Tijd te kort? Het takenpakket van een Privacy Officer (PO), functionaris gegevensbescherming (FG), Security Officer (SO) of CISO is uitgebreid. Een hoop losse compliance onderdelen komen samen binnen deze ene rol of rollen. In veel gevallen is de rol van Privacy of Security Officer een kwestie van “tikkie, jij bent ‘m” geweest, waarbij een van de bestaande collega’s deze rol erbij heeft gekregen voor 8 uur in de week. Dat leek genoeg in de opzet of projectfase, maar nu compliance meer en meer een vaste plek in de organisatie krijgt, blijkt deze 8 uur bij lange na niet genoeg te zijn. Wanneer wij bij opdrachtgevers vragen wat het grootste struikelblok is om compliance goed voor elkaar te krijgen is tijdsgebrek een veelgehoord antwoord. Zonde, vinden wij! Want compliance is een belangrijk onderdeel van de bedrijfsvoering waar genoeg aandacht aan besteedt moet worden om dit levend en geborgd te houden.

Keuzes maken

Door chronisch gebrek aan tijd moeten SO’s en PO’s een keuze maken. Wat doen we wel in de 8 uur die we voor compliance hebben, en wat laten we liggen of negeren we? Binnen deze tijd moeten alle datalekken en beveiligingsincidenten conform proces worden gemeld en opgelost. Daarbij moeten DPIA’s worden uitgevoerd, moet dataminimalisatie worden toegepast, naast het toepassen van dataclassificatie en bewaartermijnen. Veel te veel taken voor één dag in de week. Deze opzet beperkt compliance tot een ad-hoc project. Terwijl het doel juist is om compliance uit te laten groeien tot een volwaardig, langetermijnprogramma.

Verantwoordelijkheid verschuiven

Om weer grip te krijgen op compliance is een verschuiving van de verantwoordelijkheid nodig. Door deze voorzichtig richting proceseigenaren te verschuiven, kunnen zij verantwoordelijk worden voor hun eigen compliance vraagstukken binnen de eigen processen. De PO/SO wordt in dit scenario meer en meer een sparringpartner en adviseur. Proceseigenaren kunnen eigenaarschap en de verantwoordelijkheid krijgen voor het up-to-date houden van het verwerkingsregister voor hun proces, initiëren van DPIA’s bij wijzigingen, implementeren dataminimalisatie, houden bewaartermijnen in het oog en classificeren data aangezien zij het beste zicht hebben op risico’s binnen hun proces.

Terug in de regie

Door de verantwoordelijkheid voor compliance terug in de organisatie te leggen krijgt de CISO/FG/PO/SO meer ruimte om de rol als adviseur en sparringpartner aan te nemen, zoals het ook hoort. Daarbij komen ook nog overkoepelende taken zoals het onderhouden van bewustwording in de organisatie. Het verschuiven van verantwoordelijkheden naar de proceseigenaren geeft de PO/SO ruimte om de regie te nemen over het compliance programma.

Wanneer we de verantwoordelijkheid voor compliance naar proceseigenaren willen verschuiven, zullen we ze hierin moeten faciliteren.

Bron: Audittrail