Print:

De volwassenwording van de DPO/FG-functie #3: “Als DPO/FG is het hebben van lef essentieel om zaken bespreekbaar te maken.”

Veel Data Protection Officers (DPO’s)/ Functionaris Gegevensbescherming (FG’s) worstelen met de invulling en uitvoering van hun toezichthoudende rol. Hoe gaan ze om met het spanningsveld tussen uitvoeren, controleren en adviseren? Hoe pakken ze de regie? En hoe blijven ze aan de bal? In voorbereiding op het actualiteitenseminar Dag van de Privacy Officer 2020, waar de positionering en de vakvolwassenheid van de DPO/FG-functie centraal staan, vroegen wij een aantal DPO/FG’s naar hun ervaringen.

Drie ervaren DPO/FG’s beantwoorden in deze derde reeks een aantal priemende vragen.

In veel organisaties worstelen DPO/FG’s met de positionering en invulling van hun DPO/FG-rol. Wat zijn veel voorkomende issues en uitdagingen daarbij?

Ivonne Verkes, FG, Zeddicus procesdraperie
In veel gevallen is de DPO/FG aangesteld omdat de wet dit verplicht. En dus niet omdat men in de organisatie overtuigd is van de toegevoegde waarde. Dat betekent veelal ook dat de DPO/FG in naam wel acteert op C-niveau, maar in de praktijk meer gezien wordt als iemand van de uitvoerende laag. Soms zelfs lastig gevonden wordt, omdat hij/zij kritisch kijkt naar beslissingen. En hoewel dat zijn/haar taak is, kan het vervelend zijn als de DPO/FG die ook serieus neemt.

Tegelijkertijd moet een DPO/FG ook flexibel zijn, dan dat vaak het geval is. Niet zelden is het eerste antwoord van een DPO/FG “nee dat mag niet van de wet”. Dat helpt ook niet om de organisatie verder te helpen of zelf serieus genomen te worden.

Teun Visscher, FG, Nationale Politie
De term ‘worstelen’ doet mij denken aan een situatie van ‘vechten’ of ‘strijden met’. Ik herken die situatie geheel niet binnen onze organisatie. Natuurlijk zijn er uitdagingen en aandachtspunten. Zoals het ontbreken van kennis in de eerste lijn, ontbreken van procesbeschrijvingen en zijn verantwoordelijkheden nog niet altijd goed belegd.

Arjen Deenen, FG, Rijksuniversiteit Groningen (RUG)
De FG wordt gezien als verantwoordelijke voor bepaalde processen met persoonsgegevens. Zo wordt een FG aangekeken op het al dan niet melden van datalekken (inbreuken in verband met persoonsgegevens). Ook wordt de FG vaak gezien als een privacy officer of een privacyjurist. Zij zijn in beginsel uitvoerend. Dat is een FG niet; hij voert overigens genoeg uit, maar niet in die zin.

Wat is voor DPO/FG’s belangrijk voor het uitoefenen van hun toezichthoudende rol?

Ivonne Verkes, FG, Zeddicus procesdraperie
“Op de hoogte zijn en blijven van zowel juridische, technische en organisatorische ontwikkelingen is in mijn ogen het belangrijkste. Verandering is de enige constante en dat betekent dat dit ook geld voor het werkgebied van de DPO/FG. Toezicht dient ervoor om een organisatie voortdurend verbeteren als kernwaarde te hebben. Dat kan alleen als de DPO/FG een betrokken en soms zelfs disruptieve houding heeft.’

Teun Visscher, FG, Nationale Politie
“Belangrijk is het kennen en gekend worden in de organisatie en ‘weten waarover je spreekt’. En daar waar kennis van onderwerpen ontbreekt, is het belangrijk om erop uit te trekken en je te laten informeren door de collega’s (op de werkvloer) die met innovaties of nieuwe processen bezig zijn en daar met privacywetgeving en -toepassing bezig zijn. Mijn ervaring is dat er een grote bereidheid is om uitleg te geven en een houding om met elkaar te zoeken naar de juiste aanpak en detectie van de privacy risico’s. Mijn stijl is door het stellen van vragen, de collega’s te gidsen naar de gewenste situatie. Natuurlijk is een belangrijk onderdeel het houden van toezicht. Maar door in verbinding te zijn met de collega’s en oprecht geïnteresseerd te zijn wordt groot draagvlak verworven voor de soms nog onbekende wereld van privacywetgeving. Dit zal een aangekondigde toezicht actie zeker leiden tot verbetering van de producten en professionaliteit.”

Arjen Deenen, FG, Rijksuniversiteit Groningen (RUG)
“In contact blijven met de werkvloer. Door een goed netwerk te onderhouden binnen de instelling kan een FG eerder geïnformeerd raken over (risicovolle) verwerkingen of voornemens daartoe dan middels de formele weg. Hierbij kan ook gedacht worden aan zogenaamde schaduwadministraties. Deze worden zelden of niet vermeld in de officiële verslagen/stukken van een instelling.”

Hoe gaat u als DPO/FG om met het spanningsveld tussen uitvoeren – controleren – adviseren?

Ivonne Verkes, FG, Zeddicus procesdraperie
“Het is prachtig als er een dusdanige capaciteit in de organisatie aanwezig is dat de scheiding tussen deze drie gebieden goed in te vullen is. Meestal is dat echter niet zo en dan is het regelmatig balanceren. Net als elke andere rol in de organisatie is het bestaansrecht van de rol van DPO/FG de toegevoegde waarde bij het realiseren van de organisatiedoelen. Dat wat in het belang van de organisatie is moet de DPO/FG doen en soms zal dat een uitvoerende activiteit zijn, soms is het noodzakelijk om iets te controleren en vaak zal hij een adviserende rol hebben. Ik denk dat he belangrijker is om een toegevoegde waarde te hebben, dan een strakke functiescheiding.”

Teun Visscher, FG, Nationale Politie
“Net als in het eerste punt wordt door deze vraag verondersteld dat er sprake is van een ‘toestand die gespannen is’. Ook dit herken ik niet. Door duidelijk te maken bij een gesprek of werkbezoek met welke ‘pet’ je betrokken bent en met welke bedoeling het gesprek plaatsvindt, of controle wordt uitgevoerd, of advies wordt uitgebracht is er geen spanning maar acceptatie. Juist door de gepassioneerde collega met respect en betrokkenheid te benaderen en met een gezamenlijk doel voor ogen (nl een product wat voldoet aan wet- en regelgeving) om onze taak uit artikel 3 van de Politiewet uit te voeren, zal er geen spanningsveld ontstaan. Natuurlijk moet er wel professionele scherpte zijn en verdiepende vragen en discussie. Dat is altijd nodig en die discussie mag zeker niet uit de weg worden gegaan!”

Arjen Deenen, FG, Rijksuniversiteit Groningen (RUG)
“Jaarlijks kijken naar de eigen focus en kijken wat een instelling nodig heeft. Dit schrijf ik aan het begin van het jaar uit. Een beginnende privacymanagementorganisatie heeft mijns inziens meer advies en informatie nodig. Na groei van die organisatie is controle effectiever/zinvoller.”

Hoe pakt u als DPO/FG de regie en hoe houdt u de regie als u deze (nog) niet heeft?

Ivonne Verkes, FG, Zeddicus procesdraperie
“In mijn ogen is dit niet een specifieke vraag voor een DPO/FG. Regie krijg je als je je opstelt als leider (niet als manager) en met alle relevante partijen het gesprek aangaat hoe zaken geregeld kunnen of moeten worden. Door stem te geven aan mijn collega’s en hun expertise net zo belangrijk te vinden als die van mij, pak en houd ik regie.”

Teun Visscher, FG, Nationale Politie
“Belangrijk uitgangspunt is dat de ‘lijn’ en de verantwoordelijken in de lijn regie hebben en houden. Dit is niet de verantwoordelijkheid van de FG’s bij de Nationale Politie.”

Arjen Deenen, FG, Rijksuniversiteit Groningen (RUG)
“Voor het pakken en houden van de regie zie ik de volgende drie punten:

  1. Maak de FG onderdeel van de PDCA-cyclus om de privacymanagementorganisatie te laten groeien. Binnen onze universiteit stellen alle decentrale eenheden werkplannen Privacy & Security op. Deze worden beoordeeld door de CISO, IT-auditor en de FG. Zij adviseren op hun beurt het hoogste management en directies van de decentrale eenheden.
  2. Wees geïnteresseerd in de mensen en de processen binnen hun werk. Zoek personeel dat dicht tegen de risicovolle verwerkingen aan zit regelmatig op. Wees benaderbaar en pragmatisch in het advies voor mensen op de werkvloer.
  3. Om proactief te kunnen handelen is het goed om op de hoogte te zijn van nieuws binnen de eigen instelling; volg bijv. de interne nieuwsbrief. Acteer indien (nieuwe) verwerkingen te verwachten vallen.”

Stel een DPO/FG heeft verantwoordelijkheden, maar geen mandaat. Hoe gaat u daarmee om?

Ivonne Verkes, FG, Zeddicus procesdraperie
“Dit is heel lastig, want dan ben je verantwoordelijk voor zaken waar je niet verantwoordelijk voor kunt zijn. Ik zou dan in discussie gaan met de persoon of personen die mij mandaat moeten geven omdat ik anders mijn werk niet kan uitvoeren. Ik ben dan benieuwd wat ze van mij verwachten en hoe ze denken dat ik aan hun verwachting kan voldoen. Deze situatie moet je zoveel mogelijk vermijden en ook duidelijk maken wat de gevolgen kunnen zijn als hier toch aan vast gehouden wordt.”

Teun Visscher, FG, Nationale Politie
“Als FG heb ik een aantal wettelijke verantwoordelijkheden en bevoegdheden en die geven ruimte om mijn rol binnen onze organisatie te vervullen. Mijn opvatting is dat als je een beroep moet doen op ‘dit zijn mijn wettelijke bevoegdheden’ er weinig draagvlak zal zijn en ontstaan de  worstelingen en spanningsvelden – zoals hierboven beschreven – die niet helpend en ondersteunend zijn.”

Arjen Deenen, FG, Rijksuniversiteit Groningen (RUG)
“Als FG heb ik enkele verantwoordelijkheden die in de wet staan en daar heb ik mijn inziens geen mandaat voor nodig. Een FG vertegenwoordigt een instelling niet/praktisch nooit. Ik heb ook geen overige (neven)functies of -werkzaamheden. Maar als een FG bijv. twee functies heeft zal dit anders werken. Mijn advies zou dan zijn om:

  • Duidelijke afspraken te maken over de gescheiden verantwoordelijkheden en dat bij strijdigheid de onafhankelijkheid en positie van de FG geborgd blijft (lees: voorrang heeft). In die afspraken moet vooral aandacht besteed worden aan het grijze gebied; daar liggen de meeste risico’s.
  • Indien een conflict ontstaat, dient de FG zo snel mogelijk met zijn leidinggevende of diens leidinggevende om tafel te gaan. Een FG dient schijn van belangenverstrengeling of afhankelijkheid te voorkomen.”

Welke (andere) competenties vraagt een de DPO/FG in een tweede of derde lijnsfunctie

Ivonne Verkes, FG, Zeddicus procesdraperie
“Ongeacht op welk niveau je acteert, het is belangrijk dat je je mond durft open te doen om zaken bespreekbaar te maken, Dus het hebben van lef is essentieel. Ook is een bredere blik dan je eigen werkterrein een voorwaarde om goed te kunnen handelen, want als DPO/FG leef je (hopelijk) niet op een eiland. Het onderkennen van het belang van integratie is wezenlijk. Soms dreigen er dingen van het bord van je collega te vallen, wees dan bereid om je handen vuil te maken aan zijn werk, want alleen door samen te werken kom je verder.”

Teun Visscher, FG, Nationale Politie
“De FG bij de Nationale Politie is niet gepositioneerd in de ‘lijn’. Ik ben een interne onafhankelijke toezichthouder voor de AVG, de WPG, de Korpschefstaken en Vreemdelingenwetgeving  en leg in deze rol verantwoording af aan de Korpschef.”

Arjen Deenen, FG, Rijksuniversiteit Groningen (RUG)
“Een FG dient analytisch te zijn, communicatief vaardig en overtuigend.”

Wat is er nodig om bij de directie/bestuurslaag aan tafel te blijven?

Ivonne Verkes, FG, Zeddicus procesdraperie
“Niet iets anders dan bij elke andere collega. Als je uitgaat van gelijkwaardigheid is het veel gemakkelijk om in gesprek te blijven. Dus wees geen ja-knikker, maar wees kritisch en blijven vragen stellen en maak van luisteren je belangrijkste activiteit. Ook de directie/bestuurslaag zijn maar mensen, die een rol vervullen in de organisatie. Hoe kan ik  hen helpen om hun doelen te realiseren? Hoe kunnen we samen de organisatie vooruit helpen? Als een DPO/Fg zich dat blijft afvragen, is het gesprek ook met de bestuurslaag mogelijk en leuk.”

Teun Visscher, FG, Nationale Politie
“Binnen de Nationale Politie vindt er een aantal malen per jaar een gestructureerd thematisch overleg plaats tussen het topmanagement en alle verantwoordelijken binnen het domein van privacy en ethiek. Het heeft een vaste plaats in de organisatie gekregen en binnen de lijnorganisatie en portefeuilles. Belangrijk is het wel om ook in deze tijden dit op de agenda te houden. Daarnaast heb ik als FG frequent overleg met de Korpschef over mijn bevindingen en toezicht acties.”

Arjen Deenen, FG, Rijksuniversiteit Groningen (RUG)
“In praktische zin: een terugkerend overleg organiseren. Dit kan eenmaal per maand of per kwartaal zijn. Los van het praktische aspect is het goed om de directie/bestuursleden regelmatig (ongevraagd) te informeren en te adviseren. Vooral proactief informeren/adviseren wordt gewaardeerd. Je laat zien dat je meedenkt met het bestuur en hen helpt bij het privacyvriendelijk inrichten van processen en hen behoeden van strijdig handelen met (privacy)wetgeving.”

Hoe kan een DPO/FG in een lijnsfunctie zich verder professionaliseren?

Ivonne Verkes, FG, Zeddicus procesdraperie
“Leer van anderen, leer van onderwerpen die out-of-the-box zijn. Vraag om hulp, het is niet nodig alles alleen te doen. Ga de gesprekken aan, laat licht schijnen op je twijfel en fouten, maak gebruik van de ideeën van de collega’s. Wees kritisch op zaken in de wet, jurisprudentie of andere “voorschrijvende”  bronnen.”

Teun Visscher, FG, Nationale Politie
“Persoonlijk vind ik het gesprek met mijn collega-FG belangrijk om te spiegelen over rol invulling, uitwisseling van dilemma’s en het gesprek voeren over interpretatie van wet- en regelgeving. En zeker ook met de collega-FG’s van andere organisaties. Dat gebeurt o.a. nog steeds in de ‘WhatsApp-groep’ die ontstaan is in de CDPO-opleiding. Ook het actief volgen van vakliteratuur en het periodiek bijwonen van seminars en / of opleidingen is en blijft belangrijk. En zoals eerder opgemerkt vooral blijven ‘rondlopen’ in de organisatie, nieuwsgiering blijven en hier het goede gesprek voeren!”

Arjen Deenen, FG, Rijksuniversiteit Groningen (RUG)
“Zoek FG-collega’s op binnen de eigen branche en zorg voor periodiek (digitaal) overleg. In praktische zin kan dit ook een Signal-groep zijn waarin uitdagingen, documentatie, jurisprudentie, etc. wordt gedeeld. Houd de groepsgrootte beperkt. Naarmate een groep kleiner is is er meer openheid en wordt er meer gedeeld.”

Nieuwsgierig naar ervaringen van andere DPO’s en FG’s? Kom dan op 26 & 27 november naar het actualiteitencongres Dag van de Privacy Officer 2020. Experts en ervaren DPO/FG’s delen actualiteiten, aanpak en good practices om u te helpen bij actuele issues, de positionering en verantwoording van uw functie en AVG beleid. Lees ook het eerste en het tweede deel van deze reeks.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.