Print:

Sfeerimpressie: Dag van de Privacy Officer 2016

Roswitha Talen, Consultant Legal & Compliance

LinkedIn profiel

Wat doe jij wanneer je in een kamer staat met een tijger? Vluchten, klein maken of misschien voeren? Of blijf je de tijger recht aankijken? Vergelijk de Algemene Verordening Gegevensbescherming eens met een tijger, wat doe je dan? Kijk je de AVG aan? Een tijger houdt er niet van om recht aangekeken te worden.

Woensdag en donderdag was Riskworld, als partner van IIR, aanwezig op het congres “De Dag van de Privacy Officer” in Amsterdam, georganiseerd door IIR. Een uitgebalanceerd programma, verdeeld over twee dagen. Graag neem ik je mee in een terugblik op dit goed georganiseerde event. Woensdag 9 november 2016 werd middels een video afgetrapt door Sophie in ’t Veld, lid van het Europees Parlement voor D66. Haar betrokkenheid bij privacyvraagstukken is ronduit groot en een aantal columns van haar hand worden na afloop van het congres aan ons verzonden.

‘Nine eleven’, of in dit geval ‘eleven nine’, is de dag dat Trump is verkozen als 45e president van de Verenigde Staten. Het is dus niet zo verwonderlijk dat Frederieke van der Jagt (Senior Legal Counsel Privacy bij AVG) haar presentatie start met een aantal quotes van Trumps en Clintons ideeën over privacy. Frederieke nam ons mee in de actualiteiten van privacy. Het EU/US Privacy Shield – als vervanger van het Safe Harbor-verdrag – komt aan bod. Ook al is de wet pas sinds 12 juli dit jaar van kracht, er is al beroep ingesteld door Digital Rights Ireland (T-670/16). Ook de nieuwe voorzitter van de Autoriteit Persoonsgegevens (AP), Aleid Wolfsen, passeert de revue en er worden een aantal zaken die nu.nl behaald hebben, besproken. Onder meer het datalek van de Belastingdienst, Isala en de gemeente Almelo.

“Als er een dreiging is, of er gebeurt iets, dan hebben we geen problemen met privacy. Als het goed gaat, dan wil niemand dat we ergens inzage in hebben.”

Vervolgens is het aan Jean Paul van Schoonhoven, nu privacy officer (DPO) bij PostNL, voorheen werkzaam bij AP. Hij vangt zijn verhaal aan met het voorbeeld van de (papieren) tijger (nee, dat had ik niet zelf verzonnen). Hij neemt ons mee in de wereld van de privacy officer en behandelt onder meer de positie van de DPO, leiderschap, in- of outsourcing, de leerstadia van Maslow en de valkuilen van een DPO. Een van de tips die hij de privacy officers meegeeft is: bied een alternatief, als je ‘nee’ moet zeggen. Creëer voldoende draagvlak en neem niet teveel ownership, dan verandert de organisatie langzaam in een data fitte organisatie.

Dag van de Privacy Officer 2016 IIR

“Hoe kom je van een Data Protection Officer af? Door geen persoonsgegevens te verwerken!”

Aansluitend aan de pauze is het de beurt aan Frederike Stikkelbroeck en Nynke Wisman van Akzo Nobel om te vertellen hoe zij privacy hebben ingericht in een internationale organisatie. Zij behandelen onder meer de rol en positie van de DPO binnen een internationale organisatie en laten een organigram zien. Ze stippen de Binding Corporate Rules (BCR) en het Privacy Shield aan. Een uitdaging is volgens de dames de erkenning van het belang van een DPO en zicht houden op wat er decentraal/lokaal gebeurt.

“Doorgifte naar US? Als partij gecertificeerd is volgens het Privacy Shield, ga dan maar met ze in zee.”

Dan is het tijd voor een paneldiscussie. Wolfje Mijnders (gemeente Veenendaal), Marel Rietman (ING), Rachel Marbus (KPN) en Jeanne Jacobs-Gilhuis (Schiphol) mogen vertellen over hun werkzaamheden in het bedrijfsleven en de publieke sector. Om iets te willen bereiken op het gebied van privacy is het van belang dat er personele bezetting is en commitment van bovenaf. Maar waar te beginnen? Begin bij het privacy statement (lijkt laaghangend fruit). De gehele wet moet eigenlijk in je privacy statement staan, maar de klant moet het ook nog begrijpen. En gaat de klant het lezen? ING test bijvoorbeeld bij de klant of de privacy statement werkt en of de klant het begrijpt.

Vervolgens maak je een inventarisatie van alle documenten die je in huis hebt. Wat hebben we aan persoonsgegevens en wat zijn de regels? Daarnaast is het belangrijk om aandacht te schenken aan awareness. Medewerkers moeten weten dat ze niet ‘zomaar’ een Excel-bestand vol gegevens kunnen versturen naar een leverancier. De gemeente Veenendaal speelt af en toe ‘Wie is de Mol?’ en stuurt een phishingmail rond, om te observeren hoeveel mensen op een link klikken die niet te vertrouwen is.

Na een uitgebreide lunch moeten we keuzes maken. Ik kies voor de documentatieplicht van Niels Westerlaken van Project Moore, maar had ook kunnen kiezen voor Saskia Laaper, Privacy adviseur bij de Nationale Politie. Zij had mij meer kunnen vertellen over gegevensuitwisseling. Niels behandelt met ons in sneltreinvaart de interne documentatieplicht en geeft antwoord op de vragen welke informatie een DPO moet vastleggen en op welke manier hij dit kan doen. Niels had maar een half uurtje om ons bij te praten, en mijns inziens was dit eigenlijk te kort. Maar de volgende keuze stond alweer op het programma: Communicatie door Anne-Martine Koetsier van T-Mobile of de Privacy Impact Assessment (PIA) door Theo van der Vleut van Alliander. Ik wil iets meer weten over de PIA en kies voor Theo. Hij behandelt de (verplichte) PIA onder de nieuwe AVG en het invoeren van privacy management. De PIA kan onder meer gebruikt worden bij nieuwe technologieën. Dat is ook een manier om in gesprek te gaan en kritische vragen te stellen. Theo refereert ook nog even aan de documentatieplicht: de informatie die vergaard wordt middels een PIA is de informatie die je nodig hebt voor het opstellen van een register.

Daarna is het tijd voor de ronde tafels. Ik kies als eerste rondetafel 3: Privacy als onderdeel van ICT/systemen. Dit was interessant en vanaf nu zal ik de beveiligingsupdate van mijn computer altijd meteen installeren in plaats van het dertien keer uit te stellen omdat het niet uitkomt. Vervolgens sluit ik aan bij rondetafel 1: Hoe krijgt u als PO draagvlak voor uw beleid? Daar leren we dat de boetebevoegdheid van de AP geen ‘unique selling point’ is. Als laatste kies ik voor rondetafel 2: Privacy als onderdeel van (werk)processen. Ik hoor dat sommige bedrijven een webpagina ‘onder water hebben staan’ voor het geval er een inbreuk is en deze pagina diezelfde dag nog online komt om betrokkenen te informeren.

Het laatste onderdeel van de dag is de Key-note. Maria Genova, auteur van het boek ‘Komt een vrouw bij de hacker’ – waar we allemaal een gesigneerd exemplaar van meekrijgen – vertelt op een enthousiaste en toegankelijke manier over hackers, phishing mails, sterke wachtwoorden en online informatie. Eenmaal thuis zal ik meteen mijn wachtwoorden veranderen, sla ik mijn wachtwoorden niet automatisch op, verwijder ik mijn gescande paspoort van mijn computer en installeer ik de laatste update van mijn besturingssysteem.

Vervolgens is het aan Rob Raven om ons bij te praten over blockchain, bitcoins en de impact op society. Het is een ver-van-mijn-bed-show, maar Rob weet het op een toegankelijke en duidelijke manier uit te leggen.

Al met al een overvolle maar geslaagde dag en in de trein terug naar huis begin ik vast in ‘Komt een vrouw bij de hacker’.

Dag 2

van de Dag van de Privacy Officer is bestempeld als workshopdag en start ik met een sessie ‘Succesvol beleid’ van Bart Witteman, Senior Manager bij Deloitte. Hij leert ons dat de optimale privacy organisatie wordt gevormd door de combinatie van governance, beleidsmaatregelen en procedures, technologie en mensen. Het is belangrijk om te kijken naar de organisatie en de context van de organisatie: strategie. Ondersteuning van Deloitte bij het inrichten van privacy heb je al vanaf €35.000.

Na de pauze vervolgt Danielle Adams de sessie ‘Succesvol beleid’. Op geheel eigen wijze brengt zij ons bij hoe zij privacy heeft ingericht bij Vebego. Met recht de beste presentatie van de dag! Ze vertelt ons waar zij tegenaan is gelopen en hoe zij het heeft opgepakt. Als privacy officer kun je niet zelf verantwoording nemen, je moet de verantwoording ook bij anderen neerleggen. Om privacy goed te kunnen inregelen, start je met informeren, overal mensen informeren. Danielle heeft in het hele bedrijf presentaties gegeven, om mensen te overtuigen om iets met privacy ‘te doen’. Vervolgens heeft ze de vraag gesteld hoe ze als bedrijf willen omgaan met privacy. Met vragen over budget, tijd en score. Ze leert ons dat je niet een 10 kunt scoren op alle onderdelen van privacy. Soms is een 6 ook voldoende. Daarna is ze een beleid op gaan stellen, met daarin specifieke kenmerken voor de organisatie. Danielle staat open voor alle vragen vanuit de organisatie. Ze plaatst alle gestelde vragen (FAQ) op sharepoint, zodat veel informatie duidelijk is voor de medewerkers. Een kleine laagdrempelige mogelijkheid om mensen aware te maken, leren we ook van haar: een pop-up maken in de e-mail. Wanneer medewerkers persoonsgegevens willen versturen per e-mail, verschijnt er een bericht dat deze e-mail conform de privacywetgeving niet handig is om te versturen. Op deze manier maakt een werknemer steeds bewuster gebruik van e-mail.

“Niet iedereen hoeft in de cc bij een e-mail”

Bij de volgende twee sessies had ik keuzestress: ‘Bewerkerscontracten’ of ‘Privacy by design’? ‘Privacy by design’ was opgedeeld in twee sessies. Na lang wikken en wegen heb ik besloten om de eerste sessie ‘Privacy by design’ bij te wonen en vervolgens aan te sluiten bij de sessie waarbij de omgang met de nationale toezichthouder wordt besproken.

Frank van Vonderen, consultant bij Verdonck, Klooster & Associates, staat midden in de modder voor wat betreft privacy. Hij legt ons uit dat Privacy by Design als standaard moet worden ingevoerd in de bedrijfsvoering en ICT. Privacy by Design houdt in dat je als organisatie al tijdens de ontwikkeling van producten en diensten ten eerste aandacht besteedt aan privacy verhogende maatregelen. Ten tweede houd je rekening met dataminimalisatie; zo min mogelijk gegevens verwerken. Stel de vraag: welke informatie heb je nu eigenlijk nodig? Heel veel informatie is niet noodzakelijk. En daarna: wanneer gooi je informatie weg? En als je het weggooit, is het dan ook écht weg? En hoeveel kopieën zijn er? Denk aan e-mail, DMS, Sharepoint, Netwerkschijven. Is dat allemaal noodzakelijk? Ik had zelf nog veel meer van Frank willen horen, maar de volgende sessie diende zich aan: Jeroen Jongelen en Marloes Koppelaars-Stubbe van KPN stonden te popelen om ons meer te vertellen over de nationale toezichthouder.

“Ik ken geen enkel vakgebied dat zo veeleisend is en tegelijkertijd zo onduidelijk”

Wat gebeurt er als de AP langskomt? Wat kunnen ze en wat mogen ze? De AP heeft verregaande bevoegdheden, maar niet onbeperkt. Ze mogen onder meer alle bedrijfsruimten, terreinen en vervoersmiddelen betreden. Boeken en bescheiden inzien en kopieën maken. Maar ze mogen geen toegang tot ruimten of dossierkasten forceren of dossierkasten doorzoeken zonder toestemming. Een ieder wordt verplicht om mee te werken en zelfs de hulp van de politie kan worden ingeroepen. Vaak kondigt de AP een onderzoek aan na een inlichtingenverzoek. Aan de hand van dat onderzoek wordt een rapport opgesteld. Onderzoeken lopen via een vast patroon:

  1. Persbericht/blog;
  2. Informatieverzoek;
  3. Aankondiging onderzoek;
  4. Eén of meer bezoeken;
  5. Aanvullende vragen;
  6. Rapport voorlopige bevindingen;
  7. Zienswijze en aanpassen;
  8. Definitief rapport.

De AP verwacht dat de conclusies, gesteld in het definitieve rapport, worden doorgetrokken naar de rest van de organisatie. Breng in kaart wat de lessen zijn uit het onderzoek en implementeer deze in de business.

“Never let a good crisis go to waste”

Tijd voor de laatste sessie: ‘Security voor DPO’s’ of ‘DPO en internationaal beleid/organisatie’. Daar ik op het gebied van beveiliging nog heel wat te leren heb, heb ik de sessie over security bijgewoond. Deze zou in eerste instantie worden gegeven door David Vaartjes, maar helaas was hij afwezig. Dagvoorzitter Peter van Schelven heeft naar eigen zeggen een sessie ‘geïmproviseerd’. En ook al was deze sessie het laatste onderdeel van deze wederom lange dag, hij wist ons toch te boeien met zijn verhaal over security.

We sluiten de dag plenair af en na het drinken van een laatste borrel gaan we vol nieuwe informatie terug naar huis. Alles bijeengenomen vond ik het een geslaagd tweedaags congres. Je kunt het bijna wel een ‘cursus’ noemen. Ik heb veel praktijkervaringen en tips gehoord.

Bron: https://www.riskworld.nl/kennis/risicomanagement/dag-van-privacy-officer-9-10-november-2016

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten