Privacy bewustzijn moet zich binnen organisaties los van de dagelijkse beslommeringen ontwikkelen. Dit bewustzijn begint bij de bestuurder want het gaat om veel meer dan alleen IT. Het gaat vooral om het creëren van de juiste awareness in de organisatie, juridische interpretatie, ketensamenwerking, rapportage en goede (IT) beveiliging. Dit kun je dan ook niet delegeren aan bijvoorbeeld een ICT-afdeling. Ook om het aanstellen van een functionaris gegevensbescherming of een data protection officer (ook als dit niet van uit de AVG verplicht is) kan een goed bestuurder niet meer heen.

Bestuurder moet voor Privacy bewustzijn zorgen

Veel organisaties nemen nog altijd een te afwachtende houding aan ten opzichte van de nieuwe privacywetgeving (AVG) die in mei 2018 in werking treedt. Er verandert wat en de vraag wat privacy eigenlijk is in de informatiesamenleving komt steeds meer op. Het wordt steeds ingewikkelder en misschien is er daardoor een achterstand in denken en doen. Er is werk aan de winkel. Als bestuurder moet je risicobewust en risico gestuurd omgaan met waar nu de risico’s in de bedrijfsvoering zitten. Er moet een cyclus op gang gebracht worden waarmee informatiebeveiliging structureel verbetert met een passende privacy bewustzijn. Heb je als bestuurder onvoldoende zicht op de impact van de nieuwe wetgeving begin dan al eens om een goede inventarisatie of privacy scan te (laten) maken. Hierdoor adresseer je al veel punten van de AVG en kun je waar nodig bijsturingsmaatregelen treffen.

Privacy bewustzijn en Data Protection Officer

Een van de punten is dat de organisatie goed (aantoonbaar) voorbereid moet zijn bij het ontstaan van datalekken. Datalekken zijn niet altijd te voorkomen, maar wat je wel kunt doen is zorgvuldig zijn en je privacy governance op orde brengen en houden. Hierdoor kun je in voorkomende situaties ook op meer coulance rekenen van de autoriteit persoonsgegevens.

Het aanstellen van een Data Protection Officer (DPO) of Privacy Officer kan hierbij een essentieel onderdeel zijn. Maak een aantoonbare afweging welke keuze hierbij gemaakt wordt. Ook als de keuze is om deze onafhankelijke rol niet in de organisatie in te vullen.

Data Protection Officer rapporteert aan Bestuurder

Is de keuze om deze rol/functie wel in te vullen zorg er dan voor dat deze ‘functionaris’ een onafhankelijke positie heeft en rechtstreeks door de bestuurder aangestuurd wordt. Hij is immers de belangrijkste adviseur voor de bestuurder ten aanzien van alles wat te maken heeft met privacy.

Geef als bestuurder de juiste aandacht aan privacy en geef het goede voorbeeld. Privacy bescherming in- en extern op orde hebben draagt immers ook bij aan een positief imago van de organisatie.