Print:

Drie jaar CDPO: de ontwikkelingen in het vak van privacy officers

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

De beroepsopleiding voor data protection officers van IIR, die de titel CDPO oplevert, bestaat drie jaar. Docenten Peter van Schelven en André Beerten kijken terug op de ontwikkelingen in het vak van de DPO en vertellen hoe de CDPO-opleiding hierop inspeelt.

Peter van Schelven | IIR“Deelnemers aan de opleiding Certified Data Protection Officer (CDPO) brengen veel kennis, ervaring en commitment mee”, zegt hoofddocent Peter van Schelven, IT-jurist bij BIJ PETER  Wet & Recht. De tiendaagse opleiding levert data protection officers (DPO’s) de titel CDPO op, plus het recht tot inschrijving in het nationale register voor CDPO’s en toegang tot het exclusieve netwerk van bijna tweehonderd collega’s. “DPO’s kunnen vaak veel van elkaar leren. Als docent vind ik het belangrijk om de kennisuitwisseling te ondersteunen en de uiteenlopende praktijkervaringen te verbinden. Daarnaast kijk ik ook nadrukkelijk naar het commitment: waarom zit je in het vak en doe je deze opleiding? Er is doorgaans een groep van wat je true believers zou kunnen noemen: mensen die gedreven worden door het streven om zorgvuldig met mensen, en dus ook met hun persoonsgegevens, om te gaan. Daarnaast zie ik dat veel professionals de opleiding volgen om hun organisaties te versterken of soms zelfs om nieuwe stappen in hun loopbaan te zetten.”

Processen begrijpen

Andre Beerten | IIR

De CDPO-opleiding geeft ervaren DPO’s en privacy officers specialistische vakkennis over dataprotectie, maar besteedt ook aandacht aan zaken zoals informatiebeveiliging, ethiek, communicatie en projectmanagement. “Ik probeer vooral over te dragen hoe het proces van informatiebeveiliging in elkaar zit”, vertelt André Beerten, adviseur informatieveiligheid en privacy bij Octopus Informatiebeveiliging. Binnen de CDPO-opleiding verzorgt hij de module over informatiebeveiliging. “Natuurlijk geef ik handvatten over verschillende beveiligingsniveaus en basisprincipes zoals de beschikbaarheid en vertrouwelijkheid van IT-systemen. Maar het gaat in essentie niet om cyberrisico’s en technische oplossingen daarvoor. Voor DPO’s is het primair van belang om het proces te begrijpen waardoor informatiebeveiliging tot stand komt. Dat proces loopt namelijk voor een deel parallel aan privacy. Bovendien kan je met kennis van het proces ook de manier van werken van informatiebeveiligers beter begrijpen – en daardoor effectiever samenwerken en sterkere resultaten boeken.”

Maatschappelijke ontwikkelingen

Van Schelven en Beerten zijn al sinds de start van de CDPO-opleiding in 2016 als docent actief. De opleiding ontwikkelt zich mee met ontwikkelingen in het werkterrein van privacy officers. “Er is een de laatste jaren verschuiving zichtbaar in de manier waarop informatiebeveiliging in de aandacht staat – en die verandering zie je terug in de opleiding”, zegt Beerten. “Het gaat voor ervaren professionals steeds minder om technische maatregelen en verantwoording daarover, en steeds meer over het ontwikkelen van een gedragen beleid. De uitdaging voor DPO’s is om hierbij samen op te trekken met de informatiebeveiliging. Er wordt nogal eens gedacht dat informatiebeveiliging geen zaak is voor de privacyprofessional, maar de informatiebeveiliger en DPO hebben voor een deel zeker samenvallende belangen.”

De thema’s binnen de opleiding staan als een huis, maar de invulling van de modules verandert onder invloed van maatschappelijke ontwikkelingen, zegt ook Van Schelven. “Toen we drie jaar geleden startten, was de Algemene verordening gegevensbescherming (AVG) nog niet van toepassing. We keken toen dus veel vooruit op de komst van de nieuwe Europese wet. Sindsdien zien we dat privacy officers, DPO’s en andere professionals er in hun organisaties hard mee aan de slag gaan. Dat geeft ons de kans om in de opleiding een aantal zaken meer diepgaand te behandelen. Met name vanuit de praktijkverhalen van deelnemers en real life cases die we onder meer uit de media kennen.”

Meer dan juridische inhoud

Van Schelven benadrukt dat de CDPO-opleiding niet strikt juridisch is ingestoken. “De AVG is natuurlijk voor een belangrijk deel een juridisch vraagstuk, maar er spelen ook heel veel implementatievragen. Hoe krijg ik als privacy officer budget voor mijn werk? Hoe kan ik meeliften met kwaliteitsmanagement? Hoe creëer ik draagvlak voor dataprotectie in alle lagen van de organisatie? Weet de werkvloer eigenlijk wel goed wat een datalek is? Hoe zorg ik dat mensen een incident ook melden, zonder angst voor represailles? Welke securitytools zijn er op de markt? Een van de grootste uitdagingen in het vak van DPO is om al die verschillende aspecten met elkaar te verbinden. Daarom zijn we nadrukkelijk geen juridische opleiding, of een opleiding speciaal voor juristen. Iedereen die werkt aan dataprotectie moet zich bezighouden met vakgebieden waarover je in het verleden misschien nooit hebt hoeven nadenken. Denk aan ethiek, techniek, projectmanagement, marketing, interne en externe communicatie…”

Beerten licht toe: “Het gaat niet alleen om de inhoud van het vak, maar bijvoorbeeld ook hoe je zaken gedaan krijgt in een organisatie. In de opleiding vertelt Huib Tilanus daarom over verkooptechnieken: hoe verkoop je het product privacy aan je collega’s? Ook de governance voor privacy en informatiebeveiliging is een uitdaging. Waar vind je de macht? Hoe richt je controle in? Hoe borg je gegevensbescherming? Welke kansen bieden privacy management systemen?”

Zekerheden en onzekerheden

Het staat voor de CDPO-docenten als een paal boven water dat de komst van de AVG heel veel heeft veranderd binnen het werkveld van privacyprofessionals. Beerten: “Er zijn meer FG’s aangesteld, en zijn er veel meer professionals – vanuit verschillende achtergronden en functies – die met privacy aan de slag zijn. Dat betekent dat het voor ambitieuze professionals die serieus aan dataprotectie werken belangrijker dan ooit is om goed opgeleid te zijn en vanuit de organisatie steun te krijgen om bij te leren.”

“Deelnemers voelen zich aan het begin van de opleiding soms onzeker. Compliance officers hebben bijvoorbeeld niet altijd juridische kennis van privacy. Juristen zijn niet altijd gewend om over techniek na te denken. In de opleiding kunnen alle deelnemers hun zekerheden en onzekerheden delen, net als in het echte leven”, zegt Van Schelven. Een ander terugkerend onderwerp van gesprek heeft te maken met de Nederlandse en Europese toezichthouders. “Toezichthouders komen bijna maandelijks met nieuwe standpunten, visies, toelichtingen, richtlijnen et cetera. Daar moet de privacyprofessionals iets mee. Het leren omgaan met toezichthouders en nieuwe jurisprudentie is dan ook een belangrijk thema binnen de opleiding.”

Complex speelveld

Hoe is het werkterrein van DPO’s en privacy officers in de afgelopen drie jaar veranderd? Van Schelven ziet de ontwikkelingen duidelijk terug in de vragen die deelnemers aan de CDPO-opleiding inbrengen. Tijdens sparsessies en oefeningen met praktijkvoorbeelden kan iedereen – strikt vertrouwelijk – eigen cases en dilemma’s agenderen. “Een aantal jaren geleden waren mensen vooral bezig met de eigen organisatie. Bijvoorbeeld met het maken van een privacy statement en het ontwikkelen van een privacybeleid. De laatste tijd is er veel meer erkenning voor het feit dat stakeholders zich ook in de buitenwereld bevinden. Denk aan klanten, de Raad van Commissarissen, verzekeraars, brancheorganisaties en financiers. Steeds meer partijen bemoeien zich met dataprotectie, omdat regelovertredingen schade kunnen opleveren. Het kan gaan om imagoschade en klanten die weglopen, maar ook om de kosten van boetes van toezichthouders. Het speelveld waarbinnen DPO’s opereren wordt daardoor breder en complexer, en leidt tot nieuwe vragen die op het bord van de DPO terechtkomen.”

Denken stimuleren

“Ik heb door de jaren heen heel veel professionals getraind en ik heb gemerkt dat onzekerheden in multidisciplinaire vakgebieden zoals dataprotectie echt wat doen met mensen. We leven nu eenmaal in een samenleving waarin mensen het vaak moeilijk hebben om met onzekerheden om te gaan. Maar in een discipline zoals privacy moet je kunnen omgaan met het feit dat je niet altijd alles weet of beheerst”, signaleert Van Schelven. In de CDPO-opleiding draait het dus niet alleen om kennisoverdracht over theorie. De docenten willen professionals ook creatiever en oplossingsgerichter maken. “Uit de praktijkopdrachten en de case die we tijdens het mondelinge examen behandelen komt naar voren dat mensen heel creatief, zelfstandig en kritisch kunnen zijn in het vinden van oplossingen voor vraagstukken rond dataprotectie. Dat denken willen we graag verder stimuleren.”

Beerten vult aan: “Privacyprofessionals hoeven niet alle details te kennen van het onderwerp informatiebeveiliging. Het gaat erom te kunnen doorzien hoe je dat op een procesmatige manier regelt. En om een gesprekspartner te kunnen en durven zijn voor IT. Je moet bijvoorbeeld het lef hebben om als FG lastige vraagstukken te adresseren. Want als een informatiebeveiliger in jouw organisatie er niets van bakt dan is dat ook een risico voor jou.”

Uit de comfort zone

Van Schelven benadrukt dat DPO’s boven alles zelfstandig en creatief moeten leren opereren. “Dat toetsen we ook tijdens het mondelinge examen, dat gaat over een concrete casus. Daarbij halen we de kandidaat echt uit de comfort zone. Iemand die werkt bij een multinational krijgt bijvoorbeeld een casus uit de overheid of het MKB. Als privacyprofessional moet je je goed kunnen inleven in andere werelden en verder kijken dan je neus lang is. Natuurlijk moet je de basics kennen, zoals de hoofdlijnen van de AVG. Daarover geven we deelnemers ook materiaal mee naar huis. Maar je kunt in dit vak simpelweg niet even een boekje, checklist of stappenplan afwerken.”

Interesse in de gecertificeerde beroepsopleiding voor DPO’s? Kijk voor meer informatie en aanmelding op de IIR-website.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.