Print:

Dit vinden data protection officers de grootste uitdagingen van privacy

Sinds de Algemene verordening gegevensbescherming (AVG) staat het vak van data protection officers volop in de schijnwerpers. Het afgelopen jaar is een nieuwe generatie Functionarissen voor de Gegevensbescherming (FG’s) aan de slag gegaan. Uit een enquête die IIR uitvoerde rond de Dag van de Privacy Officer 2019 komt naar voren welke uitdagingen in de dagelijkse werkpraktijk spelen.

Met de komst van de Algemene verordening gegevensbescherming (AVG) staat de functie van data protection officer of Functionaris voor de Gegevensbescherming (FG) steeds meer in de belangstelling. Een groeiend aantal organisaties is verplicht om zo’n interne toezichthouder aan te stellen. In het afgelopen jaar is de beroepsgroep van FG’s dan ook volop in beweging. Privacy officers groeien door naar de functie van data protection officer, juridische adviseurs en compliance officers scholen zich om, ervaren FG’s maken een volgende loopbaanstap, en consultants gaan als externe FG aan de slag.

Met welke uitdagingen heeft de relatief jonge beroepsgroep nu – een jaar na de invoering van de AVG – te maken? Uit een enquête die IIR uitvoerde rond de Dag van de Privacy Officer 2019 komen zes uitdagingen naar voren die data protection officers ervaren bij de uitoefening van hun functie.

Dit vinden data protection officers de grootste uitdagingen van privacy IIR


Bewustzijn waarborgen

Awareness is een essentieel onderdeel van privacy governance. Maar het ontwikkelen en op peil houden van het bewustzijn van de regels is makkelijker gezegd dan gedaan. De AVG staat nogal eens te boek als ingewikkeld en onduidelijk. Bovendien is een jaar na de AVG de hype rond de naleving wel voorbij. De FG staat daarom nu voor de opgave om structureel werk te maken van het bewustzijn van de privacyregels. De tijd van eenmalige campagnes is voorbij, bewustwordingsactiviteiten verdienen een plek in de lopende processen.

Draagvlak vasthouden

Medewerkers en het management overtuigen van de waarde van dataprotectie en het belang van de Privacy Office. Het is voor veel FG’s een uitdaging. Het risico van boetes van de Autoriteit Persoonsgegevens (AP) was voor veel organisaties een drijfveer om aandacht te besteden aan de AVG. Nu de toezichthouder maar mondjesmaat handhavend optreedt, dreigt de aandacht te verslappen. Tegelijkertijd zijn er nog veel onduidelijkheden over de interpretatie van open normen uit de wet. Ook dit komt het draagvlak niet ten goede. Dat betekent dat FG’s interne bondgenoten en ambassadeurs nodig hebben om het belang van hun werkterrein en functie op de agenda te houden.

Gedragsverandering realiseren

Bewustzijn van de regels is een eerste stap naar naleving. Maar uiteindelijk draait het toch om wat er daadwerkelijk in de praktijk gebeurt. Daarom werken data protection officers niet alleen aan awareness en draagvlak, maar ook aan gedragsverandering. Uit de wereld van compliance weten we dat kennis, houding en gedrag niet altijd vanzelfsprekend op elkaar volgen. Bovendien hebben drukbezette FG’s in de hectiek van alledag niet altijd de rust en ruimte om stevig in te zetten op verandermanagement. Samenwerking met collega’s, zodat soft controls en hard controls effectief kunnen worden ingezet, is dan ook essentieel.

Structureel beleid voeren

Rond de invoering van de AVG hebben veel organisaties gefocust op de nieuwe vereisten uit de wet. De volgende stap op weg naar de structurele borging van privacy is om de beginselen een plek te geven in de werkprocessen van de gehele organisatie. Dat kan bijvoorbeeld door activiteiten en maatregelen gestructureerd te koppelen aan de Plan Do Check Act-cyclus. Het uitgangspunt is altijd dat privacycompliance geen tijdelijk project is, maar een continue beleidsopgave.

Risicogericht werken

Organisaties die privacy via een langetermijnbeleid borgen, werken doorgaans met een risicogerichte aanpak. Monitoring en analyse zorgen er dan voor dat de data protection officer zicht houdt op wat er speelt zodat risico’s tijdig kunnen worden geïdentificeerd en opgepakt. Deze benadering gaat verder dan het uitvoeren van Data Protection Impact Assessments (DPIA’s) bij nieuwe projecten. Minstens zo belangrijk is om privacyrisico’s een plek te geven in de planning- & controlcyclus. Om die reden is het essentieel dat data protection officers hun organisatie goed kennen.

Toezichthoudende rol invullen

Informatie, adviezen en aanbevelingen geven aan de organisatie is een kerntaak van FG’s. Maar het risico bestaat dat de adviserende activiteiten zo veel tijd en aandacht vereisen dat de toezichthoudende taken in het gedrang komen. Prioritering is dan ook een grote opgave voor data protection officers. Het management kan hierin een sleutelrol spelen, bijvoorbeeld door de FG te voorzien van voldoende tijd, budget en ondersteunende capaciteit om de controlerende rol te kunnen invullen.

De functie van de toekomst

In de enquête heeft IIR data protection officers ook gevraagd hoe zij verwachten dat hun functie zich gaat ontwikkelen. Uit de antwoorden komt een beeld naar voren van de data protection officer als:

Een volwaardige gesprekspartner van de business. De FG van de toekomst is goed zichtbaar in de organisatie en levert een bijdrage aan innovatie. De focus ligt hierbij niet zozeer op het juridisch toetsen van de processen, systemen, producten, diensten en plannen van de organisatie, maar op het scheppen van kansen voor de business.

Een stevige adviseur die aan het hoofd staat van een team van professionals en vanuit die positie optreedt als controleur en toezichthouder. Dit vraagt om een goede balans tussen adviserende taken en toezichthoudend optreden, en heldere functieomschrijvingen van de verschillende professionals die zich bezighouden met privacy, dataprotectie en security.

Een spin in het web die het voortouw neemt in accountability en bovengemiddeld op de hoogte is van relevante risico’s op het brede terrein van dataprotectie, waaronder security. De FG zorgt dan dat de taken en prioriteiten van de Privacy Office duidelijk zijn en de organisatie er tijdig aanklopt bij vragen en plannen.

Vragen voor de toekomst

De enquête van IIR maakt duidelijk dat er rond het vak van data protection officer nog veel vragen en onduidelijkheden zijn. Komen er (extra) richtlijnen en formele eisen? Hoe kan de data protection officer effectief samenwerken met vakgenoten, om te voorkomen dat iedereen het wiel opnieuw gaat uitvinden? In hoeverre kan de FG een coachende en adviserende rol combineren met de controlerende en toezichthoudende taken? Data protection officers krijgen de komende tijd ongetwijfeld met nieuwe issues te maken. Dat is een uitdaging, maar net zo goed een kans – om als professional te leren en als organisatie te groeien.

Voorbereid zijn op de uitdagingen en kansen van de toekomst? Leren van experts met de voeten in de praktijk en vakgenoten met kennis van zaken? Volg de praktijkcursus Privacy Officer 2.0, de verdiepingscursus FG in de publieke sector, of ga voor de beroepsopleiding Certified Data Protection Officer (CDPO).

Alle opleidingen in 1 gids?

Laat uw e-mail achter en ontvang de opleidingsgids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten