Print:

Dit is wat DPO’s moeten weten over data governance

De naleving van de Algemene verordening gegevensbescherming (AVG) is onlosmakelijk verbonden met data governance, vertelt Machiel Bolhuis, adviseur regulatory affairs en databeleid bij Eneco. Wat betekent dat voor de taken, verantwoordelijkheden en opgaven van Data Protection Officers?

Machiel Bolhuis IIRHet is al vaker gezegd en ook anno 2019 kunnen we er niet omheen: de data protection officer (DPO) is een schaap met vijf poten. “Je hebt vakinhoudelijke kennis nodig, zoals verstand van de juridische kaders en ontwikkelingen. Ook affiniteit met techniek is belangrijk. Maar je moet ook een goede projectleider zijn die taken kan verdelen en verantwoordelijkheden kan benoemen”, zegt Machiel Bolhuis, adviseur regulatory affairs en databeleid bij energiebedrijf Eneco en spreker tijdens het Dataprotectie en Privacy Congres.

De functie van DPO is nog volop in ontwikkeling, ziet Bolhuis, die in zijn functie vaak samen optrekt met de DPO van Eneco om onder meer de compliance van de Algemene verordening gegevensbescherming (AVG) te borgen. “Ik houd me bezig met wet- en regelgeving op het vlak van data in de breedste zin van het woord. Daarbij kijk ik naar wat er op ons afkomt – en wat daarvan de mogelijke consequenties zijn voor ons bedrijf. Op die manier kunnen we zo nodig anticiperen op nieuwe regels en richtlijnen.”

Met een achtergrond in cybersecurity is Bolhuis, die eerder bij onder meer KPN, Google, Vodafone en Ziggo werkte, ook nauw betrokken bij de beveiliging van persoonsgegevens waartoe de AVG verplicht. “Ik ben nadrukkelijk geen techneut, maar houd me wel actief bezig met het identificeren, volgen en duiden van technologische ontwikkelingen. Denk aan de opmars van blockchain en Artificial Intelligence (AI), of de komst van de nieuwe munt Libra. Over deze onderwerpen zijn regelmatig maatschappelijke discussies, die uiteindelijk kunnen leiden tot reguleringsinitiatieven. We willen vroegtijdig een beeld krijgen van de impact daarvan op de samenleving en onze organisatie.”

Security, privacy en data governance

Uiteindelijk draaien security en dataprotectie ook om data governance, stelt Bolhuis. “Waar leg je de verantwoordelijkheden voor de omgang met data in de organisatie neer en hoe organiseer je de processen hiervoor? Bij data governance hebben verschillende professionals een rol. Samen met de DPO sta ik aan de lat om goed te reageren op de ontwikkeling en implementatie van alle wet- en regelgeving die te maken heeft met data.”

Bolhuis onderhoudt daarvoor nauwe contacten met externe partijen, waaronder politici, beleidsmakers, wetgevingsjuristen en toezichthouders. “Het is met name voor DPO’s belangrijk om een relatie met de toezichthouder op te bouwen, zodat je op een laagdrempelige manier je vragen kunt stellen. Daarnaast is het goed om de brede maatschappelijke discussie te volgen over ontwikkelingen die van invloed zijn op dataprotectie.”

Als voorbeeld noemt Bolhuis de kabinetsvisie op datadeling tussen bedrijven die staatssecretaris Mona Keijzer eerder dit jaar naar de Tweede Kamer stuurde. Hiermee wil het kabinet onder andere het delen van data – ook tussen verschillende sectoren – stimuleren. Ook de tijdelijke commissie digitale toekomst van de Tweede Kamer volgt Bolhuis op de voet. “De politiek heeft de behoefte om meer zicht en grip te hebben op ontwikkelingen in digitalisering, om op die manier proactiever en integraler naar het onderwerp te kijken. De commissie, die naar verwachting in 2020 een onderzoeksrapport publiceert, is een teken dat digitalisering en data hoog op de politieke agenda staan. Privacy is hierbij een belangrijke randvoorwaarde.”

Het is volgens Bolhuis ook belangrijk om op de hoogte te zijn van internationale ontwikkelingen. De introductie van de ePrivacy Verordening is aandachtspunt vanuit het perspectief van dataprotectie én data governance. “In de discussies over de ePrivacy Verordening is steeds meer aandacht voor data-uitwisseling en het gebruik van data voor nieuwe businessmodellen. Dat roept interessante vragen op over de omgang met zowel persoonsgegevens als andere data.”

Multidisciplinaire aanpak

Naast de contacten met externe partijen zijn ook de samenwerkingen met collega’s binnen de organisatie volgens Bolhuis essentieel. “Verschillende teams zijn bezig met de vraag: hoe willen we data organiseren, opslaan en beschikbaar maken? Als compliance-adviseur en DPO moet je de juiste interne stakeholders om tafel hebben, zodat dataprotectie vroegtijdig wordt meegenomen in nieuwe initiatieven en een multidisciplinaire aanpak tot stand komt.” Daarvoor is afstemming nodig met onder andere IT’ers, marketeers en experts in business intelligence.

Wat moeten DPO’s en andere privacyprofessionals zeker weten over data governance? “Het klinkt misschien als een open deur, maar het is echt waar: het begint met een overzicht van de data die je als organisatie hebt en de doelen van de datacollectie. Het register van verwerkingsactiviteiten dat veel organisaties op grond van de AVG verplicht zijn op te stellen is daarvoor een eerste stap.” Het register is een goede basis om de data assets van een organisatie in kaart te brengen – en dataprotectie daarmee als business enabler in te zetten, zei Bolhuis vorig jaar al tijdens het Data Protectie & Privacy Congres.

Een logisch vervolg op de data-inventarisatie is de gap analysis die veel bedrijven al in de aanloop naar de AVG hebben uitgevoerd. “De analyse laat zien welke maatregelen er nodig zijn om data voldoende te beschermen. Zo’n analyse is niet eenmalig, maar een onderdeel van een cyclus die je constant doorloopt om te groeien in privacy volwassenheid.”

Bolhuis adviseert DPO’s ook om zicht te houden op de prioriteiten van toezichthouders. “De toezichtagenda’s van de Autoriteit Persoonsgegevens (AP) en de European Data Protection Board (EDPB) geven een indicatie van de aandachtspunten in het toezicht. De besluiten van de toezichthouders leveren inzichten op in de interpretatie van normen uit de wet. De AVG is relatief jong en de komende jaren gaat de wet pas echt leven in de praktijk. Straks weten we beter hoe de open normen, zoals de verplichting om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen, worden ingevuld en hoe we daarmee als bedrijf het beste kunnen omgaan.”

Van verplicht nummer naar DNA

De grootste opgave voor DPO’s is volgens Bolhuis om dataprotectie en AVG-compliance als kansen in plaats van als verplichtingen te agenderen – en de regelnaleving vervolgens stevig op de interne agenda te houden. “Dataprotectie is in zekere zin een hygiënefactor. Het kan ook de basis zijn voor een goede vertrouwensrelatie met de klant. Het is dan wel belangrijk dat privacy integraal wordt meegenomen bij alles wat je als bedrijf doet, van de productontwikkeling tot de marketing. Op die manier wordt de AVG geen verplicht nummer maar onderdeel van het DNA van het bedrijf.”

Machiel Bolhuis is een van de vele sprekers van het Dataprotectie & Privacy Congres dat op 14 en 15 november 2019 plaatsvindt in Utrecht. Bekijk het gehele programma en boek tickets via de website van IIR.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure (PDF) direct in uw mailbox.