Print:

Dataprotectie: zo zorgen experts voor (duurzaam) draagvlak

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

In de maanden rond 25 mei 2018 stond het thema dataprotectie bij veel organisaties hoog op de prioriteitenlijst. Inmiddels dreigt het gevoel van urgentie over AVG-compliance te verdwijnen. Hoe houden privacyprofessionals de Algemene verordening gegevensbescherming (AVG) intern op de agenda? Experts delen hun ervaringen, inzichten en tips.

FG in de publieke sector | IIR

 

“Privacy moet een kwaliteitscriterium zijn om goed en zorgvuldig met de gegevens van burgers, leveranciers en klanten om te gaan. De Functionaris voor de Gegevensbescherming (FG) moet privacy ook als een product kunnen verkopen.” Dat drukte Klaas de Bruin, beleidsadviseur bescherming persoonsgegevens bij de politie, privacyprofessionals al vóór de komst van de Algemene verordening gegevensbescherming (AVG) op het hart. Het helpt volgens De Bruin niet om te dreigen met de hoge boetes die de toezichthouder, de Autoriteit Persoonsgegevens (AP), op grond van de nieuwe wet kan opleggen. Het is veel belangrijker om het belang van privacy voor de organisatie voor het voetlicht te brengen.

Met hun expertise op het vlak van dataprotectie zijn FG’s en data protection officers (dpo’s) de aangewezen professionals om het belang van AVG-compliance te agenderen. Toch is het niet altijd eenvoudig om draagvlak voor de nieuwe wetgeving te creëren én vast te houden. Vier do’s & dont’s uit de praktijk.

1. Zorg voor steun van de top

Een succesvolle implementatie van de AVG vraagt om een sterke betrokkenheid van het management, zegt Elske Feenstra, Corporate Compliance & Privacy Officer van telecomprovider Tele2. “In je eentje red je het niet – er moet een gevoel zijn dat we gezamenlijk werken aan de juiste oplossingen. Zorg dus dat je steun hebt van het management. Als het belang van de AVG daar niet tussen de oren zit, dan wordt het heel moeilijk om de awareness wél van medewerkers te vragen.” De backing vanuit het bestuur is ook belangrijk bij incidentenmanagement. “Gaat het dan meteen om de schuldvraag, of staat het samen zoeken naar een oplossing voorop? Begrip van de issues, draagvlak voor de veranderingen en voorbeeldgedrag vanuit het management zijn essentieel.”

2. Blijf dichtbij de werkvloer

“Blijf dicht op de werkvloer en investeer niet alleen op managementniveau in aandacht voor dataprotectie”, adviseert Nienke Koorn, privacy officer van WeTransfer, de Nederlandse down- en uploaddienst voor het versturen van grote bestanden. De inzet van privacy champions – interne ambassadeurs vanuit verschillende afdelingen – is hiervoor een veelgebruikte methode, ziet Koorn. “We zijn een techbedrijf dus ongeveer de helft van de mensen in de organisatie zijn developers. Dat zijn meestal mensen die heel goed weten hoe je data achterlaat als je online bent en hoe je dat minimaliseert. We hebben dus héél veel privacy champions. Ik merk ook dat collega’s vaak al een gut feeling hebben als er iets niet helemaal klopt in hoe ze met persoonsgegevens omgaan. Privacy governance is soms helemaal geen rocket science.”

3. Maak er geen juridisch verhaal van

Veel privacy officers hebben een juridische achtergrond en kunnen daarom prima uit de voeten met de complexiteit van de AVG. Maar om (duurzaam) draagvlak te creëren voor dataprotectie is méér nodig dan een juridisch perspectief, zegt Josine van der Brug, adviseur bij TACT Legal en privacyexpert bij Data Just Right. “Privacy is niet enkel een juridisch vraagstuk, en zo moet je het ook niet benaderen. Het is een vakgebied waarin meerdere disciplines samenkomen, van ethiek tot IT, en die moet je van verschillende kanten kunnen belichten.” In haar dagelijkse werkpraktijk kijkt Van der Brug, die in 2017 de opleiding Certified Data Protection Officer afrondde, dan ook verder dan het privacyrecht. “Als privacyadviseur ga je met een organisatie het gesprek aan over de dienstverlening, welke informatie je daarvoor nodig hebt en hoe je met die gegevens omgaat. Hoe wil je als het gaat om privacy overkomen op je klanten en personeel? Dat levert veel leukere gesprekken op dan het afvinken van een checklist met de punten die wel en niet mogen.”

4. Zie compliance niet als een project

In de aanloop naar de inwerkingtreding van de AVG zijn veel organisaties vanuit een projectmatige aanpak met implementatie en compliance aan de slag gegaan. Maar voor een goede naleving van de AVG is veel meer nodig dan een (eenmalig) project, zegt Frank van Vonderen, partner van Verdonck, Klooster & Associates en docent bij diverse IIR-opleidingen. “AVG inrichten als project is niet realistisch. Privacy heeft namelijk geen concreet eindresultaat, geen deadline en geen business case.”

Als AVG-compliance wordt gezien als een project om verbeteringen door te voeren en aan regels te voldoen, komen er alleen veranderingen aan de oppervlakte. De organisatie zet een register van verwerkingsactiviteiten op, maakt verwerkersovereenkomsten en voert een DPIA uit. Maar de kernvragen blijven daarmee onbeantwoord, waarschuwt Van Vonderen. ” De werkelijke vraag is namelijk op welke manier privacy duurzaam kan worden geborgd binnen een organisatie. Wat is eigenlijk de impact van de AVG? Wat zijn nu de beoogde doelstellingen en resultaten en welke mensen, competenties en vaardigheden (inclusief de projectleider) zijn er nodig om de privacy wetgeving goed te laten landen?” Dat zijn geen eenvoudige vragen, geeft Van Vonderen toe. Maar het nadenken over de antwoorden is juist een manier om de betekenis en het belang van dataprotectie te expliciteren – en daarmee een stevig fundament te leggen voor structureel draagvlak voor AVG-compliance.

Alles weten over AVG-compliance, privacy awareness en draagvlak voor dataprotectie? Volg de praktijkcursus FG in de publieke sector, de vierdaagse cursus Privacy Officer 2.0, of ga voor de beroepsopleiding Certified Data Protection Officer.

FG in de publieke sector | IIR

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten