Print:

Actuele issues & uitdagingen voor DPO/FG’s in 2021 – deel 6 “De sterke toename van data: een kans voor meer bewustwording en voor het op orde brengen van processen binnen de organisatie.”

Jasper Savenije , Product Development Manager

LinkedIn profiel

Veel Data Protection Officers (DPO’s)/ Functionaris Gegevensbescherming (FG’s) worstelen met de uitvoering van hun functie. Daarbij hebben zij te maken met het op afstand werken, data gedreven werken, cyberdreigngen en beveiligingsmaatregelen. Wat zijn veelvoorkomende uitdagingen en hoe gaan ze hier mee om? 

In deze blogreeks vroegen wij een aantal DPO/FG’s naar hun ervaringen. 

Hieronder een aantal reacties van privacy professionals werkzaam in verschillende sectoren. 

Corona en het verplicht op afstand werken raakt alle werkende professionals in Nederland. Wat zijn actuele uitdagingen bij het uitvoeren van de DPO/FG functie? 

Demet Yildiz, Senior Adviseur Privacy, FG, Waterschap Zuiderzeeland
De grootste uitdaging is betrokkenen blijven bij de ontwikkelingen binnen de organisatie. Als FG probeer ik, voor zover dat mogelijk is, vaker op kantoor aanwezig te zijn, om mee te luisteren in de wandelgangen en om ook snelle korte vragen van collega’s te kunnen beantwoorden. Dit zorgt voor meer zichtbaarheid en betrokkenheid binnen de organisatie. Meedenken en toezicht houden kan alleen als je weet wat er speelt binnen de organisatie. 

Robert Gielisse, externe FG, FGN (Fysiogroep Nederland), owner, EaglesNow
De grootste uitdaging is dat Corona / het op afstand werken het uitoefenen van ‘toezicht’ veel lastiger maakt. Mijn ervaring is dat je niet volledig zicht kunt hebben op wat er allemaal binnen een organisatie gebeurt. Aanwezigheid op de werkvloer geeft extra inzicht. Bv ‘aan de koffiemachine’, omdat je toevallig wordt aangesproken, omdat je toevallig iets hoort of ziet, etc. 

Daarnaast is mijn ervaring dat ik meer zie, kan merken in persoonlijke gesprekken. De strak geplande meetings, waarbij vaak ook geen ruimte is voor een kwartiertje extra, maakt het dat het lastiger is geworden om een band op te bouwen met je belangrijkste contactpersonen. 

Welke taken kunt u als DPO/FG sinds het verplicht op afstand werken (bijna) niet meer doen? En hoe gaat u hiermee om? 

Demet Yildiz, Senior Adviseur Privacy, FG, Waterschap Zuiderzeeland
Het werken op afstand gaat prima en eigenlijk kunnen we alle werkzaamheden die wij voor corona hadden nu ook uitvoeren. Veel afspraken online, maar ook steeds vaker fysiek op kantoor aanwezig zijn om bijvoorbeeld wat langere gesprekken en overleggen te voeren of workshops te geven en bij te wonen. 

Robert Gielisse, externe FG, FGN (Fysiogroep Nederland), owner, EaglesNow
Ik zorg dat ik lunches in plan of meer meetings heb met mijn belangrijkste stakeholders. Dat laatste met name met mensen die ‘op de vloer zijn’, omdat dat toch mijn ogen en oren zijn. 

Hoe gaat het met de privacy en security bewustwording in de organisatie onder corona? Als DPO/FG bent u mogelijk minder zichtbaar. Hoe zorgt u dat de bewustwording op een acceptabel niveau blijft en welke middelen zet u hierbij in? 

Demet Yildiz, Senior Adviseur Privacy, FG, Waterschap Zuiderzeeland
Omgaan met bewustwording tijdens werken op afstand vind ik ook wel een uitdaging. Binnen onze organisatie proberen we vaker blogs te schrijven voor de Intranetpagina, geven we presentaties voor nieuwe en bestaande medewerkers. Daarnaast proberen we activiteiten te organiseren waarin ook privacy & security in wordt meegenomen. 

Robert Gielisse, externe FG, FGN (Fysiogroep Nederland), owner, EaglesNow
Als externe FG start ik altijd met een privacy assessment. Dat zijn 52 vragen, gebaseerd op een vragenlijst van Gartner. De vragen leveren input op en een actielijst. Belangrijk onderdeel daarvan is bewustwording. Ik check dus hoe de organisatie daarmee bezig is. Als ik zie dat dat onvoldoende is, lever ik ideeën/middelen aan. We gaan bv zelf beginnen met een nieuwsbrief, maar we leveren ook input voor nieuwsbrieven van regiokantoren aan (de organisatie waar ik FG ben is verdeeld in een aantal regio’s), we geven input voor trainingen of geven ze zelf, we zorgen bij incidenten dat dit wordt besproken met personeel, etc. Daarnaast is er een kwartaalijkse updatemeeting: één met alle regiokantoren en een meeting met de privacyverantwoordelijke(n) per regio. Dan is hier ook aandacht voor om te checken wat hiermee is gebeurd. 

 In hoeverre zijn privacy en gegevensbescherming minder belangrijk geworden nu de focus (mogelijk) meer ligt op het op afstand werken, beveiligen van systemen en applicaties en digitaal transformeren van de organisatie? 

Demet Yildiz, Senior Adviseur Privacy, FG, Waterschap Zuiderzeeland
Ik denk niet dat privacy en gegevensbescherming minder belangrijk, maar juist belangrijker is geworden binnen onze organisatie. De nieuwe mogelijkheden om goed op afstand te kunnen werken, maakt dat privacy juist belangrijker is geworden. Daarnaast is de digitalisering razendsnel gegaan en eigenlijk was het op afstand werken voor veel medewerkers al ‘gewoon’. Privacy heeft een overlap als het gaat om het beveiligen (Security) van systemen en applicaties. Voor Corona waren Privacy & Security al onderdeel van een PriSec team en dat heeft zich tijdens Corona verder voortgezet. Denk aan het samen uitvoeren van DPIA’s op nieuwe en bestaande verwerkingen. Wij hadden het geluk dat de eerste paar DPIA’s al voor Corona waren uitgevoerd, waardoor de DPIA’s tijdens Corona gewoon door konden gaan en op afstand prima konden worden uitgevoerd. 

Robert Gielisse, externe FG, FGN (Fysiogroep Nederland), owner, EaglesNow
Er is een sterke focus geweest op ‘snel digitaliseren’ omdat dat vanwege Corona nu eenmaal moest. Bv apps om met patiënten op afstand te communiceren of om voorbeelden van oefeningen te geven. Bij de eerste lockdown was privacy daardoor van secundair belang. Ik ben begin 2021 FG geworden, en ik zie het terugkomen in applicaties waar bv de toegangscontrole ondermaats is. Er is nu wel ruimte om daar alsnog aandacht aan te geven. Overigens zie ik het verschil niet tussen gegevensbescherming en het beveiligen van systemen.  

Ziet u de sterke toename van beschikbare data en het delen van gegevens met andere organisaties als een kans of als een bedreiging voor het naleven van wet- en regelgeving op deze onderwerpen? En waarom? 

Demet Yildiz, Senior Adviseur Privacy, FG, Waterschap Zuiderzeeland
Ja en nee. De sterke toename van beschikbare data kán als een bedreiging worden gezien als het gaat om de naleving van de wet- en regelgeving. Voor sommige medewerkers kan het bijvoorbeeld onduidelijk zijn als het gaat om het wel of niet mogen delen van gegevens met andere organisaties. Maar wij hebben dit als kans opgepakt om enerzijds te werken aan de bewustwording en anderzijds aan het op orde brengen van de processen binnen de organisatie. Zo hebben wij aan het begin van Corona duidelijke werkinstructies, procedures en handleiding op specifieke processen beschreven om richting te geven aan de medewerkers. Dit lijkt tot nu toe goed te gaan. Hierin is ook rekening gehouden met de wet- en regelgeving op deze en ook andere onderwerpen. We hebben gemerkt dat het vaak helpt en ook blijft hangen als het op een simpele manier wordt beschreven. 

Robert Gielisse, externe FG, FGN (Fysiogroep Nederland), owner, EaglesNow 
Ik ben FG in de zorg (eerstelijn) en ik denk dat het delen van beschikbare gegevens voor de zorg enorm zou helpen. Er is veel angst om de AVG te overtreden, wat er toe leidt dat de zorg veel inefficiënter wordt verleend. Er wordt constant toestemming gevraagd, gegevens worden marginaal gedeeld en worden daardoor opnieuw opgevraagd door degene waarnaar is verwezen uit vrees de wet te overtreden etc. Er liggen enorme kans om de zorg sterk te verbeteren, maar dan is er een betere ‘alignment’ nodig op het gebied van wetgeving en een betere toelichting vanuit de toezichthouders. 

Veel organisaties worstelen met het structureel borgen van privacy compliance. Corona, thuiswerken, digitalisering, het 5G netwerk en tsunami aan nieuwe IoT verbindingen vormen actuele uitdagingen. Wat zijn de grootste bedreigingen voor uw privacy compliance en hoe gaat u daar als organisatie mee om? 

Demet Yildiz, Senior Adviseur Privacy, FG, Waterschap Zuiderzeeland
Ik heb even geen idee. 

Robert Gielisse, externe FG, FGN (Fysiogroep Nederland), owner, EaglesNow
De grootste bedreiging is dat medewerkers privacy als een last gaan zien en daarom de regels gaan omzeilen, de FG half informeren etc. Bv tweefactorauthenticatie: het kost toch telkens wat extra tijd om je daaraan te houden. De verleiding is dus erg groot om die regel te omzeilen, omdat je ermee efficiënter opereert. 

Vorige week was ik bij een meeting met de KNGF (beroepsvereniging fysiotherapeuten), AP, IGJ en een specifiek regiokantoor. Onderwerp was het gebruik van e-health binnen de fysiotherapie. Veel fysiotherapeuten houden zich niet aan de regels die gelden binnen de zorgsector, met name op het gebied van beveiliging. Als FG is het een enorme uitdaging om organisaties ervan te laten doordringen dat het simpelweg beter moet, zeker omdat andere fysio’s zich niet aan die regels houden. Ik denk dat er in de eerstelijn nog wel een paar voorbeelden gezet moeten worden / paar incidenten moeten plaatsvinden voordat deze sector wat privacy-volwassener gaat worden. 

Meetings als bovenstaande helpen mij om mensen te overtuigen dat ze er wat aan moeten doen. Daarnaast heb ik bv meetings met de aandeelhouder om dit aan te stippen (naast meetings met de regiokantoren zelf, uiteraard). 

Welke onderwerpen of thema’s staan er verder nog op uw agenda in 2021?

Demet Yildiz, Senior Adviseur Privacy, FG, Waterschap Zuiderzeeland
Genoeg! Het komen tot volwassenheidsniveau 4 staat momenteel het hoogst op de agenda. Verder staan er onderwerpen zoals DPIA’S, Mavim, bewustzijn, ethiek,  maar ook samenwerkingsverbanden (zoals het CPW) waarin onder andere thema’s als WPG gezamenlijk worden opgepakt. 

Robert Gielisse, externe FG, FGN (Fysiogroep Nederland), owner, EaglesNow
Ik ben als externe FG net begonnen, dus nog bezig met het afronden van de assessments van de verschillende regio’s. Bovenaan staat op dit moment beveiliging, awareness en het blijven voldoen aan de policies. Daarnaast is er geen EPD (elektronisch patiëntendossier) dat kan voldoen aan de regelgeving. Vanuit alle regio’s zal moeten worden bekeken welke het meest voldoet en hoe we ervoor kunnen zorgen dat zo’n EPD zelf ook gaat verbeteren.  

Hoe gaat de DPO/FG rol zich verder ontwikkelen als we op een meer continue basis op afstand gaan werken? 

Demet Yildiz, Senior Adviseur Privacy, FG, Waterschap Zuiderzeeland
Dat zal de tijd ons leren. De werkzaamheden blijven gelijk voor de FG. Het nadeel is dat het lastig blijft om op afstand voldoende betrokkenen te zijn. Daarbij ligt de druk bij de FG om zelf vaker initiatief te tonen, zelf ergens achteraan te bellen, te mailen om op de hoogte te zijn van de ontwikkelingen binnen de organisatie. Ik snap dat het voor anderen een drempel kan zijn om iemand te bellen via Teams, in plaats van het aanspreken in de wandelgangen op kantoor. De organisatie heeft te maken met dilemma’s. Het is voor de FG cruciaal om die dilemma’s op te merken en daar in mee te kunnen denken. 

Robert Gielisse, externe FG, FGN (Fysiogroep Nederland), owner, EaglesNow
Ik denk niet veel anders dan hoe DPO/FG’s het nu al inrichten. De belangrijkste uitdaging is toegang tot informatie / wat er allemaal gebeurt. Daarvoor zijn dus meer meetings nodig dan eerst, met alle nadelen van dien. Laten we hopen dat we snel weer teruggaan naar hoe het was. 

Meer weten over actualiteiten op het gebied van dataprotectie en privacy? Bekijk de opleiding Certified Data Protection Officer of de hands-on trainingen Privacy Officer 2.0 , FG in publieke sector of de Actualiteitenreeks Next step privacy compliance 

Verder lezen?

Laat uw e-mail achter en ontvang de brochure Privacy Officer 2.0 direct in uw mailbox.