Print:

De onafhankelijkheid van de FG start bij support van het management

De steun op het hoogste niveau van de organisatie is een voorwaarde om als Functionaris voor de Gegevensbescherming (FG) onafhankelijk te opereren. Alleen op die manier krijgt de FG namelijk de juiste positie, voldoende mandaat en een adequaat budget. Dat zegt Marlon Domingus, FG bij Erasmus University Rotterdam.

Marlon Domingus IIRVoordat Marlon Domingus in 2018 als Functionaris voor de Gegevensbescherming (FG) werd aangesteld bij de Erasmus University Rotterdam (EUR) was hij er programmamanager voor research data management. Van deze ervaring had hij bij zijn start als FG direct voordeel. “Aan de zeven faculteiten van de EUR studeren meer dan 31.000 studenten en werken ruim 3.000 medewerkers. Tot de EUR Holding behoren bovendien diverse B.V.’s die executive en post-academisch onderwijs verzorgen, onderzoek in opdracht uitvoeren en consultancy verlenen. Daarnaast neemt de universiteit deel aan diverse publieke en private samenwerkingsverbanden. Door mijn werkervaring aan de EUR was ik als FG al bekend met de context van het werkveld en de belangrijkste stakeholders daarin.”

Gespecialiseerd team

Naast Domingus bestaat de privacy office van de EUR uit een Chief Privacy Officer (CPO) en tien privacy officers. “Al vanaf het allereerste begin van mijn aanstelling hebben we afspraken gemaakt en vastgelegd over de werkverdeling. De CPO geeft leiding aan het team van privacy officers, en in de documenten over onze governance staat beschreven hoe we een helder onderscheid maken tussen voorlichting en handhaving. Ik schrijf bijvoorbeeld niet mee aan beleid en geef geen formele opdrachten aan de privacy officers.” Domingus kan wel een beroep doen op bijvoorbeeld ondersteuning van een privacy officer als hij een onderzoek wil uitvoeren.

Rond de komst van de Algemene Verordening Gegevensbescherming (AVG) lag de nadruk binnen de privacy office op voorlichting en advies, met als doel om toe te werken naar een manier van werken waarin de FG meer ruimte krijgt voor toezichthoudende taken en de privacy office zelfstandig opereert. “In eerste instantie zijn de privacy officers vooral opgeleid om te zorgen dat iedereen bij vragen uit de organisatie dezelfde antwoorden geeft. Nu willen we ervoor zorgen dat we effectiever kunnen samenwerken doordat privacy officers zich verder specialiseren, bijvoorbeeld op het vlak van juridische zaken en communicatie.”

Volgens Domingus is het deskundige privacyteam een essentiële voorwaarde voor zijn onafhankelijke positie als FG. “Vooral rond de implementatie van de AVG is er veel tijd geïnvesteerd in de vertaalslag van de wettelijke vereisten naar de specifieke situatie van verschillende afdelingen. Om de kwaliteit van de adviezen te borgen, heb je een goed team nodig. De FG moet natuurlijk niet allerlei vragen vanuit de organisatie gaan beantwoorden. Maar je wilt ook niet dat er verkeerde adviezen worden gegeven.” Verder ziet Domingus de structurele borging van de communicatie over dataprotectie als een belangrijke taak voor de privacy office.

Steun van het management

Het vraagstuk van de onafhankelijkheid van FG’s draait volgens Domingus uiteindelijk om de steun vanuit het management. “Het College van Bestuur is het hoogste orgaan van de EUR. Ik heb een goede band met de drie collegeleden en zij supporten het onderwerp dataprotectie ook volledig. Dat zorgt ervoor dat ik mijn werk kan doen: je hebt als FG echt steun, een mandaat en voldoende budget nodig. Je kunt je wel beroepen op een wettelijk beschreven rol en taak, maar deze moeten je in de praktijk ook gegund worden.”

“Ik kan altijd overleggen met het College van Bestuur en de collegeleden vinden privacy belangrijk”, zegt Domingus over het draagvlak op managementniveau. “Maar de onafhankelijkheid heeft ook te maken met concrete afspraken over de positionering van de FG. Ik adviseer bijvoorbeeld aan directies. Als ik merk dat mijn adviezen niet serieus worden opgepakt dan kan ik naar het College van Bestuur toestappen. Doordat we dat hebben vastgelegd komen we er op de werkvloer in concrete gevallen sneller samen uit.”

Drie uitdagingen

Een van de uitdagingen die Domingus ervaart in zijn rol als FG heeft te maken met de interne rapportage. “Het register van verwerkingen kan veel bruikbare input opleveren voor rapportages, bijvoorbeeld over de aard van de vragen die binnen de organisatie worden gesteld. Rapportages helpen om een beeld te krijgen van mate waarin de organisatie in control is. Maar wat ga je precies rapporteren, welke dashboards gebruik je en wat doe je er vervolgens mee? De informatiebehoeften op verschillende niveaus van de organisatie verschillen nogal eens, en er zijn geen standaarden voor inzichtelijke rapportages over AVG-compliance.” Ook de interpretatie van data is lastig, merkt Domingus. “Wat betekenen de getallen over interne vragen eigenlijk voor de risico’s van nu en de toekomst? Zolang we dat niet helder hebben, wordt het ingewikkeld om als FG te adviseren welke risico’s het meest urgent zijn.”

Een andere uitdaging vindt Domingus de dataprotectie binnen ketensamenwerkingen. “Als universiteit werken we veel in ketens. De diverse betrokken partijen denken nogal eens verschillend over de voorwaarden voor zorgvuldige gegevensuitwisseling. Welke risico’s zijn we bereid te accepteren, welke standaarden hanteren we als basis, welke documenten en templates gebruiken we voor convenanten over gegevensuitwisseling? Het is al lastig om overzicht te houden over de gegevensuitwisselingen en de governance te regelen. Als je dan ook nog gedoe hebt over de basisuitgangspunten voor dataprotectie dan bestaat het risico dat mensen – ten onrechte – denken dat er allerlei dingen niet mogen vanwege privacy.”

“Ik merk dat er veel bereidheid bestaat om te werken aan AVG-compliance: de organisatie snapt de noodzaak om te zorgen voor privacy en vindt dataprotectie belangrijk”, vult Domingus aan. “Het lastige is dat privacy by design nog niet altijd op orde is. We hebben bijvoorbeeld te maken met systemen die nog niet zijn ingeregeld zoals we zouden willen. Dat maakt het complex: mensen zijn aware, maar hebben niet altijd de middelen om dataprotectie op een gebruiksvriendelijke manier te organiseren. Ik zou graag worden verrast door IT-architecturen en tools voor dataprotectie die passen bij de wereld waar we naartoe willen.”

 Alle kennis en vaardigheden opdoen om als FG onafhankelijk en effectief te opereren? Volg dan de opleiding Certified Data Protection Officer (CDPO), of kies voor de gespecialiseerde praktijkcursus FG in de publieke sector. Ontmoet Marlon Domingus en vele andere vakgenoten tijdens het Dataprotectie & Privacy Congres 2019.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.