Print:

De grootste uitdagingen voor DPO’s bij AVG-compliance (plus tips om ermee aan de slag te gaan)

Ruim een jaar na de implementatie van de AVG is de hype rond de nieuwe Europese privacywet wel voorbij. Toch is er voor privacyprofessionals nog veel te doen. Sterker nog, er verschijnen regelmatig nieuwe issues op de agenda. Wat zijn de opgaven en wat is er nodig om ermee aan de slag te gaan? IIR vroeg het ervaren Data Protection Officers, docenten en andere experts.

“Vroeger had ik op een verjaardagsfeestje wel wat uit te leggen. Bijna niemand begreep wat privacy inhoudt en waarom het belangrijk is. Dat is nu fundamenteel veranderd: er is een brede bewustwording van de problematiek, het onderwerp privacy is volwassen geworden, en dataprotectie kan op veel draagvlak rekenen”, zegt Huib Gardeniers, partner bij Net2Legal Consultants en docent van de IIR-opleiding Certified Data Protection Officer (CDPO).

Uitdagingen en misverstanden

De groeiende aandacht voor privacy en dataprotectie is goed nieuws voor alle professionals die zich met het thema bezighouden. Tegelijkertijd brengt de awareness nieuwe uitdagingen mee. Er wordt nogal eens geklaagd over de administratieve lasten van de Algemene verordening gegevensbescherming (AVG). Of de privacywet staat te boek als rem op innovatie. Of de implementatie van de AVG wordt gezien als tijdelijk project, waarvan het einde in zicht is.

Bovendien zijn er nog wel eens misverstanden over de positie van de Functionaris voor de Gegevensbescherming (FG). Rachel Marbus, FG bij KPN: “Omdat de functie van een data protection officer voor veel organisaties nieuw is, weten collega’s niet altijd wat het takenpakket inhoudt. En als je vertelt dat je met de blik van een toezichthouder kijkt, dan zeggen ze al snel: ja, maar dat kan toch niet de bedoeling zijn!”

De grootste opgaven

Ook een jaar na de komst van de AVG ligt er dus nog het nodige (zendings)werk op het bord van Privacy Officers en FG’s. Wat zijn volgens ervaren Data Protection Officers nu de grootste uitdagingen bij AVG-compliance? Drie opgaven op een rij.

  1. Draagvlak en awareness

De grootste uitdaging voor FG’s is volgens Udo Oelen, FG bij de NS, om het thema privacy binnen de organisatie levend te houden. “Na de hype rond de AVG van vorig jaar staan we voor de opgave om iedereen voortdurend bewust te laten zijn dat privacy belangrijk is en bij vragen over dataprotectie het privacyteam te raadplegen.”

Het creëren van draagvlak voor dataprotectie is ook volgens Arjen Deenen, FG aan de Rijksuniversiteit Groningen, een van de grootste uitdagingen waar Data Protection Officers en hun collega’s nu voor staan. “Hoe overtuig je collega’s om op een zorgvuldige manier met persoonsgegevens om te gaan? Als FG spreek je met het management, maar ook met de mensen op de werkvloer. De FG kan hen ook duidelijk maken dat de AVG niet alleen maar lastig is – of juist helemaal niet lastig is.”

“Collega’s vinden het van oudsher lastig om te horen te krijgen dat iets niet van de wet mag”, vult Rachel Marbus aan. “Dat is logisch, want ze hebben natuurlijk andere targets dan de naleving van de wet. Dat maakt de positie van alle privacyprofessionals – of je nu een Privacy Officer bent, of een formeel aangesteld FG – best ingewikkeld. Je moet soms impopulaire adviezen geven.”

  1. Innovatie en techniek

De actuele ontwikkelingen in kunstmatige intelligentie (AI) roepen ingewikkelde vraagstukken op, die privacyprofessionals voor complexe uitdagingen stellen, vertelde Lokke Moerel, senior of counsel bij Morrison & Foerster en hoogleraar aan Tilburg University, recent tijdens de Dag van de Privacy Officer. “AI is vaak een black box, waardoor we niet weten hoe het algoritme tot zijn output komt. Daardoor is niet mogelijk om te voldoen aan het vereiste om automatisch genomen besluiten te kunnen uitleggen, zoals responsible AI vereist.”

Kunstmatige intelligentie is een van de vele technische ontwikkelingen waarmee Data Protection Officers te maken krijgen. Ook bijvoorbeeld blockchain, cloud computing en big data zijn technieken om rekening mee te houden. Een kernopgave is steeds om privacy en dataprotectie al in een vroege fase op de agenda te zetten, zonder dat dit ten koste gaat van de innovatieve kracht en ambities van de organisatie. “Het is essentieel dat dataprotectie uit de hoek van compliance komt en onderdeel wordt van innovatieprocessen met privacy by design als uitgangspunt”, vindt Moerel. “Want als je het aan de voorkant niet goed regelt dan kan je het achteraf met toezicht echt niet meer goed krijgen. Sterker nog, als Data Protection Officers proactief op innovatie inzetten dan zal je in de back office veel minder werk hebben.”

  1. Ethiek

Een extra uitdagingen voor privacyprofessionals is om zich bewust te zijn van ethische aspecten van hun werk, zegt Piek Visser-Knijff, ethisch consultant van Filosofie in actie en gastdocent bij de IIR-cursussen Privacy Officer 2.0 en FG in de publieke sector, en bij de beroepsopleiding CDPO. Zo’n ethische bril geeft een extra dimensie aan de juridische, technische en organisatorische perspectieven op privacyvraagstukken die nu doorgaans dominant zijn. Visser-Knijff: “Concreet betekent dat: weten wat het spanningsveld is, welke belangen er spelen, welke waarden er in het geding zijn, en welke vragen gesteld moeten worden. Dat vraagt niet alleen om bewustwording van ethische aspecten, maar ook om morele moed om deze bespreekbaar te maken. Bij veel morele vraagstukken spelen belangen vanuit de organisatie en doordat ethiek daar vragen bij plaatst kan het best ingewikkeld worden.”

Visser-Knijff is ervan overtuigd dat ethiek steeds belangrijker wordt binnen het werkterrein van privacyprofessionals. “Vorig jaar stond vanwege de komst van de AVG sterk in het teken van compliance. Het lijkt erop dat organisaties die daarin nu veel stappen hebben gezet – of die worden aangesproken op hun gedrag – zich in toenemende mate bewust zijn van hun maatschappelijke en morele verantwoordelijkheid. Naleving van de wet is dan niet het hele verhaal. Het gaat er ook om een visie op data-ethiek te hebben. En daarmee staat ethiek nu hoog op de agenda.”

Van uitdaging naar kans

Doorgewinterde privacyprofessionals weten het als geen ander: de wereld van dataprotectie is altijd in beweging en brengt daarom onvermijdelijk nieuwe vraagstukken, thema’s en uitdagingen mee. Dat maakt het werkveld complex, maar ook spannend. Wat is er nodig om in control te blijven?

  1. Communicatie middenin het primaire proces

“Voor de effectiviteit van je advies en toezicht is het natuurlijk essentieel dat er naar je geluisterd wordt. Daarom is het belangrijk dat je niet buiten spel wordt gezet en proactief bent aangehaakt op nieuwe ontwikkelingen,” zegt Hatice Dogan, FG bij de Sociale Verzekeringsbank. “Een goede data protection officer is prettig in de omgang, maakt makkelijk contact met collega’s en stelt zich open naar anderen op. Pas als je proactief contact legt en zelf ook goed benaderbaar bent, kan je een serieuze gesprekspartner zijn.”

Huib Gardeniers licht toe: “Je moet eigenlijk een soort diplomaat zijn die middenin het primaire proces van de organisatie staat. Want als niemand je weet te vinden en niemand naar je luistert, kan je niet de informatie en betrokkenheid krijgen die nodig zijn om je werk goed te doen. Het grootste risico van de positie van Data Protection Officers is om afgesneden te worden van de organisatie.”

Rachel Marbus benadrukt het belang van goed overleg binnen de organisatie. “Het is logisch dat collega’s het lastig vinden als ze iets niet kunnen doen vanwege de privacywetgeving. Ik benadruk dan dat we allemaal op aarde zijn om het bedrijf verder te helpen. Dat kan uiteraard ook als je goed let op privacy en security.”

  1. Een brede blik

De AVG is voor een belangrijk deel een juridisch vraagstuk, maar er spelen ook allerlei andere vragen. Dat vraagt om Privacy Officers met een brede blik, vindt Peter van Schelven, IT-jurist bij Bij Peter Wet & Recht en hoofddocent van de beroepsopleiding CDPO. “Hoe krijg ik als Privacy Officer budget voor mijn werk? Hoe kan ik meeliften met kwaliteitsmanagement? Hoe creëer ik draagvlak voor dataprotectie in alle lagen van de organisatie? Weet de werkvloer eigenlijk wel goed wat een datalek is? Hoe zorg ik dat mensen een incident ook melden, zonder angst voor represailles? Welke securitytools zijn er op de markt?” Een goede Privacy Officer kan al die verschillende aspecten met elkaar verbinden, zegt Van Schelven. “Iedereen die werkt aan dataprotectie moet zich bezighouden met vakgebieden waarover je in het verleden misschien nooit hebt hoeven nadenken. Denk aan ethiek, techniek, projectmanagement, marketing, interne en externe communicatie…”

André Beerten, adviseur informatieveiligheid en privacy bij Octopus Informatiebeveiliging en gastdocent bij de CDPO-opleiding, vult aan dat privacyprofessionals niet alle details hoeven te kennen van een onderwerp zoals informatiebeveiliging. “Het gaat erom te kunnen doorzien hoe je dat op een procesmatige manier regelt. En om een gesprekspartner te kunnen en durven zijn voor IT. Je moet bijvoorbeeld het lef hebben om als FG lastige vraagstukken te adresseren. Want als een informatiebeveiliger in jouw organisatie er niets van bakt dan is dat ook een risico voor jou.”

Peter van Schelven benadrukt dat het essentieel is om hierbij zelfstandig en creatief te opereren. “Natuurlijk moet je de basics kennen, zoals de hoofdlijnen van de AVG. Maar je kunt in dit vak simpelweg niet even een boekje, checklist of stappenplan afwerken.”

  1. Timing, timing, timing

“Het is belangrijk om als FG en Privacy Officers in een zo vroeg mogelijk stadium aangehaakt te zijn bij nieuwe projecten en initiatieven”, zegt Udo Oelen over de positionering van de FG en de privacy office. “Op die manier kunnen we vroegtijdig meedenken over dataprotectie, zorgen dat privacy wordt meegenomen in ontwikkelprocessen en aangeven waar de kansen liggen voor privacy by design. Anders bestaat het risico dat je een showstopper wordt omdat er vlak voor de oplevering van een project nog allerlei wijzigingen moeten worden doorgevoerd. Dat realiseer je alleen door vindbaar en benaderbaar te zijn op de werkvloer. Bij directies én de collega’s die aan de knoppen zitten om nieuwe initiatieven te starten.”

“De grootste uitdaging is om op het juiste moment door de juiste mensen te worden betrokken, zodat je tijdig kunt meedenken en je toegevoegde waarde kunt laten zien”, zegt ook Aleksandra Hornstra, FG bij Lidl. “Mijn advies is: wees zichtbaar, toegankelijk en proactief.”

Met de trainingen en conferenties van IIR zijn Privacy Officers en Data Protection Officers voorbereid op de uitdagingen van nu en straks. Volg bijvoorbeeld de vierdaagse cursus Privacy Officer 2.0, de praktijkcursus FG in de publieke sector, of ga voor de beroepsopleiding Certified Data Protection Officer (CDPO).

Alle opleidingen in 1 gids?

Laat uw e-mail achter en ontvang de opleidingsgids direct in uw mailbox.