1 / 51

Tien geboden voor de FG

Tien geboden voor de FG. Het is toegestaan om voor eigen gebruik foto’s te maken tijdens deze bijeenkomst. Foto’s mogen niet zonder toestemming van de afgebeelde deelnemers gepubliceerd worden. Gefeliciteerd, je bent FG! Wat is nu eigenlijk jouw rol in de organisatie ?

krichie
Download Presentation

Tien geboden voor de FG

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tien gebodenvoor de FG Het is toegestaan om voor eigen gebruik foto’s te maken tijdens deze bijeenkomst. Foto’s mogen niet zonder toestemming van de afgebeelde deelnemers gepubliceerd worden.

  2. Gefeliciteerd, je bent FG! Wat is nu eigenlijk jouw rol in de organisatie? Die rol lichten we toe aan de hand van 10 geboden voor de FG Doel: zorgen dat je in je rol blijft en de valkuilen vermijdt die je als FG zult tegenkomen Doel voor IBD: Input voor factsheet ophalen Introductie

  3. Het nut van tien geboden

  4. Het eerste gebod Ik ben niet verantwoordelijk voor privacy

  5. De FG heeft een toezichthoudende, adviserende en ondersteunende rol, maar: HET BESTUUR/MANAGEMENT IS PRIMAIR VERANTWOORDELIJK VOOR PRIVACY

  6. Bestuur is verantwoordelijk voor de verwerking Lijnmanager kan gemandateerd zijn als proceseigenaar Bestuur moet eventuele restrisico’s accepteren Waarom is het bestuur verantwoordelijk?

  7. Als jij je als FG verantwoordelijk beschouwt voor privacy, wordt dat binnen de organisatie aangegrepen om privacy als ‘jouw ding’ te zien Valkuil 1

  8. Het tweede gebod Ik focus mij primair op risico’s voor betrokkenen

  9. Risico’s voor betrokkenen moeten bekend zijn om persoonsgegevens op juiste manier te verwerken Privacy vraagt regelmatig om een afweging van belangen. Welk belang weegt bij een bepaalde verwerking of proces zwaarder, waarom? Uiteindelijk beslist de eigenaar van de te beschermen persoonsgegevens welke risico’s geaccepteerd worden! Als een risico geen eigenaar heeft, wordt er ook geen maatregel getroffen Waarom de focus op risico’s?

  10. De organisatie heeft de focus op risico’s voor de organisatie en ziet je als een verlengstuk van de burger Valkuil 2

  11. Ik ben onafhankelijk Het derde gebod

  12. Als FG moet je jouw rol als toezichthouder in onafhankelijkheid binnen de gemeente kunnen vervullen. Dit om te borgen dat je je taken als toezichthouder goed kunt uitoefenen voor betrokkenen en richting Autoriteit Persoonsgegevens. De combinatie van deze rol met een andere functie is mogelijk, maar een lastige. De communicatie tussen vakgebieden is dan geregeld. De scheiding van functies niet. Bijv.: toezien op uitvoering beleid. Als FG moet je je tot de hoogste leidinggevenden kunnen richten

  13. Als FG moet je een melding bij de AP doen als dat aan de orde is, ook al wil iemand dat niet. Als FG ben je hét aanspreekpunt voor de burger en medewerkers: iedere betrokkenen. Als FG moet je een directe rapportagelijn hebben naar de gemeentesecretaris, als ambtelijk eindverantwoordelijke voor privacy de privacy verantwoordelijke portefeuillehouder in het bestuur Als FG moet je periodiek overleg hebben met deze eindverantwoordelijken Wees ook een gesprekspartner voor het midden- en hoger manaement In de rol van FG ben je in de lijnorganisatie aan niemand ondergeschikt Vraag: Wat hebben jullie voor een relatie met de gemeenteraad? Wat betekent die onafhankelijkheid

  14. Je laat je oordeel over de maatregelen afhangen van de vraag hoe dat oordeel je relatie met het management/bestuur kan beïnvloeden Valkuil 3

  15. Het vierde gebod Ik weet naar wie en hoe ik mij moet verantwoorden

  16. Als FG leg je jaarlijks verantwoording af aan het bestuur. Zorg dat je binnen het bestuur ook een actieve sponsor hebt, die je kan ondersteunen in de uitvoering van je functie Zie voorbeeld jaarrapportage op www.informatiebeveiligingsdienst.nl Wie legt er eigenlijk verantwoording af aan wie??

  17. Zorg dat privacy is ondergebracht in een continu proces (plan-do-check-act) Als FG zie je voortdurend toe op de continuïteit van de PDCA-cyclus Zie toe op de manier hoe een PIA wordt uitgevoerd, en de opvolging daarvan Gebruik de uitkomsten van deze cyclus als basis voor de verantwoording Sluit aan op de P&C-cyclus binnen de organisatie Kies je verantwoordingsmoment in overleg met CISO en ENSIA-coördinator Borgingsdocument op informatiebeveiligingsdienst.nl Hoe moet verantwoordelijke zich verantwoorden?

  18. Kruip in de huid van je publiek; wat drijft hen? welke (persoonlijke) doelstellingen hebben ze? Haak daar op aan. Wie zijn de stakeholders? Formeel en informeel. Wie zijn je sponsoren? Gebruik die. Bedenk welk effect wil je bereiken en wat daarna? Moeten ze wat begrijpen of besluiten. Waarom wil je dat en welk gedrag/reactie wil je ontlokken? Belangrijke vergaderingen bereid je goed voor. De bestuurder wil niet verrast worden... zorg dat de belangrijkste spelers al op de hoogte zijn. Breng oplossingen, geen problemen. Top Tien Tips

  19. Spreek de taal van je publiek. Voorkom vakjargon. Rapporteer risico’s en laat het management die accepteren en accorderen. Maar maak de impact helder (juridisch, kosten, imago, ....). Zorg voor heldere rapportage en rapporteer vooral ook successen maar lieg nooit. Komt altijd boven. Bespreek wat ze nodig hebben.En altijd antwoord op de vraag: “hoe compliant zijn we?” Never waste a good crisis. Dus speel in op de actualiteit. Zowel die in als buiten het bedrijf.Hou rekening met onverwachte gebeurtenissen.

  20. https://www.youtube.com/watch?time_continue=6&v=Hzgzim5m7oU 10. Kies de juiste woorden

  21. Je krijgt geen aandacht voor privacy als je boodschap niet aansluit bij de belevingswereld van de ontvanger of doordat je het verkeerde moment kiest (geen aansluiting op P&C-cyclus = geen budget) Valkuil 4

  22. Het vijfde gebod Ik zie toe op borging van het privacybewustzijnbinnen de organisatie

  23. De mens is de zwakste schakel Leg een lijn met Personeelszaken om de verantwoordelijkheid van alle medewerkers in formele zin te borgen (procedure in en uit dienst, gedragscode, functionerings- en beoordelingsgesprekken) Het lijntje met communicatie is belangrijk om de bewustwording te bevorderen en te handhaven

  24. Breng privacy dichtbij je collega’s Kies voorbeelden die hen aanspreken, dan is de kans groter dat gewenst gedrag volgt Probeer communicatie te koppelen aan actualiteit en belang medewerkers Maak gebruik van landelijke bewustwordingscampagnes Denk aan AlertOnline, Safe and Sound e.d. Laat de communicatieadviseur in je gemeente jou ondersteunen bij het verspreiden van je boodschap Gewoon een campagne kopen helpt niet Zoek aansluiting bij de acties van de CISO op dit vlak Contentbibliotheek is delen delendelen Hoe borg je Privacybewustzijn?

  25. Je ziet het bevorderen van privacybewustzijnals een eenmalig aandachtspunt i.p.v. als een continue proces Valkuil 5

  26. Het zesde gebod Ik zie AVG en Privacybeleid als mijn basis

  27. In het de AVG en het gemeentelijke privacybeleidzijn de normen vastgelegd. Normen worden vertaald naar/in werkprocessen Als FG zie je erop toe dat er voldoende maatregelen getroffen zijn om AVG compliant te zijn en de risico’s voor betrokkenen binnen de perken te houden

  28. Het bevat de uitgangspunten voor privacy, in de vorm van: Proportionalitietsbeginselen en zo eisen m.b.t. de vertrouwelijkheid van informatie Het bevat de kaders voor inrichting van de privacyorganisatie, in de vorm van: functies taken, bevoegdheden en verantwoordelijkheden Belang van beleid

  29. Het beleid wordt onvoldoende vertaald naar de werkvloer, waardoor het moeilijk wordt om toezicht te houden op concrete maatregelen Vraag: hoe doen jullie dit en welke producten horen daarbij? Valkuil 6

  30. Het zevende gebod Ik heb een brede blik op privacy

  31. Als FG zorg je voor de samenhang van privacy-maatregelen. Dat is de beleidskant. Als FG zie je ook toe op de organisatorische en technische inrichting van privacy-maatregelen. Dat is de uitvoeringskant.

  32. Als FG moet je inzicht hebben in nieuwe en gewijzigde werkprocessen/verwerkingen Als FG moet je inzicht hebben in de risico’s die in relatie tot de persoonsgegevens een rol spelen en de maatregelen die hier tegenover kunnen worden gesteld, in de vorm van: Technische maatregelen, d.w.z. aan het informatiesysteem verbonden beveiligingsmaatregelen Organisatorische maatregelen, in de vorm van beleid, procedures en afspraken Je moet een afweging kunnen maken welke risico’s voor de betrokkenen met welke maatregelen worden gemitigeerd Wat betekent die brede blik?

  33. Je bekijkt privacy te eenzijdig vanuit één perspectief of vanuit een te grote betrokkenheid bij het onderwerp Je wordt een zeurpiet, mensen gaan je ontwijken Valkuil 7

  34. Het achtste gebod Ik gebruik mijn netwerk om mijn rol optimaal te kunnen vervullen

  35. Als FG in een gemeentelijke organisatie heb je in elk geval 350 collega’s in andere gemeenten die ongeveer met dezelfde uitdagingen te maken hebben Maak gebruik van de IBD Community Organiseer regiobijeenkomsten en nodig de IBD daarbij uit Onderhoud contact met Privacy-experts (ook buiten de gemeentelijke wereld)

  36. Het bestuur De lijnmanagers Zij zijn verantwoordelijk voor de implementatie en naleving van beveiligingsmaatregelen in de lijnorganisatie De gemeentesecretaris/algemeen directeur Als eindverantwoordelijke voor de lijnorganisatie en de verbinding met het bestuur De ENSIA-coördinator (als je dat niet zelf bent) Een belangrijke partner bij de jaarlijkse verantwoording over privacy De CISO Een belangrijke partner bij het zorgen voor de juiste beveiligingsmaatregelen Wie zijn de belangrijkste spelers binnen de gemeente?

  37. Je onafhankelijkheid kan leiden tot een isolement binnen de organisatie Valkuil 8

  38. Het negende gebod Ik vertoon voorbeeldgedrag

  39. Privacy-bewustzijn is voor iedereen belangrijk, maar voor de FG een bestaansvoorwaarde Voorbeeldgedrag wordt misschien niet altijd opgemerkt, maar slechte voorbeelden worden wel gezien Zorg dat je in de praktijk brengt wat je van de medewerkers verwacht (“practicewhatyoupreach”)

  40. Door zorg te besteden aan je werkomgeving Clear desk, clear screen Door medewerkers aan te spreken op houding en gedrag in relatie tot privacy Laat zien dat je afspraken in relatie tot privacy serieus neemt Door het gesprek aan te gaan wat privacy in de functie van medewerkers betekent Geef de risico’s aan die verbonden zijn aan het werken met persoonsgegevens Hoe vertoon ik voorbeeldgedrag?

  41. Gemakzucht staat in de weg van een professionele uitstraling, waardoor je in je rol van FG niet serieus genomen wordt Valkuil 9

  42. Het tiende gebod Ik Vertrouw op God maar zet mijn fiets op slot

  43. Belangenafweging Zorg dat je er op tijd bij bent Pick yourbattles Doel is risico’s voor betrokkenen dusdanig te mitigeren dat er een geaccepteerd rest-risico overblijft Blijf nadenken

  44. Een maatregel is altijd een compromis tussen de wens om risico’s uit te sluiten en het geld dat je hiervoor wilt uitgeven Maximale bescherming is niet het uitgangspunt, het uitgangspunt is adequate bescherming van persoonsgegevens Privacy by design Hoezo geen 100% compliancy?

  45. Je verliest aan geloofwaardigheid en overtuigingskracht omdat je de balans tussen maatregelen en kosten uit het oog verliest Valkuil 10

  46. De10 geboden voor de FG Ik ben niet verantwoordelijk voor privacy Ik focus mij op risico’s voor betrokkenen Ik ben onafhankelijk Ik weet naar wie en hoe ik mij moet verantwoorden Ik zie toe op borging van het privacybewustzijn binnen de organisatie 6. Ik zie AVG en Privacybeleidals mijn basis 7. Ik heb een brede blik op privacy 8. Ik gebruik mijn netwerk 9. Ik vertoon voorbeeldgedrag 10. Ik Vertrouw op God maar zet mijn fiets op slot

  47. Vragen?

  48. De kracht van het collectief Samen met de gemeenten komen tot toepasbare handreikingen en producten voor gemeenten Maak gebruik van de IBD Community om kennis te delen met je collega’s De kracht van het collectief zit ook in jouw inbreng en betrokkenheid IBD Community

More Related