionaris Gegevensbescherming de toezichthouder voor de bescherming van persoonsgegevens in processen. Extern is de Autoriteit Persoonsgegevens (AP) de toezichthouder.

Vraag advies aan een privacy officer of –jurist, een security officer, en/of een functionaris gegevensbescherming. Let op: de functietitels kunnen soms verschillen per organisatie. Informeer dus wie voor jou de deskundige is. De privacy governance van de organisatie geeft hier uitleg aan.