Wat doe je als RvC of RvT op het gebied van privacy?
De AP handreiking ‘De RvC of RvT en privacy: uw rol als toezichthouder’ samengevat in 300 woorden.
In deze handreiking, die gebruikt kan worden door toezichthouders van organisaties zowel met als zonder een FG, geeft de Autoriteit Persoonsgegevens tips voor de uitoefening van de rol van toezichthouder in relatie tot de beheersing van risico's op het gebied van privacy.
Het is van cruciaal belang dat er binnen de organisatie een sterke privacy cultuur heerst, zodat de klanten, cliënten, patiënten en medewerkers dat ook ervaren.
Hierbij geeft de AP een aantal handige vragen die een toezichthouder kan stellen om het gesprek aan te gaan met de leiding van de organisatie over hoe de organisatie omgaat met privacy.
Vraag 1: Geeft de organisatie genoeg invulling aan de FG-plicht?
Denk hierbij aan:
- eenvoudige toegang van de FG tot het hoogste leidinggevende niveau van de organisatie;
- vroegtijdige betrokkenheid bij (door)ontwikkeling van producten, diensten en organisatieontwikkelingen en;
- onafhankelijkheid van de FG.
De adviezen van de FG dienen niet alleen procesmatig te zijn maar ook inhoudelijk.
Denk tenslotte aan de leercyclus van de organisatie voor incidenten als datalekken, geconstateerde verbeterpunten, en de betrokkenheid daarbij van de FG.
Vraag 2: Hoe geeft de organisatie aantoonbaar invulling aan privacy?
Om deze vraag te kunnen beantwoorden kunnen de volgende deelvragen worden gesteld:
- Strekt de zorg voor medewerkers (en ook de klanten, cliënten of patiënten) zich uit tot en met de digitale wereld? Zo ja, waaruit blijkt dit?
- Hoe is het proces voor de identificatie en beperking van privacyrisico’s, waaronder datalekken, ingericht en gedocumenteerd, hoe wordt het uitgevoerd en hoe wordt daarover gerapporteerd?
- Hoe zijn privacyrisico’s van uw ketenpartners – zoals toeleveranciers – in beeld gebracht?
- Worden persoonsgegevens buiten de Europese Economische Ruimte (EER) verwerkt, zijn persoonsgegevens in te zien van buiten de EER en zo ja, gebeurt dit op een rechtmatige manier?
- Hoe transparant communiceert de organisatie over de verwerkingen van persoonsgegevens (bijvoorbeeld in de privacyverklaring en in jaarverslagen)?
- Welke persoonsgegevens verwerkt de organisatie precies, en heeft de organisatie een actueel verwerkingsregister?
- Zijn privacyrisico’s een onderdeel van de rapportages van de auditcommissie?
U kunt de vragen natuurlijk verfijnen, rekening houdend met de specifieke kenmerken en ontwikkelingen binnen uw sector.
Download de volledige tekst van de handreiking hier