Print:

Dataprotectie? Dan moet je eerst alles weten over data

De functietitel van Data Protection Officers (DPO’s) maakt al duidelijk dat data een essentieel onderdeel zijn van het werkterrein van privacyprofessionals. Daarbij spelen naast de juridische kaders ook andere aspecten mee. Drie experts vertellen over de uiteenlopende data-issues die van invloed zijn op het werkveld van DPO’s.

“Nieuwe digitale technologie houdt zich per definitie niet aan landsgrenzen. De wereld waarbinnen organisaties en ondernemingen opereren is daarmee in feite een dynamisch speelveld met steeds veranderende issues.” Dat zegt Bert Kersten, hoogleraar Business Processen & ICT aan Nyenrode Business Universiteit, mede-directeur van het Fraude Detectie Expertise Centrum van Leiden University en bestuurslid van de stichting Neurale Netwerken.

De juiste oplossingen voor dataprotectie en datagebruik liggen volgens Kersten tegenwoordig dan ook niet voor het oprapen. “Welke gegevens zijn privacygevoelig? Welke regels zijn van toepassing? Hoe verhoudt de nationale wet- en regelgeving zich tot de snelle technologische ontwikkelingen?”, geeft Kersten als voorbeelden van vragen waarmee data protection officers (DPO’s) en andere privacyprofessionals te maken krijgen.

Business innovatie

Privacyprofessionals moeten goed op de hoogte zijn van de ontwikkelingen in wet- en regelgeving, maar ook van de innovaties binnen hun organisatie, adviseert Kersten. “Wie zijn onze klanten? Welke persoonsgegevens verzamelen we precies? Hoe verandert de aard van deze data in de loop der tijd, bijvoorbeeld doordat we internationaal opereren? DPO’s moeten tijdig worden betrokken bij plannen, projecten en business cases om een inschatting te kunnen maken van de compliancerisico’s. Niet om hindernissen op te werpen, maar om de drempels voor innovatie weg te nemen.”

Lange leveranciersketens

Wat is voor professionals die zich bezighouden met dataprotectie en privacy de grootste opgave als het gaat om data? Peter van Rietveld, competence manager bij adviesbureau Traxion en security architect bij Ahold Delhaize, ziet de bestaande paradigma’s voor security en privacy als grootste struikelblokken. “In ons digitale tijdperk worden steeds meer diensten uitbesteed aan allerlei leveranciers, die vervolgens ook weer andere partijen inschakelen. Bij grote organisaties hebben soms letterlijk duizenden externen – van vrachtwagenchauffeurs die goederen afleveren aan magazijnen tot monteurs die zorgen voor het onderhoud van airco’s, liften en roltrappen – toegang tot digitale data, systemen en netwerken. Maar security en dataprotectie richten zich primair op het gedrag van medewerkers en contractors. De huidige maatregelen hebben vaak onvoldoende oog voor de risico’s van de lange leveranciersketens.”

Rietveld, die op 15 november tijdens het Dataprotectie & Privacy Congres een workshop verzorgt over robotics op de werkvloer, was bij Ahold betrokken bij diverse projecten om Robotic Process Automation (RPA) toe te passen om repetitieve processen te automatiseren door middel van software. Hij adviseert Functionarissen voor de Gegevensbescherming (FG’s) om bewust stil te staan bij actuele ontwikkelingen en technische innovaties zoals robotics. “Robotics is een relatief nieuw thema waarover nog veel onbekend is en waarover de nodige onzin wordt verteld. Neem dus de tijd om goed na te denken over alle risico’s, en laat je niet voorhouden dat er best practices zijn, of dat er een snel besluit nodig is om RPA succesvol toe te passen.”

Hoge eisen

De uiteenlopende technische en organisatorische vraagstukken die spelen in het internationale digitale speelveld van nu, stellen hoge eisen aan de expertise en skills van DPO’s. Volgens Jeroen Terstegge, partner van adviesbureau Privacy Management Partners, vertegenwoordiger van de IAPP in Nederland en een van de docenten van de collegereeks Bedrijfskunde voor privacy van IIR en Nyenrode Business Universiteit, is het voor één persoon eigenlijk onmogelijk om aan alle vereisten te voldoen die nodig zijn om succesvol te opereren.

“Op dit moment heeft naar schatting ongeveer de helft van de FG’s een juridische achtergrond. Daarnaast zijn veel DPO’s afkomstig uit de wereld van informatiebeveiliging”, signaleert Terstegge. “Maar je komt er niet door te zeggen wat de regels zijn en er dan maar vanuit te gaan dat die worden opgevolgd. Je hebt ook kennis nodig van onder andere bedrijfskunde, verandermanagement en communicatie. Je moet ook allerlei skills hebben: je moet bijvoorbeeld kunnen adviseren, weten hoe audits werken, en begrijpen wat de strategie van de organisatie betekent voor het complianceprogramma. Het mag duidelijk zijn: geen enkele persoon heeft alle skills om alle uitdagingen aan te gaan.”

Daarom werken DPO’s volgens Terstegge idealiter in een multidisciplinair team. “De FG die alleen opereert heeft echt een grote uitdaging. Natuurlijk is de directie verantwoordelijk voor de compliance. Maar de FG moet de organisatie wel proberen in beweging te zetten om aan de regels te voldoen.”

Alle expertise en vaardigheden ontwikkelen die nodig zijn om de actuele uitdagingen in dataprotectie aan te gaan? Kom naar het tweedaagse Dataprotectie & Privacy Congres, ga voor de premium beroepscertificering van de Certified Data Protection Officer, of kies een van de thematische trainingen van IIR, zoals Security voor privacyprofessionals, Privacy governance en risk management en Datamanagement.

Alle opleidingen in 1 gids?

Laat uw e-mail achter en ontvang de opleidingsgids direct in uw mailbox.