Conclusies Thematafels Dataprotectie & Privacycongres 2015

Tijdens het congres waren 4 thematafels, waar deelnemers in 2 sessies onder leiding van een tafelvoorzitter konden discussiëren over een specifiek thema. De belangrijkste conclusies per thematafel staan hieronder weergegeven.

Thematafel 1: Het borgen van privacy in de organisatie

Tafelvoorzitter: Ron Masselink, Senior Programmamanager, SNS Retailbank

(Volgt z.s.m.)

Thematafel 2: Consequenties van de EPV op IT

Tafelvoorzitter: Elske Feenstra, Compliance / Privacy Officer, Tele2

1. Hoe krijg je aandacht (budget) voor het onderwerp aangezien er tegengestelde bewegingen aan de gang zijn binnen het IT- landschap. Enerzijds kostenbesparing d.m.v. outsourcing naar buitenlandse partijen en cloud oplossingen en anderzijds meer uitgaven nodig om de juiste technische en organisatorische maatregelen te kunnen treffen
2. Waar begin je binnen IT? sluit je aan bij IT- change management processen of ga je het privacy normenkader opleggen. Er zijn slechte ervaringen met opleggen vanuit legal functie (zie ook presentatie dhr. Toet) vandaar dat voorkeur bij deelnemers aan RT bij het gezamenlijk definiëren van de benodigde acties
3. Governance: wie neemt de beslissing op het moment dat er niet 100% aan IT security vereisten kan worden voldaan (budget/ resources/ time constraints). Deelnemers aan RT geven aan dat de business owner (opdrachtgever van de verwerking) in zo’n geval de verantwoordelijkheid voor een geïnformeerd besluit moet nemen

Thematafel 3: De rol & functioneren van de Privacy Officer binnen de organisatie

Tafelvoorzitter: Reinier Treep, Data Protection Officer, NUON

1. Definieer voordat je begint goed je rol als PO, welke verantwoordelijkheden en taken. Borg commitment bij het management, zodat Privacy op de agenda staat
2. Doe het niet alleen. Je kan niet het ‘schaap met 5 poten’ zijn en alle competenties in huis hebben. Maak gebruik van de kennis en kunde van andere disciplines in de organisatie. Denk aan Legal, Compliance en Security. Stel waar mogelijk een werkgroep samen
3. Het blijft een uitdaging om bij elke medewerker privacy op de agenda te krijgen en niet ervaren te worden als een ‘moetje’. Oplossing richting is ‘Privacy-by-design’: in een vroegtijdig stadium al betrokken worden. Commitment vanuit MT helpt hier ook om als ‘belangrijk’ ervaren te worden

Thematafel 4: De rol & functioneren van de Security Officer binnen de organisatie

Tafelvoorzitter: Beer Franken, Chief Information Security & Privacy Protection Officer, AMC

1. De samenwerking tussen security officer met privacy & compliance, is afhankelijk van taken van security officer en positie van SO binnen de organisatie. Taken van SO mede bepaald door grootte van organisatie, zijn soms ook versnipperd over verschillende plaatsen in de organisatie. Zouden deze bij 1 persoon moeten liggen?
2. Vereisten binnen organisatie om rol van SO goed te kunnen vervullen zijn samenwerking tussen security, privacy & compliance dmv gestructureerd overleg, veelal met medeweten (of instemming) van de directie. Samenwerking tussen 3 pijlers gaat soms als vanzelf, vereist duidelijk communicatieve vaardigheden van de SO. Vereisten voor goede uitvoering van SO-functie zijn: draagvlak in hele organisatie, budget, business in the lead moet wel kennis van zaken hebben (verstand van techniek), audit-agenda
3. SO kan leren van PO; omgang privacy gevoelige informatie, verantwoordelijkheden en aansprakelijkheid privacybeleid, communicatie & compliance beleid

Geplaatst op: 28 september 2015