Print:

Actuele issues & uitdagingen voor DPO/FG’s in 2021 – deel 3 “DPO/FG: Center of Excellence of tweedelijns vraagbak en interne toezichthouder?”

Jasper Savenije , Product Development Manager

LinkedIn profiel

Veel Data Protection Officers (DPO’s)/ Functionaris Gegevensbescherming (FG’s) worstelen met de uitvoering van hun functieDaarbij hebben zij te maken met het op afstand werken, digitalisering van organisaties, data gedreven werken, cyberdreiging en beveiligingsmaatregelen. Wat zijn veelvoorkomende uitdagingen en hoe gaan ze hier mee om? 

 In deze nieuwe blogreeks vroegen wij een groot aantal DPO/FG’s naar hun ervaringen.  Hieronder drie reacties van privacy professionals werkzaam bij verschillende organisaties. 

Corona en het verplicht op afstand werken raakt alle werkende professionals in Nederland. Wat zijn actuele uitdagingen bij het uitvoeren van de DPO/FG functie? 

Elske Feenstra, DPO, VodafoneZiggo
Als telco was al veel gedigitaliseerd waardoor de transitie voor kantoormedewerkers vrijwel vlekkeloos ging. Voor klantenservice medewerkers moest wel e.e.a. geregeld worden. Er is een workingfromhome policy die privacy en security richtlijnen en vereisten bevat. Coördinatie van datalekken is soms wel lastiger om op afstand te doen. Ook strategische afstemming over belangrijke thema’s waar meerdere interne en externe stakeholders bij betrokken. Maar al met al, bevalt het werken op afstand wel. Ik hoef niet langer te wachten tot mijn collega’s uit alle hoeken van het land een keer op kantoor zijn voordat ik een meeting kan inschieten. 

Silvia van Dijk, FG / DPO, De Haagse Hogeschool
Door het op afstand werken, hebben we in snel tempo nieuwe competenties moeten aanleren. Het aanbod aan online tools die daarbij ondersteuning bieden en de behoefte daaraan is enorm gestegen. Het is hierbij de uitdaging om alert te blijven op de keuzes die we maken bij het gebruik daarvan. Meer dan ooit is het daarom voor de FG van belang om aandacht te blijven vragen voor privacy en gegevensbescherming, door middel van awareness sessies en informatiedeling. 

Michiel van Schaijck, advocaat en privacy officer, NS
De uitdaging als privacy officer is om voldoende op de hoogte te zijn wat er speelt in de business. Dat gaat eigenlijk boven verwachting goed. Overleggen verlopen efficiënt en collega’s zijn gewend aan het werken op afstand.

Welke taken kunt u als DPO/FG sinds het verplicht op afstand werken (bijna) niet meer doen? En hoe gaat u hiermee om? 

Elske Feenstra, DPO, VodafoneZiggo
In principe kan ik al mijn taken op afstand blijven uitvoeren.
 

Silvia van Dijk, FG / DPO, De Haagse Hogeschool
Ik ben in februari 2020 bij De Haagse Hogeschool gestart als FG en vrij kort daarna was de eerste lockdown. De meeste collega’s heb ik daardoor online ontmoet. Ik merk wel dat ik het mis om even binnen te lopen bij collega’s en op die manier een spontaan gesprek over het werk en de uitdagingen die daarbij spelen te kunnen voeren. Dat geeft een veel completer beeld, dan alleen de gesprekken waarbij de AVG/ privacy op de agenda staat, zoals het helaas online voor een belangrijk deel gaat. Ook spreek ik alleen de collega’s die mij opzoeken of waarvan ik weet dat zij ergens mee bezig zijn waarover ik zou willen adviseren. De nadruk komt dan soms ongewild teveel op de privacy aspecten/ AVG te liggen, terwijl ik het juist krachtig vindt om de daarbij behorende kaders in het grotere plaatje te kunnen passen. Ik benadruk dat in de gesprekken ook en dat helpt. Daarmee krijgt de AVG compliance steeds meer een plaats in het geheel van activiteiten waarmee wij binnen De Haagse Hogeschool bezig zijn en wordt het minder ervaren als een doel op zich.   

Michiel van Schaijck, advocaat en privacy officer, NS
Het creëren van meer bewustwording in de organisatie is in mindere mate mogelijk. We proberen die bewustwording zoveel mogelijk te creëren door online trainingen te verzorgen, maar dat blijft uitdagend.

Hoe gaat het met de privacy en security bewustwording in de organisatie onder corona? Als DPO/FG bent u mogelijk minder zichtbaar. Hoe zorgt u dat de bewustwording op een acceptabel niveau blijft en welke middelen zet u hierbij in? 

Elske Feenstra, DPO, VodafoneZiggo
Er is een uitstekende interne communicatie afdeling waardoor er dagelijks relevante berichten op Intranet staan. Daarnaast zijn er vaste communicatie momenten voor privacy en security gerelateerde thema’s. Ook Yammer is een geschikt communicatiemiddel om een boodschap intern te verspreiden. Er is afgelopen jaar geen fysieke training meer gegeven en dat is wel jammer. Zo hebben we afgelopen jaar veel Privacy Champions een Privacy training online laten volgen, maar dat is veel minder gezellig dan wanneer we deze paar dagen fysiek samen hadden kunnen zijn. Het schept ook een betere band die je soms hard nodig hebt bij ingewikkelde privacy vraagstukken. 

Silvia van Dijk, FG / DPO, De Haagse Hogeschool
Bij De Haagse Hogeschool is er bij ieder organisatie onderdeel een collega die de rol van Privacy Partner heeft. Zij doen dit allen naast hun gewone werk. De rol van de Privacy Partner is van groot belang voor de bewustwording in de organisatie. Ons Privacy Partner netwerk heeft in 2020 op dat gebied een belangrijke groei doorgemaakt. We delen informatie met elkaar in Privacy Partner bijeenkomsten en in Teams – ook dankzij het op afstand werken tot stand gekomen – zijn we gestart met een Privacy Partner community. Door het online werken lijkt het ook makkelijker om gasten uit te nodigen bij een vergadering. Ik haak dan ook regelmatig uit bij een bewustwordingssessie die door de Privacy Partner georganiseerd wordt. Hiermee bereiken we dat zowel de Privacy Partner en de FG beter gevonden kunnen worden door collega’s. 

Michiel van Schaijck, advocaat en privacy officer, NS
Dat is niet heel veel veranderd. Door zoveel mogelijk te overleggen met de business, trainingen te verzorgen en nieuwsbrieven te sturen houd je voldoende verbondenheid met de business. Wel blijkt dat de bestaande nieuwsbrief beter wordt gelezen dan voor Corona.

 In hoeverre zijn privacy en gegevensbescherming minder belangrijk geworden nu de focus (mogelijk) meer ligt op het op afstand werken, beveiligen van systemen en applicaties en digitaal transformeren van de organisatie? 

Elske Feenstra, DPO, VodafoneZiggo
Met Go Digital in de strategie is het datagedreven werken alleen maar toegenomen. Ik zou zeggen dat het dus juist alleen maar belangrijker is geworden. Ook de zicht/ controle van medewerkers op de werkvloer is minder geworden waardoor er nog meer behoefte is om medewerkers op afstand te kunnen controleren met behulp van logging en monitoring van de activiteiten. Ook dat kent in sommige gevallen weer privacy aspecten. 

Silvia van Dijk, FG / DPO, De Haagse Hogeschool
Soms hoor ik mensen zeggen dat ze door het thuis werken tijd over hebben. Op het gebied van privacy en gegevensbescherming heeft dit bij De Haagse Hogeschool juist tot meer werk geleid. En dat vind ik een goed teken. Juist bij het op afstand werken en op afstand onderwijs verzorgen (en toetsen), ontstaan steeds nieuwe privacy vraagstukken. Die vraagstukken ontstaan vaak pas als er op afstand gewerkt wordt, dit betekent echter niet dat privacy en gegevensbescherming minder belangrijk zijn geworden. Ik denk dat de ontwikkelingen die wij in het afgelopen jaar hebben doorgemaakt op het gebied van het Privacy Partner netwerk en de daaraan gekoppelde bewustwordingsactiviteiten er ook aan hebben bijgedragen dat collega’s zich heel bewust zijn van de privacy aspecten die verbonden zijn aan de thuiswerk en thuis onderwijs situatie. Ook vindt er doorlopend goede afstemming plaats tussen FG en juridisch team en integrale veiligheid. Die verbinding is cruciaal om ook de focus op het onderwerp privacy te houden. 

Michiel van Schaijck, advocaat en privacy officer, NS
Het belang van privacy en gegevensbescherming is niet gewijzigd. Het werken op afstand zorgt uiteraard wel voor meer technische kwetsbaarheden, maar de focus is niet komen te verliggen. Direct na het uitbreken van de van de corona pandemie heeft NS geïnvesteerd in de online werkomgeving en is het overleggen in Teams geadopteerd.

Ziet u de sterke toename van beschikbare data en het delen van gegevens met andere organisaties als een kans of als een bedreiging voor het naleven van wet- en regelgeving op deze onderwerpen? En waarom? 

Elske Feenstra, DPO, VodafoneZiggo
Delen van gegevens met andere organisaties is vanuit AVG al met waarborgen omkleed. Het delen van gegevens met andere organisaties blijft een heikel punt en zou ik niemand aanraden zonder PIA te ondernemen. Als het echt om een derde partij gaat, moet je wellicht zelfs voorleggen bij AP. Je moet erg goede redenen hebben en die ook via een balance act hebben afgewogen. 

Silvia van Dijk, FG / DPO, De Haagse Hogeschool
Ik denk dat de ruime en gemakkelijke beschikbaarheid van data zowel kansen als bedreigingen met zich mee kan brengen. Enerzijds biedt de wens om data te gebruiken of te delen een kans om met elkaar in gesprek te gaan over het doel en de noodzaak daarvan. Het gesprek kan hierover dan gevoerd worden en de juiste keuzes kunnen dan worden gemaakt binnen de kaders van de toepasselijke wet- en regelgeving. Anderzijds roept de ruime beschikbaarheid van data ook ethische dilemma’s op. Het feit dat de data beschikbaar is, is nog geen reden om deze zomaar te gebruiken. Een voorwaarde om tijdig het gesprek hierover te kunnen voeren is wel dat er voldoende afstemming binnen de organisatie plaatsvindt en dat men elkaar weet te vinden op het juiste moment. Doen we dat niet, dan bestaat de kans dat niet tijdig de juiste vragen gesteld kunnen worden en vormt de toename in beschikbaarheid van data juist een compliance risico. 

Michiel van Schaijck, advocaat en privacy officer, NS
Organisaties die datagedreven werken hebben baat bij het delen van informatie. NS als datagedreven organisatie biedt dit met name kansen. NS heeft het beleid om data te delen tenzij.. Een voorbeeld van een ‘tenzij’ is dat het delen van data stuit op bezwaren vanuit privacy of mededingingsrecht. Mits het delen van data juridisch goed is geregeld zouden daar geen grote bezwaren aan moeten kleven. NS heeft een zogenaamde Data Usage Board opgericht die wekelijks verzoeken om data beoordeelt vanuit verschillende perspectieven en met verschillende expertises. Door dit proces goed in te bedden in de organisatie kan het delen van data compliant en veilig plaatsvinden.

Veel organisaties worstelen met het structureel borgen van privacy compliance. Corona, thuiswerken, digitalisering, het 5G netwerk en tsunami aan nieuwe IoT verbindingen vormen actuele uitdagingen. Wat zijn de grootste bedreigingen voor uw privacy compliance en hoe gaat u daar als organisatie mee om? 

Elske Feenstra, DPO, VodafoneZiggo
We zien dat de aanvragen bij ons Privacy Office met 40% is toegenomen ten opzichte van het jaar ervoor. We hebben niet meer medewerkers gekregen, dus is het zaak om nog beter het werk te verdelen onder beschikbare privacy officers, privacy champions en andere afdelingen.  Ondertussen merk ik ook dat klanten Privacy office vaker weten te vinden, kritische vragen stellen (which is good) en de verwachtingen die worden gesteld aan Privacy Office hoog zijn. 

Silvia van Dijk, FG / DPO, De Haagse Hogeschool
De grootste bedreiging is de beschikbaarheid van tools die soms heel goedkoop of gratis worden aangeboden en die een goede ondersteuning bij thuiswerken of afstand op onderwijs bieden. De aanschaf van zo’n tool kan vaak heel eenvoudig en als daar geen of weinig kosten aan verbonden zijn, kan dit buiten beeld van de centraal beheerde IT toepassingen plaatsvinden. Het risico is dat in deze tools persoonsgegevens worden verwerkt zonder dat de risico’s op privacy en security gebied zijn onderzocht en zonder dat daar met de leverancier afspraken over zijn gemaakt. Bij De Haagse Hogeschool wordt daarom gewerkt aan een Toolroute, waardoor docenten en overige medewerkers een route aangereikt krijgen die zij kunnen volgen wanneer er interesse in een nieuwe tool is. Op die manier kan worden onderzocht wat het doel en de noodzaak van het gebruik van de tool zijn en of er voor de betreffende vraag al een oplossing is. Is die oplossing er nog niet, dan kunnen op dat moment – naast het doorlopen van het inkoopproces -privacy en security risico’s worden onderzocht en kunnen afspraken met de leverancier worden gemaakt. We zorgen er dan voor dat alle tools centraal in beheer genomen kunnen worden en dat we alleen werken met leveranciers die AVG compliant zijn. 

Michiel van Schaijck, advocaat en privacy officer, NS
NS verkeert momenteel in financieel zwaar weer. Door meer datagedreven te werken hoopt NS op termijn kosten te besparen en betere beslissingen te kunnen nemen gebaseerd op data. De enorme groei aan IoT verbindingen is al enige tijd aan de gang binnen NS en is dus niet nieuw. De grootste uitdaging voor het privacy office van NS is om de toenemende hoeveelheid vragen goed te kunnen beantwoorden.

Welke onderwerpen of thema’s staan er verder nog op uw agenda in 2021? 

Elske Feenstra, DPO, VodafoneZiggo
Verdere digitalisering van Privacy KPI’s. Ook privacy office gaat met haar tijd mee. Het is ook hard nodig om aan te kunnen tonen dat er veel werk wordt verzet, maar misschien nog wel meer werk nodig is. De privacy thema’s vragen om verdieping. Er is meer informatie beschikbaar en dus gaan we meer specialiseren per privacy officer. We groeien waarschijnlijk dit jaar meer naar een Center of Excellence dan tweedelijns vraagbaak en operationeel uitvoerend en interne toezichthouder tegelijkertijd. 

 Silvia van Dijk, FG / DPO, De Haagse Hogeschool
In 2021 willen wij ons vooral richten op het opzetten van een toekomstbestendig control framework, waarbij we streven naar zoveel mogelijk integratie met aandachtsgebieden zoals integrale veiligheid en risicomanagementOok wordt er meer integratie gezocht met de kennis en expertise die op het gebied van Privacy en Security aanwezig is in het onderwijs en onderzoek bij De Haagse Hogeschool. Dit kan bijdragen aan een groei in volwassenheid voor de interne organisatie en kan de praktijk van de interne organisatie input leveren voor onderwijs en onderzoek. 

Michiel van Schaijck, advocaat en privacy officer, NS
Het ethisch omgaan met data, algoritmes en AI moet meer ingebed worden in de organisatie. Door een gestandaardiseerd raamwerk kan het gebruik van dit type data beter gefaciliteerd worden omdat de business beter weet waar op gelet moet worden.

Hoe gaat de DPO/FG rol zich verder ontwikkelen als we op een meer continue basis op afstand gaan werken? 

Elske Feenstra, DPO, VodafoneZiggo
Ook op training/ coaching meer digitale initiatieven ondernemen. Teams werkt uitstekend om informatie te delen met grotere groepen. 

Silvia van Dijk, FG / DPO, De Haagse Hogeschool
Ik denk dat de focus in de toekomst nog meer zal liggen op verbinding. Hoewel we letterlijk op afstand van elkaar werken, is het voor de FG en PO juist van belang om dichtbij en bereikbaar te zijn, door de organisatie heen. Het virtuele kopje koffie zal daarom heel belangrijk blijven. Daarnaast zullen ook de FG en de PO gebaat zijn bij online toepassingen die de collega’s in de organisatie helpen om de juiste route te vinden als het gaat om AVG compliance. Doordat op afstand werken gepaard gaat met technologische ontwikkelingen, zal het advies van de PO en de FG ook steeds meer een element van ethiek bevatten. 

Michiel van Schaijck, advocaat en privacy officer, NS
Het op afstand werken gaat waarschijnlijk langer duren en als dit al afneemt zal het op afstand werken meer gebruikelijk zijn dan voor Corona. Datzelfde geldt voor de werkzaamheden van het privacy office. Het privacy office zal creatiever moeten omgaan met het vragen van aandacht voor privacy.

Meer weten over actualiteiten op het gebied van dataprotectie en privacy? Bekijk de opleiding Certified Data Protection Officer of de hands-on trainingen Privacy Officer 2.0 , FG in publieke sector of de Actualiteitenreeks Next step privacy compliance 

Verder lezen?

Laat uw e-mail achter en ontvang de brochure: Certified Data Protection Officer, direct in uw mailbox.