‘Waak ervoor dat de FG-taak niet ondersneeuwt’

Dit was een van de conclusies op woensdag 8 mei jongstleden, toen ruim 50 Functionarissen Gegevensbescherming (FG) van verzekeraars en gevolmachtigden bijeenkwamen om ervaringen uit te wisselen over hun eerste jaar FG-schap onder de Algemene verordening gegevensbescherming (AVG).

De AVG is sinds 25 mei 2018 van kracht en zorgt ervoor dat in de hele EU dezelfde privacywetgeving geldt. Sprekers van het Nederlands Genootschap voor FG’s (NGFG) en het Nederlands Compliance Instituut (NCI) en twee FG’s uit de branche zorgden voor de nodige inspiratie en herkenning. Zo bleek dat veel FG’s met dezelfde issues worstelen met als belangrijkste uitdaging: neem niet de verantwoordelijkheden van een compliance officer over. Zo ontwikkelt een privacy officer de richtlijnen over de AVG, waar de FG simpelweg moet controleren of dit goed gebeurt. Deze controle komt voort uit het bekende ‘three lines of defence’ model: de eerste lijn is het business en senior management, de tweede lijn (risk management, compliance, en legal) adviseert, controleert en bewaakt en de derde lijn (vaak internal audit) ziet toe op het geheel aan maatregelen binnen een organisatie. Wat blijkt: veel verzekeraars kiezen voor een combinatie van het FG-schap met bestaande compliance-taken.

Maak gebruik van de aanwezige structuur

Een belangrijk tip van het NGFG volgde direct: maak bij een gecombineerde functie vooral gebruik van de aanwezige structuren en controlemechanismen. En houd vooral oog voor de verantwoordelijkheden van de FG-taak zodat deze niet ondersneeuwt. Tijdens de daaropvolgende Kahootquiz werd duidelijk dat bij veel organisaties het aantal te besteden uren aan privacy niet vastligt. En dat het aantal besteedde uren verschilt: ruim de helft van de aanwezigen houdt zich meer dan 1 dag per week bezig met privacy, de andere helft minder dan 10 uur per week. Dit resultaat hangt uiteraard samen met de grootte van het bedrijf.

Haak privacy tijdig aan

Vervolgens hield het NCI een gloedvol betoog waarin zij opriep om privacy en compliance een prominente plek te geven bij het vormgeven van de organisatiedoelen en vooral niet te beschouwen als een balie waar men aan het einde van de rit simpelweg een compliancestempel haalt. Vervolgens haalden twee verzekeraars praktijkvoorbeelden aan die op veel bijval en herkenning konden rekenen. Want hoe zorg je ervoor dat de AVG ‘levend’ blijft binnen de organisatie? En wel op zo’n manier dat het niet ondersneeuwt bij alle andere compliance-eisen? Zorg er in ieder geval voor dat FG onderdeel uitmaakt van de standaard compliance-cyclus en probeer te sturen op gedrag en cultuur en niet zozeer op regels. Het einde van de bijeenkomst werd afgesloten met mooi nieuws: het NGFG gaat, mede door de enorme toename van het aantal FG-functionarissen, een aparte sector ‘Financials’ opzetten om zo deze doelgroep beter te bedienen.