Print:

De volwassenwording van de DPO/FG-functie #1: “Onafhankelijk toezicht houden is een dagelijkse struggle”

Veel Data Protection Officers (DPO’s)/ Functionaris Gegevensbescherming (FG’s) worstelen met de invulling en uitvoering van hun toezichthoudende rol. Hoe gaan ze om met het spanningsveld tussen uitvoeren, controleren en adviseren? Hoe pakken ze de regie? En hoe blijven ze aan de bal? In voorbereiding op het actualiteitenseminar Dag van de Privacy Officer 2020, waar de positionering en de vakvolwassenheid van de DPO/FG-functie centraal staan, vroegen wij een aantal DPO/FG’s naar hun ervaringen.

In deze eerste reeks beantwoorden drie ervaren DPO/FG’s een aantal priemende vragen.

In veel organisaties worstelen DPO/FG’s met de positionering en invulling van hun DPO/FG-rol. Wat zijn veel voorkomende issues en uitdagingen daarbij?

Cassandra Moons, DPO, TomTom:
“Een DPO moet wettelijk gezien onafhankelijk zijn. Dus het is belangrijk om jezelf als zodanig te positioneren, maar tegelijk actief en betrokken te blijven. En dit alles zonder dat dit je onafhankelijkheid in gevaar brengt. Wanneer je je als DPO te afwachtend opstelt, heb je kans dat de organisatie privacy steeds meer uit het oog gaat verliezen en alles buiten de DPO om gaat doen.”

Arjan Altena, FG, gemeente Hengelo:
“Waar je als FG in de organisatie ook geplaatst bent, je moet overal waarbij je betrokken wordt allereerst heel goed duidelijk maken wat de rol van een FG is. De beelden die men daarbij heeft, zijn namelijk vaak heel wisselend. Je moet dus goed duidelijk maken dat je adviseert en (later) toezicht houdt en dat je dus – bijvoorbeeld – geen écht projectlid bent en geen verantwoordelijkheid draagt voor de uiteindelijke keuzes. Een ander issue/uitdaging blijft het verwerkingenregister. De aandacht daarvoor verslapt heel snel, waardoor de actualiteit, juistheid en volledigheid onder druk komen te staan.”

FG van een aantal zorginstellingen in de gehandicapten- en ouderenzorg:
“Als FG kun je het het beste uitleggen/opschrijven, dus dan heeft men het liefste dat jij dat ook doet. Dat toezichthouden, dat zien veel mensen niet zo: het privacy probleem moet opgelost worden en dat het is het fijnst als jij dat doet. Overigens heeft het bestuur soms een andere mening, maar kwaliteitsadviseurs of wie het vraagstuk dan ook in zijn maag gesplitst krijgt vinden dat vraagstuk soms best lastig.”

Wat is voor DPO/FG’s belangrijk voor het uitoefenen van hun toezichthoudende rol?

Cassandra Moons, DPO, TomTom:
“Het meest belangrijk vind ik dat DPO’s blijven investeren in de organisatie door productkennis op te doen. En daarnaast te horen van andere stakeholders wat ze allemaal met data doen, hoe en waarom. Zo kan de DPO een beeld vormen van hoe de data lifecycle eruitziet. Wanneer je je kan verplaatsen in de wereld van de ander, kan je als DPO echt waarde gaan toevoegen door strategisch over privacy te adviseren.”

Arjan Altena, FG, gemeente Hengelo:
 “Voor het goed kunnen toezichthouden als FG is nodig een juist, actueel en volledig verwerkingenregister. Daarnaast moet je een planmatige aanpak ontwikkelen voor het houden van toezicht.”

 FG van een aantal zorginstellingen in de gehandicapten- en ouderenzorg:
“Volhouden en blijven herhalen wat jouw rol is. Ik stuur ten minste een keer per jaar rond waar ik wel/niet van ben. Feiten onder de loep nemen en niet laten meeslepen in politiek.  En je kunt ook bedenken dat je toezichthoudend kunt adviseren. Dat is wat minder gestructureerd als de diepte ingaan met een onderzoek, maar het is ook een vorm van toezicht. Ik was soms erg ontevreden over dat ik een jaarplanning had gemaakt en dat ik die onderzoeken dan niet gedaan kreeg. En toen kwam er een verlossende duiding van de AP: vragen beantwoorden is ook toezicht houden.”

Hoe gaat u als DPO/FG om met het spanningsveld tussen uitvoeren – controleren – adviseren?

Cassandra Moons, DPO, TomTom:
“Een DPO kan niet alles doen vanwege die onafhankelijke positie. Het is belangrijk dat je aan de voorkant van iets zit, bijv. productontwikkeling, zodat je adequaat en strategisch kunt adviseren. En aan de achterkant bij bijv. inzicht in operationele datastromen in een productieomgeving. Het middenstuk van de uitvoering is juist de taak van de rest van de organisatie en daar moet je als DPO los van blijven staan.”

“Ik vind dat een DPO bijvoorbeeld geen inzage- of verwijderingsverzoeken van klanten zou moeten uitvoeren – dat is primair de taak van de organisatie.”

Arjan Altena, FG, gemeente Hengelo:
“Dat is een dagelijkse ‘struggle’. Belangrijk is om bij ‘uitvoeren’ te zeggen ‘stop, tot hier en niet verder’. Tegelijk kan deze houding opleveren dat men het idee krijgt dat je niet zoveel hebt aan een FG. Toezicht houden is moeilijk in te vullen. Dat wordt niet overal gewaardeerd. Hier is de toon en de verpakking van de boodschap de ‘kunst’. De meeste tijd steek ik in het tijdig geïnformeerd worden, om uiteindelijk goede adviezen te kunnen geven. Dit spanningsveld blijft een rollen- en pettenstrijd.”

FG van een aantal zorginstellingen in de gehandicapten- en ouderenzorg:
“Ik begin eerst met luisteren en daarna met adviseren. Willen we beleid, prima, dat kan ik wel maken. Maar dan wordt het een beleidsadvies en dan mag de organisatie (zijnde verantwoordelijken) gaan opschrijven waarom zij denken dat het zo niet/wel moet. En waarom je dat dan vindt en welke eventuele maatregelen je getroffen hebt. Daar geef ik dan weer feedback op en dan zeg ik: gunst, u heeft daar nog iets te managen (zijnde een risico). Ik zal stiekem ook nog wel wat uitvoerend werk doen, zoals het register bijwerken, maar veel meer dan dat is het niet. Ik ben ook wel strenger geworden hoor: zo had ik een aantal keren geadviseerd over een verplicht uit te voeren PIA. Dat gebeurde niet. Ook niet bij herhaling. Dan ga ik in gesprek met het bestuur en die willen daar wel opheldering over. Dan komt er een andere crisis, komt het overleg er niet en uiteindelijk denk ik dan: om ervoor te zorgen dat hier straks geen heel grote ongelukken gebeuren, ga ik nu beleidsadvies geven, gaan we daar over discussiëren en dan komen we wel ergens uit. Maar die rode kaart blijft staan, daar moet dan wel verantwoording over afgelegd worden. Hoe dat moet, dat weet ik nog niet.”

Hoe pakt u als DPO/FG de regie en hoe houdt u de regie als u deze (nog) niet heeft?

Cassandra Moons, DPO, TomTom:
“Zorgen voor zichtbaarheid, en zoals eerder gezegd, blijven investeren in de relaties met andere stakeholders en in de productkennis. Tegelijk geloof ik heel erg in de ‘win-win’: geef als DPO altijd aan hoe dingen wel zouden kunnen in plaats van alleen maar ‘nee’ verkopen.”

Arjan Altena, FG, gemeente Hengelo:
“Ik hou als FG de regie door mijzelf te laten zien, uit te nodigen en te profileren. Inmiddels heb ik structurele contacten met functionarissen en/of overleggen waar datastromen en dataontwikkelingen samenkomen. Zo kijk ik structureel mee met het project over datagedreven sturing en heb ik structureel overleg met onze ‘CIO-office’, die een centraal overzicht van alle projecten/ontwikkelingen beheren.”

FG van een aantal zorginstellingen in de gehandicapten- en ouderenzorg:
“Analyseren, documenteren, bevragen. Wat is regie? Ik probeer mee te bewegen met de waan van alledag, want dat is waar iedereen mee bezig is. Ik kijk naar: wat is nu nodig? Ik heb wel een toezichtsagenda en ik maak daar zeker gebruik van om in te haken op de actualiteit (en om te bedenken: wat was ik dit jaar ook alweer van plan?). Daarnaast probeer ik goed in de gaten te houden wat er allemaal op projecten gebeurt. Ik probeer ten minste een keer per jaar de bestuurder te spreken en inzicht te krijgen waar de organisatie naartoe beweegt. Wat zijn hun meer jaren plannen? En wat zijn dan belangrijke punten om bij aan te haken? En vooral volhouden. Er zijn mensen die denken: ik geef gewoon geen antwoord, dan waait het wel over.”

Stel een DPO/FG heeft verantwoordelijkheden, maar geen mandaat. Hoe gaat u daarmee om?

 Cassandra Moons, DPO, TomTom:
“Verantwoordelijkheden zonder resources (bijv. geld, middelen etc.) gaan volgens mij niet werken. Ik denk dat het in zo’n geval goed is dat de DPO heel duidelijk maakt wat zijn rol inhoudt en wat dat betekent voor de organisatie, bijvoorbeeld in een DPO charter of iets dergelijks.”

Arjan Altena, FG, gemeente Hengelo:
“Dat betekent dat je telkens duidelijk moet maken wat deze verantwoordelijkheid precies inhoudt en dat dat wat anders is dan de wettelijke verantwoordelijkheid die geldt voor de AVG-verantwoordelijke. De verantwoordelijkheden van de FG vallen niet onder het boete-regime, de verantwoordelijkheden van de verantwoordelijke wel.”

FG van een aantal zorginstellingen in de gehandicapten- en ouderenzorg:
“Het probleem van verantwoordelijkheden maar geen mandaat signaleren. En dan een voorstel doen. En laten merken dat je vervolgens je handen ervan af trekt.”

 Welke (andere) competenties vraagt een de DPO/FG in een tweede of derde lijnsfunctie?

 Arjan Altena, FG, gemeente Hengelo:
“Contactuele vaardigheden. Verbinding kunnen leggen. Empathisch (begrip voor het feit dat een verantwoordelijke met lastige dilemma’s geconfronteerd kan worden) en innemend zijn. Dan wordt je toezicht ook eerder geaccepteerd.”

FG van een aantal zorginstellingen in de gehandicapten- en ouderenzorg:
“Scherp zijn op wanneer er een aap op jouw schouder wordt gezet. Analytisch vermogen, weten waar je dingen moet nazoeken. Je moet weten in welke rol je op welk moment zit. Ik heb mijn security taak anders ingevuld, in coördinerende zin. Dan zei ik altijd: vandaag ben ik de mevrouw van de security. Als ik dan een beveiligingsmaatregel voorstelde dan zei ik: je moet nog wel even die vervelende mevrouw van de privacy vragen of dat geen grote privacy impact heeft. Ik denk dat je ook moet leren om een niet al te primaire reactie te geven. Even feiten verzamelen, alles overzien, even laten bezinken en dan pas weer reageren. Een andere belangrijke competentie is nee leren zeggen. Kunnen signaleren wanneer je in conflicterende rollen zit of er conflicterende werkzaamheden langskomen.

Wat is er nodig om bij de directie/bestuurslaag aan tafel te blijven?

 Cassandra Moons, DPO, TomTom:
“Uiteindelijk draait veel om de privacy mindset van de organisatie. Ziet het bestuur privacy als een kans waarmee strategisch voordeel valt te behalen? Of beschouwt men het alleen maar als een compliance-oefening? Wanneer de mindset juist is, is het veel makkelijker om als DPO bij directie aan tafel te blijven.”

Arjan Altena, FG, gemeente Hengelo:
“Die duwen je er het liefst af. Iemand die ‘langskomt’ willen zij opdrachten kunnen geven. In gesprek met een FG is dat ‘andersom’. Daar zijn ze nog niet aan gewend.”

FG van een aantal zorginstellingen in de gehandicapten- en ouderenzorg:
“Goed in de gaten houden wat het bestuur bezig houdt. En daarop bedenken met welke privacy en security issues ze dan eventueel te maken blijven hebben. En daar gericht op adviseren. Dat kunnen ze meestal wel waarderen. Bestuurders willen over de zorg praten, dus daar praten we over. Je moet zorgen dat je wat zinnigs te zeggen hebt, maar ook weer niet een dwangmatige agenda afwerken. Ik heb altijd alles voorbereid. Toen er laatst een grote netwerkstoring was, was ik in gesprek met een bestuurder. Op dat moment laat ik mijn agenda los en zeg: jemig, dat is nu ook wat, dat is vervelend voor de productie. Hebben jullie een noodprocedure in place? (dan gaat het stiekem toch over beveiliging). En een paar goede incidenten. Dat helpt het gesprek goed op gang.”

Hoe kan een DPO/FG in een lijnsfunctie zich verder professionaliseren?

Cassandra Moons, DPO, TomTom:
“Los van eerdergenoemde investeringen in de organisatie zijn m.i. van belang: het delen van kennis en ervaringen buiten de organisatie met andere DPO’s. En het blijven volgen van gecertificeerde trainingen, opleidingen en webinars.”

Arjan Altena, FG, gemeente Hengelo:
“Een DPO/FG kan zich verder professionaliseren door blijvende bijscholing, netwerken in de regio en daarbuiten. En door een planmatige aanpak op te stellen voor de FG-taken. Een juiste hoeveelheid beschikbare fte is daarvoor wel een vereiste!”

FG van een aantal zorginstellingen in de gehandicapten- en ouderenzorg:
“Bijscholing en lezen. Ook op andere vakken bijscholen.”

 

Nieuwsgierig naar ervaringen van andere DPO’s en FG’s? Kom dan op 26 & 27 november naar het actualiteitencongres Dag van de Privacy Officer 2020. Experts en ervaren DPO/FG’s delen actualiteiten, aanpak en good practices om u te helpen bij actuele issues, de positionering en verantwoording van uw functie en AVG beleid. 

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.