Print:

Actuele issues & uitdagingen voor DPO/FG’s in 2021 – deel 4 “Helaas is het onmogelijk om overal grip op te houden.”

Jasper Savenije , Product Development Manager

LinkedIn profiel

Veel Data Protection Officers (DPO’s)/ Functionaris Gegevensbescherming (FG’s) worstelen met de uitvoering van hun functie. Daarbij hebben zij te maken met het op afstand werken, digitalisering van organisaties, data gedreven werken, cyberdreiging en beveiligingsmaatregelen. Wat zijn veelvoorkomende uitdagingen en hoe gaan ze hiermee om?

In deze nieuwe blogreeks vroegen wij een groot aantal DPO/FG’s naar hun ervaringen.
Hieronder drie reacties van privacy professionals werkzaam bij verschillende organisaties.

Corona en het verplicht op afstand werken raakt alle werkende professionals in Nederland. Wat zijn actuele uitdagingen bij het uitvoeren van de DPO/FG functie? 

Maarten Wollersheim, FG, Zuyd Hogeschool
Voor onderwijsinstellingen is de versnelde transitie van fysiek onderwijs naar op afstand lesgeven een van de grootste uitdagingen (geweest). Vanaf het moment in maart 2020 dat bekend werd dat iedereen op afstand moest gaan werken, waren privacy en security niet de eerste thema’s waaraan gedacht werd. Het laten doorgaan van onderwijs was de voornaamste prioriteit. Het is vervolgens wel van belang dat je als FG of privacy officer van je laat horen. Bij Zuyd heeft dit in een vroeg stadium onder meer geresulteerd in richtlijnen rondom beeldbellen en online proctoring.

Nicole Aldenhoven, Medewerker AO/IC, FG, gemeente Stein
Als FG is het belangrijk om zichtbaar te blijven binnen de organisatie. Medewerkers moeten zich prettig en veilig voelen om mij over verschillende onderwerpen te benaderen. Waar ik eerder op de werkvloer nog regelmatig contact had met collega’s of via een “omweg” naar mijn afspraak liep zodat ik ook eens langs andere collega’s kwam, maakt het thuiswerken het lastiger om met iedereen in contact te blijven en toezicht te houden. Gelukkig houd ik wel van een uitdaging en zijn er tegenwoordig verschillende manieren om elkaar alsnog te bereiken.

Erik Steijn, FG, Omring Gezondheidszorg, Certified DPO, Parell BV
De belangrijkste uitdagingen zijn het in contact blijven met de medewerkers en de organisatie én aandacht blijven houden voor privacy en informatieveiligheid. Beeldbellen heeft een enorme vlucht genomen het afgelopen jaar en dat brengt de nodige beveiligingsissues met zich mee. Daarnaast is continue aandacht voor bewustwording een uitdaging.

Welke taken kunt u als DPO/FG sinds het verplicht op afstand werken (bijna) niet meer doen? En hoe gaat u hiermee om? 

Maarten Wollersheim, FG, Zuyd Hogeschool
Eigenlijk heeft het op afstand werken nauwelijks (negatieve) impact gehad op het uitvoeren van mijn taken als FG. Sommige taken zijn zelfs makkelijker geworden, bijvoorbeeld het plannen van afspraken of presentaties. Reistijd is immers weggevallen. Aan de andere kant is het sociale, meer informele, deel weggevallen. Waar ik voor de pandemie nog bij collega’s binnenliep (of andersom) en laagdrempelig een gesprek kon voeren/sparren over een casus, is dat nu iets formeler geworden.
Daarnaast merk ik dat ik liever presentaties geef en volg op locatie. Toch meer binding en contact met collega’s.

Nicole Aldenhoven, Medewerker AO/IC, FG, gemeente Stein
Binnen gemeente Stein zijn de lijnen kort en kan er via diverse kanalen contact worden opgenomen. Persoonlijk ervaar ik bij het thuiswerken dan ook geen directe belemmering in de uitvoering van mijn taken. Om mijn taken goed uit te kunnen blijven voeren vind ik het belangrijk om mijn kennis up to date te houden en mijn netwerk met privacy professionals te onderhouden. Hierbij merk ik wel dat ondanks het grote aanbod met webinars en digitale overleggen mijn voorkeur uit gaat naar direct contact met mensen. Dit maakt het vaak toch laagdrempeliger om met elkaar in contact te treden en ervaringen uit te wisselen.

Erik Steijn, FG, Omring Gezondheidszorg, Certified DPO, Parell BV
Begin 2019 was het doel meer en meer invulling te gaan geven aan de toezichthoudende taken van de FG. Dit betekende dat ik veelvuldig op bezoek zou gaan naar diverse zorglocaties om daar enerzijds de aandacht voor bewustwording te vergroten en anderzijds toe zou zien op de naleving van de privacyregels. Door het uitbreken van corona is daar niets van terecht gekomen. Aandacht voor bewustwording is volledig naar online (o.a. meetings) verschoven en ook het houden van toezicht geschiedt ‘op afstand’.

Hoe gaat het met de privacy en security bewustwording in de organisatie onder corona? Als DPO/FG bent u mogelijk minder zichtbaar. Hoe zorgt u dat de bewustwording op een acceptabel niveau blijft en welke middelen zet u hierbij in? 

Maarten Wollersheim, FG, Zuyd Hogeschool
Letterlijk is het natuurlijk zo dat ik minder zichtbaar ben geworden. Ik denk wel dat dit prima te ondervangen is door middel van structureel overleg met collega’s, berichten op intranet en presentaties.

Nicole Aldenhoven, Medewerker AO/IC, FG, gemeente Stein
Nieuwe medewerkers krijgen bij ons standaard een presentatie over hoe de gemeente om gaat met privacy en informatiebeveilging. Deze presentatie wordt gegeven door de CISO/Adviseur Privacy en mijzelf, zodat we meteen bekend zijn bij nieuwe collega’s. Deze presentatie wordt nu digitaal gegeven. Voor dit jaar stond al op de planning te starten met een creatief educatieprogramma voor alle medewerkers. Op kort termijn zal hier geheel in stijl van het thuiswerken mee worden gestart. Daarnaast maken wij gebruik van de standaard kanalen om te communiceren over bewustwording. Zo plaatst de CISO/Adviseur Privacy regelmatig berichten op intranet en is er onlangs nog een phishingtest uitgevoerd.

Erik Steijn, FG, Omring Gezondheidszorg, Certified DPO, Parell BV
Zoals bij de vorige vraag aangegeven vindt de bewustwording volledig online plaats. Uiteraard lag en ligt de focus van een zorgorganisatie primair bij het verlenen van veilige (corona)zorg voor onze bewoners en het personeel. Toch is er zeer veel aandacht besteed aan het betrokken houden van personeel en het stimuleren van veilige verwerking van (persoons)gegevens. Zo werd wekelijks een speciale corona-nieuwsbrief aan alle medewerkers verzonden, waarin natuurlijk aandacht voor de corona-actualiteit, maar ook aandacht voor veilig communiceren via beeldbellen, te treffen maatregelen voor veilig thuiswerken en het benoemen welke informatie wel en niet mag worden gedeeld via welk kanaal. Verder hebben wij binnen Omring een netwerk van zogenaamde keycontact functionarissen privacy en informatiebeveiliging bij alle vestigingen. Samen met hen organiseer ik online contactmomenten om actuele privacy en security onderwerpen te bespreken zodat zij in staat worden gesteld dit uit te dragen binnen hun zorginstelling.

In hoeverre zijn privacy en gegevensbescherming minder belangrijk geworden nu de focus (mogelijk) meer ligt op het op afstand werken, beveiligen van systemen en applicaties en digitaal transformeren van de organisatie? 

Maarten Wollersheim, FG, Zuyd Hogeschool
Ik denk dat privacy en informatiebeveiliging juist belangrijker zijn geworden door digitalisering en de versnelling van het op afstand werken en lesgeven. Recente datalekken in de publieke en private sector leren ons dat het van wezenlijk belang is dat een organisatie beveiliging en privacy op orde heeft. Structurele samenwerking met de juiste personen is daarbij cruciaal.

Nicole Aldenhoven, Medewerker AO/IC, FG, gemeente Stein
Ik hoop dat geen enkele organisatie kan zeggen dat privacy en gegevensbescherming hierdoor minder belangrijk is geworden. Persoonlijk ervaar ik gelukkig het tegenovergestelde. Bij de start van het op afstand werken hebben wij onze informatievoorziening naar de medewerkers verhoogd en ingezoomd op onderwerpen die op dat moment bij medewerkers speelden. Wij zien dan ook een toename van het aantal privacyvraagstukken wat bij ons binnen komt. Helaas is het onmogelijk om overal grip op houden. Zo zijn binnen een huishouden vaak meerdere personen thuis aanwezig en is het niet altijd te voorkomen dat er geen vertrouwelijke en gevoelige (online) gesprekken worden gevoerd.

Erik Steijn, FG, Omring Gezondheidszorg, Certified DPO, Parell BV
Privacy en gegevensbescherming zijn binnen Omring absoluut niet minder belangrijk geworden. Natuurlijk had veilige zorgverlening de eerste aandacht en is het werken op afstand hier volledig op afgestemd. In verband met de soms noodzakelijke snelheid van handelen werden interne regels wat ruimer geïnterpreteerd, waarna de aandacht direct weer verschoof naar het passend maken van de voorgeschreven werkwijze aan de geldende privacy en informatieveiligheidsregels. Denk bijvoorbeeld aan het beschikbaar stellen van diverse beeldbel tools en apps voor gegevensdeling. Om snel te handelen werd in eerste instantie toestemming – binnen de geldende regels! – verleend voor het gebruik van veel apps, waarna vrij snel een beperktere selectie beschikbaar werd gesteld en de overige opties werden afgesloten. Verder werd in 2019 een nieuw ECD in gebruik genomen en is een aanvang gemaakt met het uitrollen van een veilige email oplossing.

Ziet u de sterke toename van beschikbare data en het delen van gegevens met andere organisaties als een kans of als een bedreiging voor het naleven van wet- en regelgeving op deze onderwerpen? En waarom? 

Maarten Wollersheim, FG, Zuyd Hogeschool
Beide, afhankelijk van de organisatie. Enerzijds een kans als je security en privacy adequaat ingeregeld hebt, anderzijds een bedreiging als security en privacy geen rol spelen bij besluitvorming. Daarnaast is er ook zoiets als ethiek. Het verzamelen en delen van data kan natuurlijk voldoen aan wet- en regelgeving maar organisaties kunnen zich ook vaker de vraag stellen of het verzamelen en/of delen van bepaalde data wel ethisch verantwoord is.

Nicole Aldenhoven, Medewerker AO/IC, FG, gemeente Stein
Hier speelt o.a. het privacy volwassenheidsniveau van de organisatie een rol. De AVG vraagt risico gebaseerd te werken. Wanneer er persoonsgegevens worden verwerkt en worden gedeeld met andere organisaties dienen er passende beheersmaatregelen te worden getroffen die in overeenstemming zijn met het risiconiveau van deze verwerking. Het is vaak lastig grip te houden op welke gegevens wanneer worden gedeeld en met welke organisaties. Om deze reden hebben wij o.a. privacy en informatiebeveiliging al aan de voorkant in het inkoopproces opgenomen en wordt periodiek het register van verwerkingen geactualiseerd. Toch is het vrijwel onmogelijk om het totaal overzicht in beeld te krijgen en te houden.

Erik Steijn, FG, Omring Gezondheidszorg, Certified DPO, Parell BV
Het is absoluut een kans, die echter de nodige uitdagingen met zich meebrengt. Het veilig delen van gegevens met diverse zorgverleners in de keten draagt bij aan de verbetering van het verlenen van de juiste én noodzakelijke zorg. Het verlenen van goede en juiste zorg moet voorop staan voor een zorginstelling. Dat is immers het bestaansrecht als zorgorganisatie. Het is ook mijn overtuiging dat juiste en veilige zorgverlening mogelijk is binnen de vigerende wet- en regelgeving. De wet- en regelgeving beperkt dit niet, zij stelt kaders waarbinnen veilige zorgverlening mogelijk is/wordt.

Veel organisaties worstelen met het structureel borgen van privacy compliance. Corona, thuiswerken, digitalisering, het 5G netwerk en tsunami aan nieuwe IoT verbindingen vormen actuele uitdagingen. Wat zijn de grootste bedreigingen voor uw privacy compliance en hoe gaat u daar als organisatie mee om? 

Maarten Wollersheim, FG, Zuyd Hogeschool
Een van de grootste bedreigingen momenteel is phishing. Vooral in 2019 hebben wij veel datalekken gehad waarbij phishing de oorzaak was. Daarbij speelt bewustwording een rol, maar wij zien ook dat je daarmee het probleem niet oplost. De mens is en blijft hier de zwakste schakel en dat kun je redelijk eenvoudig oplossen door multifactorauthenticatie. Wij gaan dit bij Zuyd dan ook versneld invoeren. Als onderdeel van een pilot werk ik al enige tijd met multifactorauthenticatie en dat bevalt goed.

Nicole Aldenhoven, Medewerker AO/IC, FG, gemeente Stein
De grootste bedreiging zit in de snelheid van de ontwikkelingen binnen deze onderwerpen en in het niet herkennen van mogelijke risico’s. Binnen gemeente Stein blijven we daarom met elkaar in gesprek en zijn er periodiek overleggen gepland met medewerkers die een belangrijke rol hebben in de borging van privacy en informatiebeveiliging. Daarnaast proberen we medewerkers zoveel als mogelijk mee te nemen in waar we mee bezig zijn.

Erik Steijn, FG, Omring Gezondheidszorg, Certified DPO, Parell BV
Privacy compliance is en blijft een uitdaging en niet zo zeer nieuwe technologieën, steeds verder gaande digitalisering en het thuiswerken vormen de kern van de uitdaging. Veel meer het bewust blijven omgaan met (informatie)beveiliging en privacy. De mens is en blijft de zwakste schakel, daar ligt de uitdaging voor compliance. De aandacht voor het veilig verwerken van (persoons)gegevens mag niet verslappen en ligt dan ook de focus voor ons als informatieveiligheid- en privacyfunctionarissen.

Welke onderwerpen of thema’s staan er verder nog op uw agenda in 2021? 

Maarten Wollersheim, FG, Zuyd Hogeschool
Stroomlijnen van het DPIA proces, privacy en data intelligence, privacy in relatie tot wetenschappelijk onderzoek en, zoals ieder jaar weer: bewustwording creëren.

Nicole Aldenhoven, Medewerker AO/IC, FG, gemeente Stein
Onderdeel van het educatieprogramma is het uitvoeren van een 0-meting. Op basis van de resultaten van deze meting zal er gekeken worden welke onderwerpen of thema’s mogelijk extra aandacht nodig hebben. Verder wordt ieder jaar een jaarplan privacy en informatiebeveiliging opgesteld met de punten die dat jaar uitgevoerd gaan worden. Actuele onderwerpen op dit moment zijn bijvoorbeeld het testen met persoonsgegevens en logging.

Erik Steijn, FG, Omring Gezondheidszorg, Certified DPO, Parell BV
Het organiseren van bewustwordingsactiviteiten (bijvoorbeeld het organiseren van een pubquiz), aandacht voor de gevolgen van de Brexit en het Schrems-II arrest, de verdere uitrol van veilig e-mailen, het implementeren van het NEN7510 normenkader en het verder professionaliseren van de organisatie, staan prominent op de agenda van dit jaar.

Hoe gaat de DPO/FG rol zich verder ontwikkelen als we op een meer continue basis op afstand gaan werken? 

Maarten Wollersheim, FG, Zuyd Hogeschool
Door samen te blijven werken, zowel binnen als buiten de organisatie (online en offline).

Nicole Aldenhoven, Medewerker AO/IC, FG, gemeente Stein
Door het op afstand werken is het extra belangrijk geworden privacy en informatiebeveiliging onderdeel te maken van het reguliere proces en het bestuur te betrekken bij de onderwerpen die hun raken. Het op afstand werken hoeft niet ten koste te gaan van de verdere ontwikkeling van je rol zolang je hier bewust mee bezig bent. Voor mij is het daarom belangrijk om te weten wat er speelt binnen de organisatie en proberen op de hoogte te blijven van actualiteiten door bijvoorbeeld mijn netwerk, lokale- en regionale privacy overleggen, het volgen van webinars en bijeenkomsten, forums etc. Maar het belangrijkste blijft denk ik goed voor jezelf zorgen.

Erik Steijn, FG, Omring Gezondheidszorg, Certified DPO, Parell BV
We blijven meer op afstand werken. Het zal echter nooit 100% gaan worden. Dat is gewoon (nu nog) niet mogelijk. We gaan wel minder vaak fysiek aanwezig zijn en we moeten onze werkzaamheden daar op blijven afstemmen. Of dit echt grote veranderingen voor de FG-rol met zich meebrengt, vraag ik mij af. Het fysiek toezicht houden zal lastig zijn, het doorvoeren van AVG compliance en het uitbrengen van privacy adviezen blijven ook op afstand zeer goed mogelijk.

Meer weten over actualiteiten op het gebied van dataprotectie en privacy? Bekijk de opleiding Certified Data Protection Officer of de hands-on trainingen Privacy Officer 2.0 , FG in publieke sector of de Actualiteitenreeks Next step privacy compliance 

Verder lezen?

Laat uw e-mail achter en ontvang de brochure: Certified Data Protection Officer, direct in uw mailbox.