Print:

Drie inspiratietips voor Privacy Officers

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Met alle ontwikkelingen rond de Algemene verordening gegevensbescherming (AVG) hebben data protection officers (DPO’s) en Functionarissen voor de Gegevensbescherming (FG’s) het drukker dan ooit. Zijn de agenda, mailbox en to-dolijst overvol? Drie inspiratietips om met volle energie door te gaan.

Er is nog veel onduidelijk over de verplichte aanstelling van de Functionaris voor de Gegevensbescherming (FG) of Data Protection Officer (DPO). Dat meldde Nu.nl in een reportage over de Algemene verordening gegevensbescherming (AVG). Veelzeggend is dat de meeste vragen over de nieuwe privacywet die binnenkomen bij de DDMA gaan over de verplichting om de interne toezichthouder in te stellen. Volgens Matthias de Bruyne van de brancheorganisatie voor datagedreven marketing is het nog niet honderd procent duidelijk wanneer een DPO wettelijk verplicht is. “Wij raden aan om bij twijfel een DPO aan te stellen, of zorgvuldig vast te leggen op basis van welke afwegingen je hebt besloten dat dit niet nodig is.”

De afweging om een FG aan te stellen is slechts een van de vele uitdagingen waarvoor Privacy Officers op dit moment staan. Drie tips die helpen om het hoofd boven water te houden.

1. Grijp de kansen van de AVG

“De AVG is een mooie kapstok om de bescherming van persoonsgegevens opnieuw neer te zetten,” zegt Erika Steenbrink, Privacy Officer en Adviseur Security bij de gemeente Ede. Op het gebied van governance moet bijvoorbeeld duidelijk worden wie verantwoordelijk is voor de bescherming van persoonsgegevens. “Bij een datalek wordt al snel gewezen naar de IT-afdeling, terwijl de afdeling waar gegevens ontstaan verantwoordelijk blijft voor de verwerking van die gegevens. Die verantwoordelijkheid moet je goed beleggen, zeker in een organisatie met misschien wel veertig verschillende afdelingen en processen die betrekking hebben op meerdere afdelingen.”

Om de datagovernance op orde te krijgen – en de interne privacy- en security-awareness te verhogen – stelde de gemeente al tijdens de eerste voorbereidingen op de AVG een ‘privacydriehoek’ in. Steenbrink, die daarin samenwerkt met een juridisch adviseur en een adviseur informatiebeveiliging, vervult ook de rol van FG, die gemeentelijke overheden verplicht zijn aan te stellen. “Om te weten te komen waar we nog een tandje bij moeten zetten, hebben we een nulmeting uitgevoerd zodat we een goed beeld hebben van wat er nog moet gebeuren. We stellen nu een beleid op dat we ook op het niveau van clusters en afdelingen doorvertalen. Daarna is het zaak om met z’n allen te gaan bouwen aan een betere bescherming van persoonsgegevens.” Uiteindelijk is dat natuurlijk ook waar de kansen liggen: de privacyrechten van betrokkenen verstevigen, de datagovernance van de organisatie naar een hoger plan tillen en het interne bewustzijn van de waarde van gegevensbescherming verhogen.

2. Doe het niet alleen

“Als Privacy Officer ben ik destijds begonnen met het in kaart brengen van de organisatie. Wat doet T-Mobile, waar staan we en waarmee moeten we aan de slag? Al vrij snel kwam ik op het punt: dit kan ik niet alleen. Als Privacy Officer ben je verantwoordelijk voor het beleid, maar als de mensen op de afdeling marketing en sales (die met de data werken) hun verantwoordelijkheden niet nemen, komt er weinig van terecht.” Dat zei Anne Martine Koetsier, voormalig DPO bij T-Mobile en momenteel adviseur bij Privacy Company, over haar positie als Privacy Officer.

Koetsiers constatering zal voor veel FG’s en DPO’s herkenbaar zijn. Toch is samenwerking voor privacy officers niet altijd simpel. Het tijdrovende implementatietraject van de AVG heeft er bij grote organisaties wel toe geleid dat er – vaak tijdelijk – hulptroepen bijkwamen. Maar DPO’s en FG’s hebben doorgaans toch een unieke, zelfstandige positie. De parallel met de Chief Information Security Officers (CISO’s) doemt op: ook dat zijn specialisten in een cruciale positie die voor het functioneren in hoge mate afhankelijk zijn van alle radertjes in de machine.

Dataprotectie & Privacy gids | IIRGezien de overlap tussen dataprotectie en security ligt samenwerking tussen privacy officers en CISO’s voor de hand, vindt John Thomissen, corporate privacy officer bij financiële dienstverlener DLL (voorheen De Lage Landen). Ook inhuur van externe expertise is een optie, mits de organisatie de naleving van privacyregels zelf goed kan monitoren. Essentieel is volgens Thomissen dat mensen op alle niveaus meedoen. “Het begint aan de top: daar moet het commitment zijn. Maar het invullen van de kaders, het implementeren, is aan iedereen.”

De uitdaging voor privacy officers is dan ook om de AVG – bij herhaling – op de agenda te krijgen. Een slimme samenwerking tussen privacy officers en relevante collega’s – bijvoorbeeld van IT, HR, juridische zaken en bedrijfsvoering – is daarvoor natuurlijk de aangewezen methode. Zoals Peter van Schelven, legal counsel van Bij Peter en docent van diverse IIR-trainingen, het zegt: “In mijn ogen moet een privacy officer vooral goed zijn in koffie drinken, contacten leggen en het bouwen van bruggen tussen alle verschillende disciplines. In je eentje kom je er niet.”

3. Kies voor een positieve grondhouding

De dreiging van de torenhoge boetes die de Autoriteit Persoonsgegevens met de komst van de AVG kan opleggen zijn voor veel organisaties een drijvende kracht achter implementatie en compliance. Peter van Schelven pleit voor een positievere benadering. “Door je bezig te houden met een succesvol privacybeleid, ben je veel constructiever bezig. Je hoeft dan echt niet meteen het cijfer tien te halen. De Autoriteit Persoonsgegevens heeft laten weten boetes op te leggen bij opzet of grove onachtzaamheid. Ofwel wanneer je de regels letterlijk aan je laars lapt. Door het nodige te doen, blijf je al uit die sanctiehoek en vanuit daar kun je verder bouwen”.

Ook John Thomissen denkt dat een inzet op positieve drijfveren effectiever is. Privacy Officers kunnen nadenken over de motiverende vraag “what’s in it for me?”. Voor banken, die een zorgplicht hebben voor hun klanten, is een verantwoorde omgang met persoonsgegevens een evidente must-do. Daarnaast liggen er mogelijkheden om van gegevensbescherming een unique selling point te maken. “Als je over privacy begint in je organisatie zien mensen beren op de weg. Er zijn zeker issues, ja. Maar dat moet je uitleggen, ook hoe je dat gaat oplossen.”

“Privacy is niet nieuw. Ook de Wet bescherming persoonsgegevens bestaat al wat langer. Een compliancetraject voor de AVG doe je er echter niet zo maar eventjes bij. Je moet daar echt tijd en geld voor beschikbaar hebben”, zegt privacy officer Erika Steenbrink. Het mag duidelijk zijn: een positieve houding ten opzichte van de veranderingen die de AVG meebrengt helpt om de energie vast te houden om dat voor elkaar te krijgen.

Dataprotectiegids | IIR

 

Meer informatie?

Laat uw e-mail achter en ontvang de gehele Dataprotectie & Privacy gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten