Print:

Dit vinden experts de grootste uitdagingen voor dataprotectie

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Voor veel organisaties is compliance met de Algemene verordening gegevensbescherming (AVG) hard werken. Ook maanden na de inwerkingtreding van de wet liggen er nog de nodige opgaven om de nieuwe regels en verplichtingen te implementeren en borgen. Drie uitdagingen om volgens experts mee aan de slag te (blijven) gaan, plus hun praktische tips.

Privacy Officer 2.0 | IIR

 

In de maanden na de invoering van de Algemene verordening gegevensbescherming (AVG) is het positieve nieuws met een lantaarn te zoeken. De overheid heeft de naleving niet op orde, berichtte FD. Brancheorganisaties zoals VNO-NCW, MKB Nederland en DDMA klagen over de complexe nieuwe regels.

Toch zijn er ook onmiskenbaar positieve ontwikkelingen op het terrein van privacy en dataprotectie. Bovendien zien privacy officers zich weliswaar voor de nodige opgaven gesteld, maar laten ze zich daardoor niet zomaar uit het veld slaan. Al in de aanloop naar de AVG stelde Hielke Hijmans, privacy-adviseur en onder meer bekend vanwege zijn proefschrift over privacy, dat de Europese privacywet een hele reeks aan uitdagingen meebrengt. Zo zijn de onderdelen over verwerker en verantwoordelijke volgens Hijmans vaag.

Bovendien is de Europese verordening een heel nieuw type privacywetgeving, die de lidstaten slechts beperkte ruimte laat voor een eigen invulling van de beginselen van gegevensbescherming. “De dataprotectie autoriteiten moeten zich gereed maken voor de nieuwe fase. Bedrijven moeten hun verantwoordelijkheid nemen. Net als de publieke sector als verwerker van persoonsgegevens. De implementatie van de Verordening mag niet onderschat worden”, aldus Hijmans.

Waar liggen anno 2018 de grootste uitdagingen voor professionals die zich met dataprotectie en AVG-compliance bezighouden? Drie experts delen hun ervaringen en tips.

Naleving van álle wetgeving

Voor wereldwijd opererende bedrijven is de naleving van de verschillende nationale wetten een forse opgave, zegt Nico Schutte, senior privacy officer bij Philips. Philips heeft wereldwijd duizenden websites die persoonsgegevens verwerken. Dankzij een innovatieve aanpak zijn Schutte en zijn collega’s erin geslaagd om alle websites af te stemmen op de geldende wet- en regelgeving. “In een traject dat maanden heeft geduurd is eerst een proces ontworpen voor de ontwikkeling van nieuwe websites, aan welke eisen deze moeten voldoen. Vervolgens zijn alle bestaande websites onderworpen aan een compliance check. De volgende stap is het managen van de levenscyclus van de websites. Met regelmatige tussenpozen zal gecontroleerd worden of de website compliant is met de laatste eisen.”

De wereldwijde operatie heeft dus veel inspanningen gevergd. Maar Schutte ziet ook de voordelen van het resultaat, zowel voor de compliance als de business. “Het is een grote stap voor Philips: het landschap aan websites is veel overzichtelijker geworden en we hebben er grip op gekregen.”

Draagvlak voor privacy impact assessments

“Privacy is niet sexy, niemand vindt het leuk, het levert niets op en je hebt er eigenlijk alleen maar last van”, zo vat Mischa van der Vliet samen hoe er in de praktijk wel over dataprotectie wordt gedacht. Dat organisaties privacy niet altijd hoog op de agenda hebben staan, kan er volgens de privacy en security expert bij IT-dienstverlener AuditConnect onder andere toe leiden dat er geen dataprotection impact assessments (DPIA’s) worden uitgevoerd.

Op grond van de AVG kunnen organisaties verplicht zijn een DPIA uit te voeren. Maar ook als die verplichting er niet is, kan een analyse van de mogelijke impact van een maatregel op de gegevensbescherming volgens Van der Vliet de moeite waard zijn: organisaties die veel persoonsgegevens verwerken, kunnen eigenlijk niet om een DPIA heen. Minstens zo belangrijk is om na de DPIA ook passende maatregelen te nemen, benadrukt Van der Vliet. “Organisaties die de uitkomst van een DPIA naast zich neerleggen, lopen niet alleen kans op hoge boetes. Ook imagoschade en hoge kosten, omdat systemen later alsnog moeten worden aangepast, liggen op de loer.”

Sparren met gelijkgestemden

AVG-compliance is niet te realiseren als je het er even bij doet, waarschuwt Klaas Bruin, beleidsadviseur bescherming persoonsgegevens bij de Nationale Politie. Focus en discipline zijn onmisbaar, net als samenwerking met gelijkgestemden om kennis uit te wisselen. “Uit mijn eigen ervaring kan ik je aanraden om een groep gelijkgezinden samen te stellen, met wie je kan sparren en trainen om naar een hoger (kennis)niveau te komen. Onder het motto ‘twee weten meer dan één’ kan je veel leren van de ervaring van anderen. Ervaringen die je vervolgens weer naar je eigen situatie kan vertalen.”

Omdat veel privacy officers er binnen een organisatie vaak alleen voor staan als het gaat om dataprotectie, adviseert Bruin om zo nodig peers buiten de organisatie op te zoeken. Dat kan bijvoorbeeld via trainingen, seminars en netwerkbijeenkomsten. Want een van de voordelen van het groeiende vakgebied waarbinnen dataprotection officers opereren, is volgens Bruin dat er steeds meer gelijkgestemden te vinden zijn.

Goed voorbereid zijn op de uitdagingen van dataprotectie? Volg dan de vierdaagse praktijkcursus Privacy Officer 2.0.

Privacy Officer 2.0 | IIR

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten