Ik ben OK, want ik heb een contract met een FG

Uitbesteding is hot. De meeste organisaties richten zich graag op kernactiviteiten. Ik geloof allang niet meer dat organisaties geld willen besparen met uitbesteding, zeker nu de Cloud allerlei alternatieve vormen van uitbesteding biedt. Concentreren op activiteiten waar je goed in wil zijn is een prima reden om andere zaken uit te besteden. Maar er zijn activiteiten waar je zelf regie op moet houden. Helaas zie ook vaak de neiging om activiteiten die te ingewikkeld worden gevonden aan anderen over te laten.

Hoe ingewikkeld je security en gegevensbescherming ook vindt; je zult zelf ervaring en kennis op regie niveau in je organisatie beschikbaar moeten houden. Gegevens en informatie zijn essentieel voor de kernactiviteiten van de meeste organisaties. Je laten ontzorgen voor deze onderwerpen is prima; maar je blijft zelf verantwoordelijk en in staat de regie te voeren.

De Autoriteit Persoonsgegevens (AP) zette de aanstelling van een Functionaris Gegevensbescherming (FG) al snel op de prioriteitenlijst in haar toezicht programma. Gelet op de krapte op de huidige arbeidsmarkt en het feit dat de rol van FG vaak parttime wordt ingevuld ligt samenwerking of uitbesteding van de complexe rol van FG voor de hand. Zeker voor middelgrote en kleinere organisaties. De nieuwe dienst ‘FG-as-a-Service’ maakt daarom een snelle groei door!

In ons Conclusion ecosysteem van bedrijven hebben wij voor samenwerking gekozen. Een federatieve FG-as-a-service met aandacht voor de risico’s van deze oplossing. Bijvoorbeeld door voldoende mandaat en duidelijke verantwoordelijkheden met alle partijen af te spreken. De service moet ook continue beschikbaar, laagdrempelig en betaalbaar zijn. Je moet doorlopend gevoel houden bij de activiteiten van de deelnemende organisaties. En vragen en meldingen niet te laat binnenkrijgen omdat toestemming voor het betalen van een uurtarief voor deze ondersteuning vertragend of belemmerend werkt.
Deze risico’s moeten ook geadresseerd worden bij uitbesteding; ‘FG-as-a-Service’. Veel partijen zetten deze dienstverlening primair in de markt als een juridische dienst. Voor strikt juridische vragen en beoordelingen van bijvoorbeeld verwerkersovereenkomsten is er niet veel nieuws onder de zon. Maar bescherming van persoonsgegevens gaat veel verder. Bij het beoordelen van een gegevensbeschermingseffectbeoordeling (DPIA) of de kwaliteit van het register van verwerkingsactiviteiten is ook veel kennis van de bedrijfsprocessen, portfolio en IT-security nodig. 

Een op juridisch AVG-aspecten gerichte ‘FG-as-a-Service’-partij heeft natuurlijk toegevoegde waarde door brede- en actuele kennis over wet- en regelgeving. Maar niet altijd genoeg affiniteit met IT-Security. Gelukkig werken deze juristen steeds vaker samen met IT-dienstverleners die op hun beurt weer voldoende affiniteit met wet- en regelgeving hebben. Samen kunnen ze de ‘FG-as-a-Service’-rol goed invullen.

Een mooi uitbestedingsmodel; de verantwoordelijke van de organisatie regelt met zijn interne FG-regisseur en de ‘FG-as-a-Service’ partijen de organisatorische, juridische en IT-Security aspecten rond bescherming van persoonsgegevens.
Kennis en ervaring van security en gegevensbescherming kun je prima inkopen, zeker als het gaat om verbeteractiviteiten. Maar je moet zelf voldoende capaciteit beschikbaar houdt om deze complexe onderwerpen te vertalen in maatregelen die passen bij je organisatie. Die regie is essentieel voor de verantwoordelijke en de ‘FG-as-a-service’-leveranciers om bescherming van persoonsgegevens goed in te richten. Zeker als het gaat om doorlopende ondersteuning en toezicht als FG!   

Kijk dus nog een keer goed; heb ik de regie voor elkaar? Ben ik echt OK met mijn gecontracteerde FG?