Tien geboden voor de FG Het is toegestaan
Tien geboden voor de FG Het is toegestaan om voor eigen gebruik foto’s te maken tijdens deze bijeenkomst. Foto’s mogen niet zonder toestemming van de afgebeelde deelnemers gepubliceerd worden.
Introductie • Gefeliciteerd, je bent FG! • Wat is nu eigenlijk jouw rol in de organisatie? • Die rol lichten we toe aan de hand van 10 geboden voor de FG • Doel: zorgen dat je in je rol blijft en de valkuilen vermijdt die je als FG zult tegenkomen • Doel voor IBD: Input voor factsheet ophalen
Het nut van tien geboden
Het eerste gebod Ik ben niet verantwoordelijk voor privacy
De FG heeft een toezichthoudende, adviserende en ondersteunende rol, maar: HET BESTUUR/MANAGEMENT IS PRIMAIR VERANTWOORDELIJK VOOR PRIVACY
Waarom is het bestuur verantwoordelijk? • Bestuur is verantwoordelijk voor de verwerking • Lijnmanager kan gemandateerd zijn als proceseigenaar • Bestuur moet eventuele restrisico’s accepteren
Valkuil 1 Als jij je als FG verantwoordelijk beschouwt voor privacy, wordt dat binnen de organisatie aangegrepen om privacy als ‘jouw ding’ te zien
Het tweede gebod Ik focus mij primair op risico’s voor betrokkenen
Waarom de focus op risico’s? • Risico’s voor betrokkenen moeten bekend zijn om persoonsgegevens op juiste manier te verwerken • Privacy vraagt regelmatig om een afweging van belangen. Welk belang weegt bij een bepaalde verwerking of proces zwaarder, waarom? • Uiteindelijk beslist de eigenaar van de te beschermen persoonsgegevens welke risico’s geaccepteerd worden! • Als een risico geen eigenaar heeft, wordt er ook geen maatregel getroffen
Valkuil 2 • De organisatie heeft de focus op risico’s voor de organisatie en ziet je als een verlengstuk van de burger
Het derde gebod Ik ben onafhankelijk
• Als FG moet je jouw rol als toezichthouder in onafhankelijkheid binnen de gemeente kunnen vervullen. Dit om te borgen dat je je taken als toezichthouder goed kunt uitoefenen voor betrokkenen en richting Autoriteit Persoonsgegevens. • De combinatie van deze rol met een andere functie is mogelijk, maar een lastige. De communicatie tussen vakgebieden is dan geregeld. De scheiding van functies niet. Bijv. : toezien op uitvoering beleid. • Als FG moet je je tot de hoogste leidinggevenden kunnen richten
Wat betekent die onafhankelijkheid • Als FG moet je een melding bij de AP doen als dat aan de orde is, ook al wil iemand dat niet. • Als FG ben je hét aanspreekpunt voor de burger en medewerkers: iedere betrokkenen. • Als FG moet je een directe rapportagelijn hebben naar • de gemeentesecretaris, als ambtelijk eindverantwoordelijke voor privacy • de privacy verantwoordelijke portefeuillehouder in het bestuur • Als FG moet je periodiek overleg hebben met deze eindverantwoordelijken • Wees ook een gesprekspartner voor het midden- en hoger manaement • In de rol van FG ben je in de lijnorganisatie aan niemand ondergeschikt • Vraag: Wat hebben jullie voor een relatie met de gemeenteraad?
Valkuil 3 Je laat je oordeel over de maatregelen afhangen van de vraag hoe dat oordeel je relatie met het management/bestuur kan beïnvloeden
Het vierde gebod Ik weet naar wie en hoe ik mij moet verantwoorden
• Als FG leg je jaarlijks verantwoording af aan het bestuur. Zorg dat je binnen het bestuur ook een actieve sponsor hebt, die je kan ondersteunen in de uitvoering van je functie • Zie voorbeeld jaarrapportage op www. informatiebeveiligingsdienst. nl Wie legt er eigenlijk verantwoording af aan wie? ?
Hoe moet verantwoordelijke zich verantwoorden? • Zorg dat privacy is ondergebracht in een continu proces (plan-do-check-act) • Als FG zie je voortdurend toe op de continuïteit van de PDCA-cyclus • Zie toe op de manier hoe een PIA wordt uitgevoerd, en de opvolging daarvan • Gebruik de uitkomsten van deze cyclus als basis voor de verantwoording • Sluit aan op de P&C-cyclus binnen de organisatie • Kies je verantwoordingsmoment in overleg met CISO en ENSIA-coördinator • Borgingsdocument op informatiebeveiligingsdienst. nl
Top Tien Tips 1. Kruip in de huid van je publiek; wat drijft hen? welke (persoonlijke) doelstellingen hebben ze? Haak daar op aan. 2. Wie zijn de stakeholders? Formeel en informeel. Wie zijn je sponsoren? Gebruik die. 3. Bedenk welk effect wil je bereiken en wat daarna? Moeten ze wat begrijpen of besluiten. Waarom wil je dat en welk gedrag/reactie wil je ontlokken? 4. Belangrijke vergaderingen bereid je goed voor. De bestuurder wil niet verrast worden. . . zorg dat de belangrijkste spelers al op de hoogte zijn. 5. Breng oplossingen, geen problemen.
6. Spreek de taal van je publiek. Voorkom vakjargon. 7. Rapporteer risico’s en laat het management die accepteren en accorderen. Maar maak de impact helder (juridisch, kosten, imago, . . ). 8. Zorg voor heldere rapportage en rapporteer vooral ook successen maar lieg nooit. Komt altijd boven. Bespreek wat ze nodig hebben. En altijd antwoord op de vraag: “hoe compliant zijn we? ” 9. Never waste a good crisis. Dus speel in op de actualiteit. Zowel die in als buiten het bedrijf. Hou rekening met onverwachte gebeurtenissen.
10. Kies de juiste woorden • https: //www. youtube. com/watch? time_continue=6&v=Hzgzim 5 m 7 o. U
Valkuil 4 Je krijgt geen aandacht voor privacy als je boodschap niet aansluit bij de belevingswereld van de ontvanger of doordat je het verkeerde moment kiest (geen aansluiting op P&C-cyclus = geen budget)
Het vijfde gebod Ik zie toe op borging van het privacybewustzijn binnen de organisatie
De mens is de zwakste schakel Leg een lijn met Personeelszaken om de verantwoordelijkheid van alle medewerkers in formele zin te borgen (procedure in en uit dienst, gedragscode, functionerings- en beoordelingsgesprekken) Het lijntje met communicatie is belangrijk om de bewustwording te bevorderen en te handhaven
Hoe borg je Privacybewustzijn? • Breng privacy dichtbij je collega’s • Kies voorbeelden die hen aanspreken, dan is de kans groter dat gewenst gedrag volgt • Probeer communicatie te koppelen aan actualiteit en belang medewerkers • Maak gebruik van landelijke bewustwordingscampagnes • Denk aan Alert. Online, Safe and Sound e. d. • Laat de communicatieadviseur in je gemeente jou ondersteunen bij het verspreiden van je boodschap • Gewoon een campagne kopen helpt niet • Zoek aansluiting bij de acties van de CISO op dit vlak • Contentbibliotheek is delen
Valkuil 5 Je ziet het bevorderen van privacybewustzijn als eenmalig aandachtspunt i. p. v. als een continue proces
Het zesde gebod Ik zie AVG en Privacybeleid als mijn basis
In het de AVG en het gemeentelijke privacybeleid zijn de normen vastgelegd. Normen worden vertaald naar/in werkprocessen Als FG zie je erop toe dat er voldoende maatregelen getroffen zijn om AVG compliant te zijn en de risico’s voor betrokkenen binnen de perken te houden
Belang van beleid • Het bevat de uitgangspunten voor privacy, in de vorm van: • Proportionalitietsbeginselen en zo • eisen m. b. t. de vertrouwelijkheid van informatie • Het bevat de kaders voor inrichting van de privacyorganisatie, in de vorm van: • functies • taken, bevoegdheden en verantwoordelijkheden
Valkuil 6 Het beleid wordt onvoldoende vertaald naar de werkvloer, waardoor het moeilijk wordt om toezicht te houden op concrete maatregelen Vraag: hoe doen jullie dit en welke producten horen daarbij?
Het zevende gebod Ik heb een brede blik op privacy
• Als FG zorg je voor de samenhang van privacy-maatregelen. Dat is de beleidskant. • Als FG zie je ook toe op de organisatorische en technische inrichting van privacy-maatregelen. Dat is de uitvoeringskant.
Wat betekent die brede blik? • Als FG moet je inzicht hebben in nieuwe en gewijzigde werkprocessen/verwerkingen • Als FG moet je inzicht hebben in de risico’s die in relatie tot de persoonsgegevens een rol spelen en de maatregelen die hier tegenover kunnen worden gesteld, in de vorm van: • Technische maatregelen, d. w. z. aan het informatiesysteem verbonden beveiligingsmaatregelen • Organisatorische maatregelen, in de vorm van beleid, procedures en afspraken • Je moet een afweging kunnen maken welke risico’s voor de betrokkenen met welke maatregelen worden gemitigeerd
Valkuil 7 Je bekijkt privacy te eenzijdig vanuit één perspectief of vanuit een te grote betrokkenheid bij het onderwerp Je wordt een zeurpiet, mensen gaan je ontwijken
Het achtste gebod Ik gebruik mijn netwerk om mijn rol optimaal te kunnen vervullen
• Als FG in een gemeentelijke organisatie heb je in elk geval 350 collega’s in andere gemeenten die ongeveer met dezelfde uitdagingen te maken hebben • Maak gebruik van de IBD Community • Organiseer regiobijeenkomsten en nodig de IBD daarbij uit • Onderhoud contact met Privacy-experts (ook buiten de gemeentelijke wereld)
Wie zijn de belangrijkste spelers binnen de gemeente? • Het bestuur • De lijnmanagers • Zij zijn verantwoordelijk voor de implementatie en naleving van beveiligingsmaatregelen in de lijnorganisatie • De gemeentesecretaris/algemeen directeur • Als eindverantwoordelijke voor de lijnorganisatie en de verbinding met het bestuur • De ENSIA-coördinator (als je dat niet zelf bent) • Een belangrijke partner bij de jaarlijkse verantwoording over privacy • De CISO • Een belangrijke partner bij het zorgen voor de juiste beveiligingsmaatregelen
Valkuil 8 Je onafhankelijkheid kan leiden tot een isolement binnen de organisatie
Het negende gebod Ik vertoon voorbeeldgedrag
Privacy-bewustzijn is voor iedereen belangrijk, maar voor de FG een bestaansvoorwaarde Voorbeeldgedrag wordt misschien niet altijd opgemerkt, maar slechte voorbeelden worden wel gezien Zorg dat je in de praktijk brengt wat je van de medewerkers verwacht (“practice what you preach”)
Hoe vertoon ik voorbeeldgedrag? • Door zorg te besteden aan je werkomgeving • Clear desk, clear screen • Door medewerkers aan te spreken op houding en gedrag in relatie tot privacy • Laat zien dat je afspraken in relatie tot privacy serieus neemt • Door het gesprek aan te gaan wat privacy in de functie van medewerkers betekent • Geef de risico’s aan die verbonden zijn aan het werken met persoonsgegevens
Valkuil 9 Gemakzucht staat in de weg van een professionele uitstraling, waardoor je in je rol van FG niet serieus genomen wordt
Het tiende gebod Ik Vertrouw op God maar zet mijn fiets op slot
1. 2. 3. 4. Belangenafweging Zorg dat je er op tijd bij bent Pick your battles Doel is risico’s voor betrokkenen dusdanig te mitigeren dat er een geaccepteerd rest-risico overblijft 5. Blijf nadenken
Hoezo geen 100% compliancy? • Een maatregel is altijd een compromis tussen de wens om risico’s uit te sluiten en het geld dat je hiervoor wilt uitgeven • Maximale bescherming is niet het uitgangspunt, het uitgangspunt is adequate bescherming van persoonsgegevens • Privacy by design
Valkuil 10 Je verliest aan geloofwaardigheid en overtuigingskracht omdat je de balans tussen maatregelen en kosten uit het oog verliest
De 10 geboden voor de FG 1. Ik ben niet verantwoordelijk voor privacy 2. Ik focus mij op risico’s voor betrokkenen 3. Ik ben onafhankelijk 4. Ik weet naar wie en hoe ik mij moet verantwoorden 5. Ik zie toe op borging van het privacybewustzijn binnen de organisatie 6. Ik zie AVG en Privacybeleid als mijn basis 7. Ik heb een brede blik op privacy 8. Ik gebruik mijn netwerk 9. Ik vertoon voorbeeldgedrag 10. Ik Vertrouw op God maar zet mijn fiets op slot
Vragen?
IBD Community • De kracht van het collectief • Samen met de gemeenten komen tot toepasbare handreikingen en producten voor gemeenten • Maak gebruik van de IBD Community om kennis te delen met je collega’s • De kracht van het collectief zit ook in jouw inbreng en betrokkenheid
https: //autoriteitpersoonsgegevens. nl/sites/default/files/atoms/files/richtlijnen_ fg. pdf Nassaulaan 12 2514 JS Den Haag CERT: 070 373 80 11 (9: 00 – 17: 00 ma – vr) CERT 24 x 7: Piketnummer (instructies via voicemail) info@IBDGemeenten. nl / incident@IBDGemeenten. nl
- Slides: 51