Print:

Dit zijn de take-aways van de Dag van de Privacy Officer 2019

Meer dan honderd Functionarissen voor de Gegevensbescherming, Privacy Officers en andere professionals met een bovengemiddelde belangstelling voor dataprotectie kregen op 6 juni tijdens de Dag van de Privacy Officer 2019 alle actualiteiten en need-to-knows op hun werkterrein te horen. De highlights uit de keynotes, presentaties, expertpanels en workshops.

Het is tijd dat organisaties meer volwassenheid tonen als het gaat om dataprotectie. De Autoriteit Persoonsgegevens (AP) gaat hier ook meer op letten, zo valt af te leiden uit het recente jaarverslag van de toezichthouder. Dat constateerde Friederike van der Jagt in haar presentatie tijdens de Dag van de Privacy Officer op 6 juni.

Friederike van der Jagt - IIR

In het toezicht van de AP heeft de nadruk tot nu toe gelegen op het aansporen van organisaties om herstelmaatregelen te nemen en op die manier overtredingen te beëindigen. Maar ruim een jaar na de komst van de Algemene verordening gegevensbescherming (AVG) vindt de AP het tijd voor een volgende fase. Organisaties moeten meer verantwoordelijkheid nemen voor gegevensbescherming en de compliance doorlopend monitoren, vertelt Van der Jagt. De AP gaat ook actiever handhavend optreden. Systeemtoezicht belooft het toverwoord van 2019 te worden. Samen met Functionarissen voor de Gegevensbescherming (FG’s) en brancheorganisaties wil de AP een impuls geven aan het toezicht op de regelnaleving binnen organisaties.

Drie inzichten van en voor DPO’s

Tijdens de Dag van de Privacy Officer passeerden nog veel meer actuele inzichten, aandachtspunten, issues en ontwikkelingen de revue. Drie zaken om te onthouden, voor degenen die de dag meemaakten – en voor iedereen die er niet bij kon zijn.

1. Maak de rol van data protection officer glashelder

Data protection officers moeten precies weten wat ze wel en niet doen, zodat ze zo nodig hulptroepen en specialistische expertise kunnen inschakelen. Dat is de boodschap van Simon Hania, DPO bij Uber. Bij zijn aanstelling als FG van Uber definieerde Hania, die eerder onder andere bij TomTom en XS4All werkte, nadrukkelijk zijn positie en taken. Het zogenoemde DPO Charter zet formeel op een rij wat de AVG over de FG-functie zegt, hoe het privacyteam werkt en hoe de verantwoordelijkheden zijn verdeeld. “Zo’n document is een goede kapstok en basis voor het functioneren van de FG en laat zien dat je professioneel bezig bent met corporate governance en data governance. De FG kan fungeren als gids, door de wet- en regelgeving uit te leggen. Daarnaast liggen er rollen als watchdog, die toeziet op de naleving van de wet, en ambassadeur voor privacy. Maar de DPO is dus geen helpdesk, velt geen oordelen over gegevensverwerkingen en neemt geen verantwoordelijkheid voor de uitvoering van het privacybeleid en privacyprogramma.”

Simon Hania - IIR

 

“De grootste valkuil voor Data Protection Officers is dat ze beslissingen gaan nemen, of gaan zeggen hoe het moet. Dat vraagt de organisatie ook vaak”, signaleert Hania. “Natuurlijk kan de DPO meedenken, feedback geven en adviseren, bijvoorbeeld als er een Data Protection Impact Assessment (DPIA) is uitgevoerd. Maar de DPO geeft geen goedkeuring. Je moet altijd later de ruimte hebben om te kunnen aangeven als iets niet volgens de regels verloopt.”

Frank Mulder, Chief Privacy Officer en FG van ABN Amro, waarschuwt om als FG niet te veel taken op de schouders te nemen. “Het is belangrijk om de taken en verantwoordelijkheden goed af te bakenen en ook voldoende afstand te bewaren tot de organisatie om onafhankelijk te kunnen opereren. Neem niet alle zorgen op je schouders, creëer duidelijkheid over je rol en laat je niet gek maken door de waan van de dag.”

2. Werk slim samen

Is de FG de voetballer, de scheidsrechter of de coach? Volgens Marlon Domingus, Data Protection Officer van de Erasmus Universiteit Rotterdam, staat vast dat samenwerking essentieel is voor AVG-compliance. “Er wordt vaak gezegd dat de FG een duizendpoot is. Maar je moet zeker niet alles zelf willen doen. Je moet vooral goed samenwerken. Niet alleen met collega’s binnen je team maar ook met andere onderdelen van de organisatie.” Voor Domingus was de discussie met het wetenschappelijke personeel van de Erasmus Universiteit een belangrijke stap op weg naar awareness en compliance. “We hebben de vraag opgeworpen waarom we eigenlijk inzetten op dataprotectie. Doen we dat alleen maar omdat de wet ons dat verplicht, of willen we als professionals invulling geven aan de zorgvuldige omgang met persoonsgegevens? Dan kom je gezamenlijk tot de conclusie dat privacy een kernthema is voor de universiteit: dataprotectie hangt namelijk nauw samen met onze wetenschappelijke integriteit en de zorgplicht die we hebben naar studenten en medewerkers.”

Om tot productieve samenwerkingen te komen is volgens Domingus niet alleen een open gesprek belangrijk, maar ook een positieve insteek. “Maak gebruik van enthousiaste privacy champions en laat concrete voorbeelden zien van wat er goed gaat.” Heeft de DPO extra ruggensteun nodig om de positieve ontwikkelingen te blijven opzoeken en communiceren? Praat dan met collega-FG’s, en maak slim gebruik van de talenten binnen het privacyteam door kennis en ervaringen uit te wisselen, adviseert Domingus. Rachel Marbus, FG bij KPN, vult aan: “De druk op de schouders van de FG kan best groot worden. Ga dan actief op zoek naar zaken die je energie geven. Neem zo nodig een coach in de arm, die je kan leren omgaan met de energy drains op de werkvloer.”

3. Kijk verder dan het (privacy)recht

“De grote belangstelling voor de AVG betekent nog wel eens dat de privacywet als het centrum van de wereld wordt gezien. Maar vergeet niet dat voor dataprotectie ook andere wet- en regelgeving belangrijk is”, drukt Peter van Schelven Data Protection Officers op het hart. Als juridisch adviseur, IT-arbiter, docent van diverse IIR-opleidingen en dagvoorzitter van de Dag van de Privacy Officer is Van Schelven een warm pleitbezorger van professionals met een brede blik. “Privacy raakt zoveel verschillende aspecten van het recht. We mogen terreinen zoals het aanbestedingsrecht, contractrecht en aansprakelijkheidsrecht echt niet over het hoofd zien.” Ook bijvoorbeeld het Burgerlijk Wetboek, de Algemene wet bestuursrecht en de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) kunnen relevant zijn voor het werk van FG’s en Privacy Officers.

Simon Hania waarschuwt ook voor het fenomeen “hammer sees nails”. “De AVG is maar een klein onderdeel van alles dat er speelt in een organisatie. Met een al te grote focus op de privacywet bestaat het risico dat andere issues die cruciaal zijn voor de business buiten beeld raken.” DPO’s hebben daarom een bovengemiddelde kennis nodig van de organisatie waarin zij werken, vindt Hania. “Het is niet voldoende om als DPO uitsluitend vanuit een juridisch perspectief te denken en handelen. Je moet ook weten hoe datastromen lopen en organisatieprocessen in elkaar zitten. Kortom, de Data Protection Officer moet precies snappen hoe organisaties – en de IT en mensen daarin – werken.”

Het Streisandeffect

Friederike van der Jagt had nog een praktische tip voor Data Protection Officers die het belang van AVG-compliance bij hun collega’s onder de aandacht willen brengen: let op het Streisandeffect. De term verwijst naar het verschijnsel dat pogingen van een persoon of organisatie om informatie te verbergen of te verwijderen er juist de aandacht op vestigen. Het verschijnsel, dat inmiddels een eigen pagina op Wikipedia heeft, ontleent de naam aan de aandacht die ontstond toen zangeres en actrice Barbra Streisand probeerde om een foto van haar huis op Malibu van een website verwijderd te krijgen. Na het proces hierover wisten fans over de hele wereld de woning te vinden. De les: probeer incidenten zoals datalekken vooral niet te verbergen, want dit kan uiteindelijk alleen maar averechts werken. Wat dat betreft vertoont het Streisandeffect opvallende overeenkomsten met het aloude boomerang-effect.

Meer weten over de actuele ontwikkelingen in dataprotectie en privacy die ertoe doen? Volg dan een van de trainingen van IIR en kom naar het Data Protectie & Privacy Congres.

Alle opleidingen in 1 gids?

Laat uw e-mail achter en ontvang de opleidingsgids direct in uw mailbox.