Print:

Actuele issues & uitdagingen voor DPO/FG’s in 2021 – deel 2 “Grootste bedreiging voor privacy compliance: beleid dat niet bestand is tegen een snel veranderende wereld..!”

Jasper Savenije , Product Development Manager

LinkedIn profiel

Veel Data Protection Officers (DPO’s)/ Functionaris Gegevensbescherming (FG’s) worstelen met de uitvoering van hun functie. Daarbij hebben zij te maken met het op afstand werken, digitalisering van organisaties, data gedreven werken, cyberdreiging en beveiligingsmaatregelen. Wat zijn veelvoorkomende uitdagingen en hoe gaan ze hier mee om?

 In deze nieuwe blogreeks vroegen wij een groot aantal DPO/FG’s naar hun ervaringen.
Hieronder drie reacties van privacy professionals werkzaam bij verschillende organisaties.

Corona en het verplicht op afstand werken raakt alle werkende professionals in Nederland. Wat zijn actuele uitdagingen bij het uitvoeren van de DPO/FG functie?

Corné Suijs, FG, Nederlands Instituut voor Beeld en Geluid
De voornaamste uitdaging is in de breedste zin grip bewaren op data. Nu mensen veel thuis werken, is het belangrijk om overzicht te kunnen houden. Er worden veel zaken besproken bij de koffieautomaat, tijdens de lunch en vang je dingen op tijdens meetings. Het is belangrijk om als FG zichtbaar te blijven in de organisatie, zodat medewerkers aan je blijven denken als ze één of meerdere verwerkingsactiviteiten willen opstarten of uitbouwen.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Het informele circuit is weggevallen, dus een organisatie moet daar digitale alternatieven voor introduceren, hetgeen op grote schaal gebeurt, met digitale borrels en anderszins. Ik ken ook voorbeelden van personen die een afspraak maken om samen te wandelen met z’n tweetjes en dan bij te praten – met gepaste afstand. Maar de taken van een privacy organisatie moeten niet afhankelijk zijn van informele contacten, maar van bestaande governance structuren en bereikbare support voor advies en ondersteuning als het gaat om de inrichting en aanpassing van gegevensverwerkingen. Het afstandswerken heeft bij onderwijsinstellingen geleid tot een versnelling van een andere manier van werken, onderwijs geven, en tentamineren. Dat veroorzaakte veel veranderingen en ook technische en organisatorische veranderingen. Het is goed om te zien hoe de privacy organisatie dan al zo goed is ingebed dat deze doorgaans al in een vroeg stadium wordt betrokken bij de inrichting van nieuwe diensten. Dat is toch de verdienste van de samenwerking van de afgelopen jaren, waarbij privacy steeds meer wordt gezien als een change enabler dan een juridisch vinkenfestijn of een voorspelbare variaties van ’neen, mag niet van de AVG’.

Isac van Assen, FG, gemeente Boxmeer
Het is lastig contact houden met collega’s. Veel informatie over privacy issues krijg je toch via een praatje bij de koffie of in het voorbijgaan. Zichtbaarheid was altijd al belangrijk, maar daar moet nu met nog meer aandacht naar gekeken worden. Het gaat dan niet zozeer om de uitgebreidere vragen, maar om kleine vragen; mag ik een e-maillijst zomaar doorsturen, hoe gaan we om met een kaartje naar een collega versturen, etc. Het zijn misschien niet altijd de meest spannend vragen, maar ze dragen wel bij aan een gevoel van toegankelijkheid en ook kleine vragen kunnen grote problemen voorkomen.

Welke taken kunt u als DPO/FG sinds het verplicht op afstand werken (bijna) niet meer doen? En hoe gaat u hiermee om?

Corné Suijs, FG, Nederlands Instituut voor Beeld en Geluid
Ik leunde veel op bewustwordingscampagnes die ik veelal vertaalde naar (live) workshops voor collega’s. Nu iedereen thuis zit, ben ik gedwongen om deze campagnes digitaal te voeren. Dat gaat, maar de workshops zijn minder dynamisch dan met collega’s in een ruimte.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
In het begin was ik blij met het wegvallen van de files, maar het nadeel van het full-time thuiskantoor is dat het licht bijna niet meer uit gaat. Ik merk nu dat ik op weg naar mijn kantoor of een afspraak mentaal nog laatste puntjes op de “i” zette in termen van voorbereiding van het dossier. Nu heb ik vaak aaneensluitende meetings van telkens een half uur, en dat is goed voor de voortgang, maar ik bouw nu wel extra ruimte in voor schrijftijd en leestijd. Ik had al de gewoonte om vrijdag te gebruiken om meer te reflecteren over de week en vooruit te plannen en te prioriteren voor de komende week, en dat werkt nog steeds goed. Dus reflecteren moet je gewoon inroosteren. Ik merk dat je soms zo in een casus zit dat je er even fris vanaf een andere kant of via een ander perspectief naar moet kijken, en dan lost de puzzel zich meestal snel op. We hebben goede communicatieplatforms en afspraken over het gebruik daarvan, waardoor ik eigenlijk mijn werk prima kan doen. Als ik eerlijk ben met betere espresso; dat dan wel.

Isac van Assen, FG, gemeente Boxmeer
In het werk ervaar ik geen onmogelijkheden. Vrijwel alles is via verschillende digitale kanalen prima op te lossen.

Hoe gaat het met de privacy en security bewustwording in de organisatie onder corona? Als DPO/FG bent u mogelijk minder zichtbaar. Hoe zorgt u dat de bewustwording op een acceptabel niveau blijft en welke middelen zet u hierbij in?

Corné Suijs, FG, Nederlands Instituut voor Beeld en Geluid
Ik verzorg maandelijkse workshops voor nieuwe medewerkers die in dienst komen. Daarnaast verzorg ik opfriscursussen voor medewerkers die de workshop langere tijd geleden hebben gevolgd. Daarbij is er meer vraag naar diepgang gekomen bij sommige afdelingen. Daarvoor worden specifieke workshops gegeven.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
De collega’s van de security organisatie waren al bezig met een nieuwe security awareness campagne en die loopt momenteel. Qua timing prima om mensen risico’s te laten ontdekken in verschillende praktische aspecten – ook van thuis werken. Ik ben in deze periode juist meer zichtbaar, door een toename van meetings, en onderwerpen / dossiers. Het is prettig om te zien, ook binnen de privacy organisatie, hoe we goed op elkaar zijn ingespeeld. Ook bijvoorbeeld met de nieuwe privacy jurist in het team. Complimenten voor onze CPO die het netwerkteam van POs zo goed probeert te faciliteren en effectief laat samenwerken. Er is ook de nodige doorstroom van POs, en het afscheid nemen en welkom heten hoort er denk ik gewoon bij. De CPO haalt goede mensen uit de spreekwoordelijke ‘vijver’, en dat is goed voor het team en voor de EUR!

Door de maatschappelijke impact van thuisonderwijs, de lock down, de COVID-maatregelen en de wijze waarop hierin vrij vaak besluiten moeten worden genomen mbt de verantwoorde invulling van het nieuwe normaal, maakt dat het privacy bewustzijn geen impuls behoeft, maar aanleiding is voor goede gesprekken. Bij een faculteit had een studievereniging bijvoorbeeld een seminar georganiseerd over online proctoring, en het perspectief van studenten en dat was voor mij als een van de sprekers een heel fijne manier om van ‘de betrokkene’ direct te vernemen hoe zij tegen de kwesties aankijken. Je ziet in het algemeen wel een toegenomen bewustzijn met betrekking tot privacy, maar vaak gaat het niet echt verder dan de vraag of er wel ’toestemming’ voor is gegeven. Ook ben ik me er steeds meer van bewust dat de experts in het land die vaak een mening verkondigen over een zaak bij een organisatie, vaak niet over de relevante informatie beschikken om steekhoudend iets te stellen. Dat leidt helaas wel een eigen leven.

Isac van Assen, FG, gemeente Boxmeer
We kiezen bij gemeente Boxmeer veelal voor de traditionele kanalen van intranet en aansluiten bij teamoverleggen. Daarnaast bieden we uiteraard een e-learning aan. We hebben ook geïnvesteerd in een tweetal video’s ter promotie van het team. Dit medium wordt minder vaak gebruikt en springt er daarom sneller tussenuit dan de vele tekstberichten op intranet.

In hoeverre zijn privacy en gegevensbescherming minder belangrijk geworden nu de focus (mogelijk) meer ligt op het op afstand werken, beveiligen van systemen en applicaties en digitaal transformeren van de organisatie?

Corné Suijs, FG, Nederlands Instituut voor Beeld en Geluid
Privacy en gegevensbescherming zijn naar mijn idee niet meer of minder belangrijk geworden. Het is wel belangrijker geworden om ervoor te zorgen dat je als organisatie een veilige digitale omgeving ook thuis kan hebben. Bij voorbeeld door middel van VPN verbindingen, FTPs en handhaving op toegangsrechten.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
De scope van samenwerken met onder andere persoonsgegevens is alleen maar groter geworden. Waar soms fysieke maatregelen zijn genomen om toegang tot bepaalde ruimtes en voorzieningen gecontroleerd te laten plaatsvinden, om moverende redenen, is niet altijd een digitaal alternatief voorhanden. Ook zie je dat collega’s niet zozeer door security issues of digitale transformatie risico’s lopen – bijvoorbeeld door nieuwe vormen van fishing oid – maar dat het feit dat collega’s ook thuisonderwijs moeten verzorgen voor hun kinderen, voortdurend moeten verplaatsen voor meetings naar ruimtes in huis, dat de rek er op een gegeven moment wat uit raakt en er makkelijker fouten worden gemaakt. Wat weer tot extra stress leidt. We proberen daar gewoon begrip voor te hebben en vooral te bevorderen dat als mensen onregelmatigheden zien, meemaken of veroorzaken, men dit gewoon blijft melden en dat we dan snel onze verantwoordelijkheid als organisatie kunnen nemen. De effecten op mensen van de COVID maatregelen, de lock down, gesloten kinderopvang, thuisonderwijs voor de eigen kinderen, en de avondklok hebben misschien wel een grotere impact op de manier van werken dan we nu goed overzien. Er komen steeds meer relevante studies beschikbaar die het voorgaande in context en perspectief plaatsen.

Maar je ziet, zoals bij de GGD, dat thuiswerken niet altijd een succesformule is, als je nieuwe medewerkers toegang moet geven tot gevoelige gegevens, en er feitelijk weinig sprake is van controle van deze nieuwe medewerkers. Ik weet alleen niet, over het geheel genomen, wat de impact van dit soort incidenten op het totale ‘dreigingsbeeld’ is.

Isac van Assen, FG, gemeente Boxmeer
Het tegenovergestelde is wat wij ervaren. Juist doordat er meer op afstand wordt gewerkt en gegevens gevoelsmatig buiten de muren van het gemeentehuis terecht komen, maakt dat er meer aandacht voor privacy en gegevensbescherming vanuit het management. Er wordt actief gevraagd of we nog eens de risico’s van het thuiswerken onder de aandacht willen brengen. Daarnaast is men zich er ook meer van bewust dat de basis op orde moet zijn en dat proceseigenaren dus actief moeten zijn in het implementeren van BIO-maatregelen.

Ziet u de sterke toename van beschikbare data en het delen van gegevens met andere organisaties als een kans of als een bedreiging voor het naleven van wet- en regelgeving op deze onderwerpen? En waarom?

Corné Suijs, FG, Nederlands Instituut voor Beeld en Geluid
Het veilig en compliant delen van gegevens heb ik altijd als kans gezien en privacykramp is naar mijn idee een grotere bedreiging. Wel hoop ik in de nabije toekomst op meer richtlijnen vanuit de rechtspraak en verschillende toezichthouders om deze kansen te kunnen blijven pakken op een verantwoorde manier.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Ik zie de toename, maar ik zie ook meer bewust gedrag en meer inzet van privacy enhancing technologies (PET’s). Het delen van informatie via Teams bijvoorbeeld reduceert het aantal email en daarmee het aantal datalekjes via ‘oeps-mailtjes’, zoals ik ze noem. We hebben een zomerschool, georganiseerd afgelopen jaar om nadrukkelijk op de mogelijkheden van Office 365 te wijzen en hoe men effectiever en veiliger kan werken met deze middelen.

Ook zag ik laatst de eerste publiekelijk gedeelde synthetische dataset, van studiedata van de ‘zone veilig en betrouwbaar benutten van studiedata’ van SURF, de technisch georiënteerde partner voor universiteiten, HBO’s en MBO’s voor voorzieningen en communities ten behoeve van innovatie en beheerde diensten op het gebied van onderwijs, onderzoek en bedrijfsvoering. Ik denk dat elke verandering aanleiding geeft tot kansen die genomen kunnen worden, als daarover al een context was binnen de organisatie. Als je nu pas gaat nadenken over onderwerpen als ‘digitale transformatie’, dan zal je het als organisatie wat lastiger hebben. Overigens stellen critici, denk ik, terecht, dat het vaak niet om full swing transformaties gaat. Maar dat is meer een ander thema.

Isac van Assen, FG, gemeente Boxmeer
Het is een kans om efficiënter te gaan werken en bijvoorbeeld een beter loket te worden voor inwoners als het gaat om het sociaal domein. Daartegenover staat dat het delen van data soms in dusdanig complexe netwerken wordt uitgewisseld, dat het moeilijk is grip te krijgen op de verschillende verwerkingen. Hoe complexer de uitwisseling, des te groter het risico dat je in afwegingen onderdelen over het hoofd ziet.

Veel organisaties worstelen met het structureel borgen van privacy compliance. Corona, thuiswerken, digitalisering, het 5G netwerk en tsunami aan nieuwe IoT verbindingen vormen actuele uitdagingen. Wat zijn de grootste bedreigingen voor uw privacy compliance en hoe gaat u daar als organisatie mee om?

Corné Suijs, FG, Nederlands Instituut voor Beeld en Geluid
Naar mijn idee is het structureel borgen van privacy compliance juist wat ervoor zorgt dat we privacy professionals nodig blijven houden. Omdat de wereld om ons heen in rap tempo verandert, moeten we in gesprek blijven en koersen kunnen bijstellen. De grootste bedreiging voor privacy compliance zit in wet- en regelgeving, richtsnoeren en beleid dat niet bestand is tegen een snel veranderende wereld. Als organisatie proberen wij door middel van beleid om ervoor te zorgen dat we onszelf niet klem zetten en tegelijkertijd duidelijkheid scheppen voor collega’s. Dit vergt duurzaamheid van de gekozen uitgangspunten terwijl er op een lager niveau nog steeds snel geschakeld kan worden.

 Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Belangrijkste is rust te bewaren en structuur te bieden. Waar moeten we ons druk om maken, wat is ook een risico, maar eerder een ineffectiviteit dan een onrechtmatigheid? Op welke zaken gaan we met wie snel inspringen met snelle resultaten en wat kan daarna of parallel in een trager tempo door welke andere collega’s worden opgepakt? Normale procedures van goede afstemming en goed geïnformeerd te werk gaan blijft van belang. Overzicht houden ook. Paniekvoetbal leidt tot fouten. En: de knowledge base goed onderhouden: in vergelijkbare gevallen met dezelfde adviezen / maatregelen komen.

Isac van Assen, FG, gemeente Boxmeer
Wat voor ons een groot deel van de risico’s verkleint is onderdeel zijn van de besluitvorming en een onderdeel zijn van de planning & control cyclus. Dit verkleint het risico dat je gepasseerd wordt aanzienlijk. Het is daardoor eenvoudiger om privacy en informatiebeveiliging te borgen. Veel kun je dus procesmatig beheersen. Wat daar buiten valt is de menselijke factor. Niet iedereen herkent persoonsgegevens goed waardoor datalekken mogelijk niet gemeld worden of je per abuis toch een keer wordt gepasseerd in de besluitvorming. Voor dat laatste hebben we wel een extra controle middels een wekelijks overleg met de gemeentesecretaris.

Gemeentes moeten zich daarnaast verantwoorden middels ENSIA. Deze audit gaat over informatie-beveiliging, maar besteedt ook een deel aan privacy. Uiteraard is een goede informatiebeveiliging ook voor privacy van grote waarde.

Welke onderwerpen of thema’s staan er verder nog op uw agenda in 2021?

Corné Suijs, FG, Nederlands Instituut voor Beeld en Geluid
Ons grootste thema is het in lijn brengen van onze archiefdiensten met standaarden van informatiebeveiliging. Beide werkgebieden houden er verschillende standaarden op na over de manier waarop informatie beveiligd dient te worden. Het zou mooi zijn als we dat in 2021 samen kunnen brengen.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Privacy by design in een huwelijk met Security by design wordt zichtbaarder ingezet. Er zijn tegenwoordig ook meer praktische middelen om in te zetten en niet alleen louter een strategie. Waar we ook stevig op inzetten is leveranciersrisicomanagement, mede in de context van Schrems 2. Verder maken we nu stappen mbt concrete guidance voor ‘onderzoek en de AVG’. Ik leg de laatste hand aan een online trainingsmodule die daarin een belangrijke praktische rol gaat spelen. En we hebben sinds januari een online training voor onderzoekers en onderzoeksondersteuner waarin we niet alleen adresseren waarom, hoe en wanneer persoonsgegevens te de-identificeren, maar ook te wijzen op de negatieve aspecten van te vroeg of niet correct te de-identificeren, die analyseresultaten onbetrouwbaar kan maken. Met die training wordt het gesprek over pseudonimiseren en wat dat concreet betekent (bijvoorbeeld ook het aanleggen van een data library (ook een goede basis voor het kunnen toepassen van het dataminimalisatie beginsel), een documentatie en beheer van data linkage, en documentatie van bewerkingen van data tijdens de-identificatieslagen).

Isac van Assen, FG, gemeente Boxmeer
Wij lopen als gemeente tegen een herindeling aan. Je merkt daardoor dat prioriteren belangrijker wordt en je keuzes moet gaan maken tussen zaken die echt moeten gebeuren of zaken die je beter kan oppakken in de nieuwe gemeente, omdat er niet direct risico’s ontstaan. We geven als team bijvoorbeeld een hoge prioriteit aan DPIA’s voor de nieuwe gemeente, omdat er dan direct goed van start kan worden gegaan.

 Hoe gaat de DPO/FG rol zich verder ontwikkelen als we op een meer continue basis op afstand gaan werken?

Corné Suijs, FG, Nederlands Instituut voor Beeld en Geluid
Er zullen nog meer werkgroepen en kennisplatforms ontstaan waar kennis digitaal wordt uitgewisseld. Daarnaast verwacht ik dat opleiders hun cursussen online vooral zullen gaan aanbieden.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
We zien in ieder geval dat de rol van Big Tech en de bescherming van publieke waarden steeds actueler wordt. De voorstellen van de Europese Commissie in de vorm van nieuwe strategieën en wetgeving is veelbelovend en zal ons werk de komende tijd sterk beïnvloeden. Het is straks niet alleen de AVG, de UAVG en sectorale wetgeving, maar ook de ePrivacy Verordening, de DGA, DSA en DMA. En misschien een Schrems 3?

Isac van Assen, FG, gemeente Boxmeer
Het is voor ons van belang om onze positie in de besluitvorming ook in de nieuwe gemeente te behouden en onderdeel te blijven van de planning & control cyclus. Dit is namelijk een belangrijke basis om in beeld te blijven. Daarnaast is het van belang contact te houden met andere FG’s en elkaar daardoor te blijven stimuleren en van elkaar te leren. Thuiswerken hoeft in ieder geval niet ten koste te gaan van de ontwikkeling van de FG-rol. Het vraagt alleen om meer aandacht voor je zichtbaarheid.

Meer weten over actualiteiten op het gebied van dataprotectie en privacy? Bekijk de cursussen Actualiteitenreeks Next step privacy compliance, FG in publieke sector of de opleiding Certified Data Protection Officer

Verder lezen?

Laat uw e-mail achter en ontvang de brochure: FG in de publieke sector, direct in uw mailbox.