Leestijd: 4 minuten

Iedere vorm van organisatie vraagt om een effectieve besturing. Zonder een heldere verdeling van taken en verantwoordelijkheden krijg je onherroepelijk meerdere kapiteins op één schip. Of nog erger, belangrijke activiteiten blijven liggen omdat men denkt: daar zorgt iemand anders wel voor. Voor het beheren van je (persoons)gegevens is dat niet anders. Pas als iedereen weet wat van haar/hem verwacht wordt, en ook daarnaar handelt, is het realiseren van je datastrategie en het borgen van een verantwoorde omgang met persoonsgegevens mogelijk. Aandacht voor een goede inrichting en implementatie van de Data- en Privacy Governance is dan ook essentieel.

Wat betekent goede governance binnen jouw organisatie?

Hoe een goede governance er precies uitziet hangt sterk af van de omstandigheden binnen je organisatie. Belangrijke vragen om te beantwoorden zijn:

  • Hoe groot is het belang van betrouwbare stuurinformatie en (privacy)compliance voor onze organisatie? Wat kan er gebeuren als we het niet regelen; hoe erg is het als het fout gaat?
  • Wat is de omvang en complexiteit van onze organisatie en onze dataverzameling?
  • Vindt de verwerking van persoonsgegevens plaats in onze primaire bedrijfsprocessen, of alleen in de ondersteunende processen? En om hoeveel klanten/medewerkers gaat het?
  • Wat is de gevoeligheid/vertrouwelijkheid van de gegevens?

Over het algemeen geldt: hoe meer van deze omstandigheden zich voordoen, des te groter is het belang van een robuuste en goed geïmplementeerde governance.

Overeenkomsten (en verschillen) tussen Privacy Governance en Data Governance

De antwoorden die je op bovenstaande vragen hebt gegeven, zijn ook relevant voor de vraag in hoeverre het zaak is om je Privacy Governance en Data Governance op elkaar af te stemmen. Het is namelijk zo dat – net als bij je data- en privacybeleid – de nodige parallellen te trekken zijn tussen beide. Sterker nog: de inrichting van de een kun je vaak niet los zien van de inrichting van de ander. Deze parallellen zitten, in ieder geval, in de onderstaande vijf aspecten.

1. De business is verantwoordelijk

Alhoewel in beide vormen van governance gecentraliseerde rollen bestaan (zie hierna), is uiteindelijk ‘de business’ – dat wil zeggen: het bedrijfsonderdeel dat de betreffende (persoons)gegevens verwerkt – verantwoordelijk voor het realiseren van de gestelde doelen, of zou dat in ieder geval moeten zijn.

2. Overlap tussen rollen

Privacy Governance en Data Governance kennen allebei een aantal specifieke rollen, en ook daar zit een zeker vergelijk tussen. Hieronder zetten we de belangrijkste naast elkaar, met een korte opsomming van hun overeenkomsten en verschillen.

Privacy Governance rollen   Data Governance rollen
Chief Privacy Officer (al dan niet i.c.m. rol van Functionaris Gegevensbescherming/DPO)   Chief Data Officer
  • Eindverantwoordelijk voor voorbereiding, advisering en monitoring m.b.t. (implementatie van) privacybeleid
  • Voorzitter Data Protection Board
  • Beperkte besluitvormende verantwoordelijkheid
  • Rapporteert doorgaans aan hoogste bestuursorgaan (voor FG’s wettelijk verplicht)
  
  • Eindverantwoordelijk voor beleidsvoorbereiding, advisering en monitoring m.b.t. (implementatie van) datastrategie
  • Voorzitter Data Governance Board
  • Kan besluiten nemen t.b.v. uitvoering datastrategie
  • Rapporteert doorgaans aan hoogste bestuursorgaan
Privacy Officer   Data Manager
  • Centrale positionering onder CPO
  • Dagelijkse advisering van de organisatie m.b.t. implementatie privacybeleid
  
  • Centrale positionering onder CDO
  • Dagelijkse advisering van de organisatie m.b.t. implementatie datastrategie en datamanagementprocessen
  • Verantwoordelijk voor doorvertaling datastrategie naar werkprocessen
Proces Eigenaar   Data Eigenaar
  • Eindverantwoordelijk voor verwerking persoonsgegevens en privacybewustzijn binnen eigen organisatieonderdeel
  • Bekleedt doorgaans managementfunctieAd hoc (eventueel permanent) lid Data Protection Board
  
  • Eindverantwoordelijk voor kwaliteit van data-objecten die binnen eigen organisatieonderdeel worden beheerd
  • Bekleedt doorgaans managementfunctie
  • Eventueel lid Data Governance Board
Privacy Champion   Data Steward
  • Eerste aanspreekpunt voor privacy-aangelegenheden binnen eigen organisatieonderdeel
  • Verantwoordelijk voor doorvertaling privacybeleid naar werkprocessen binnen eigen organisatieonderdeel
  • Voert eventueel DPIA’s uit
  
  • Eerste aanspreekpunt voor datagerelateerde zaken binnen eigen organisatieonderdeel
  • Begeleidt en/of verzorgt operationele uitvoering van datamanagementprocessen binnen eigen organisatieonderdeel

Alhoewel iedere organisatie zijn eigen accenten en nuances zal leggen bij de invulling van de rollen, is duidelijk dat er belangrijke overeenkomsten zijn. Voor sommige rollen is het goed mogelijk om ze toe te bedelen aan dezelfde persoon, zoals de rol van Proces Eigenaar en Data Eigenaar, en wellicht ook die van Privacy Champion en Data Steward.

Voor de rollen op centraal niveau (Chief Privacy Officer/Chief Data Officer en Privacy Officer/Data Manager) is dat in mindere mate het geval, omdat de invulling van deze rollen specialistische kennis vereist. Toch is het raadzaam om deze rollen zowel fysiek als organisatorisch dicht bij elkaar te positioneren, omdat er de nodige overlap zit in de principes die ten grondslag liggen aan het data- en privacybeleid.

3. Een goede implementatie betekent een cultuurverandering

Voor zowel Privacy Governance als Data Governance geldt dat de inrichting op papier slechts het begin is. De daadwerkelijke transitie naar een datagedreven organisatie die op een verantwoorde manier omgaat met persoonsgegevens vereist een verandering van mindset. Daarvoor is het belangrijk dat iedereen die met (persoons)gegevens werkt niet alleen op de hoogte is van de principes die daarvoor gelden, maar ook handelt in de geest ervan, en zich bewust is van de impact van zijn handelen op anderen. Dit vraagt om goed verandermanagement, commitment vanuit de top van de organisatie en een lange adem.

Omdat beide governance-vormen gaan over de omgang met gegevens, is hier een groot synergievoordeel te behalen: door één veranderbeweging te maken van de implementatie, vermindert het risico op ‘verandermoeheid’.

4. Overeenkomsten tussen procedures

Onderdeel van een governance-structuur zijn procedures om veranderingen te begeleiden. Zo kent een goede Data Governance een data-changemanagementproces voor het beoordelen van wijzigingen van bestaande data-objecten door de Data Governance Board. Ook buigt de Data Protection Board zich over nieuwe en te wijzigen verwerkingen van persoonsgegevens. Omdat het in beide gevallen over veranderingen in de omgang met gegevens gaat, en er waarschijnlijk een overlap zit tussen degenen die bij de beoordeling daarvan zijn betrokken, ligt het voor de hand om de procedures niet te veel van elkaar te laten verschillen.

5. Tooling

Op het gebied van Data Management en Data Governance is de nodige tooling beschikbaar voor verschillende delen van het proces, denk bijvoorbeeld aan Collibra, Informatica en Tibco EBX. Deze tools bieden ook vaak ondersteuning voor specifieke onderdelen van Privacy Management, zoals verwerkingsregisters, workflows voor datalekken en het afhandelen van inzageverzoeken en dergelijke. Het is dus de moeite waard om te onderzoeken in hoeverre je als organisatie toekunt met één tool in plaats van verschillende tools voor Privacy Governance en Data Governance.

Conclusie

Privacy Governance en Data Governance zijn sterk met elkaar verweven en een holistische benadering is dan ook noodzakelijk. Een bestendige implementatie vraagt om governance die over en weer op elkaar is afgestemd. En mocht je de een al hebben geïmplementeerd, en je gaat met de ander aan de slag: onderzoek dan hoe je kunt aansluiten op de al bestaande structuren en werkwijzen om tot een snellere, effectievere en efficiëntere implementatie te komen.