Print:

Drie ontwikkelingen in dataprotectie voor de to-dolijst van 2019

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

In 2018 is veel gebeurd op het vlak van dataprotectie. Welke ontwikkelingen moeten privacyprofessionals zeker onthouden en ook in 2019 op de agenda zetten?

Nieuwe wettelijke vereisten, zoals de verlichting om een register van verwerkingsactiviteiten op te stellen en bij te houden. Nieuwe normen die wat betreft de praktische uitwerking nog veel onduidelijkheden oproepen, zoals het vragen van toestemming voor direct marketing. Een groeiende discussie over de manier waarop toezichthouder Autoriteit Persoonsgegevens (AP) de handhaving van de Algemene verordening gegevensbescherming (AVG) zal gaan oppakken. Het zijn een aantal voorbeelden van de nieuwe ontwikkelingen die het jaar 2018 op het vlak van dataprotectie en privacy heeft gebracht. De drie belangrijkste om te onthouden voor volgend jaar:

IIR Privacy

1. Audits

De AVG brengt voor risicovolle gegevensverwerkingen een verplichte data protection impact assessment (DPIA) mee. Daarmee is privacy auditing in 2018 hoog op de agenda komen te staan. Niet alleen bij organisaties die verplicht zijn een DPIA uit te voeren. Ook andere organisaties denken steeds meer in termen van risicomanagement als het gaat om dataprotectie.

Jasper de Windt, privacy consultant van One Trust, benadrukt het belang van reguliere audits. “Niet om medewerkers voortdurend met checklists om de oren te slaan, maar wel om zicht te houden op belangrijke wijzigingen die van invloed zijn op gegevensverwerkingen, dataprotectie en compliance.” Mischa van der Vliet, IT-auditor van AuditConnect en gastdocent van de cursus FG in de publieke sector, voegt daaraan toe dat audits passen bij een verbetercyclus die essentieel is voor compliance. “In de praktijk zie ik helaas geregeld dat er wel een beleid wordt opgesteld, maar dat de verbetercyclus niet is ingericht. Dan zijn alle inspanningen eigenlijk zonde van de tijd.”

2. Awareness

“Compliance is niet iets dat geldt op 25 mei 2018. Het begint eigenlijk pas op die datum – en compliance moet je vervolgens continu doen en monitoren”, stelt Bram Hoovers, privacy officer bij Philips. “Awareness is key. Je kunt nog zulke goede policies en procedures hebben, maar als medewerkers niet op de hoogte zijn van wat persoonsgegevens zijn en welke regels er gelden dan komt daar niets van terecht. De AVG moet echt in het DNA van de organisatie komen te zitten.”

Hoovers staat zeker niet alleen in zijn visie op de noodzaak van structurele aandacht voor dataprotectie. Een organisatie de basisinformatie over de AVG overbrengen is één ding, maar het actueel houden van de kennis is iets heel anders, zegt Nienke Koorn, privacy officer bij WeTransfer. “Als je wilt dat mensen echt begrijpen wat de regels uit de AVG inhouden en hun kennis op peil houden dan moet je er wel werk van maken. Ik geef veel trainingen aan collega’s en ben vrijwel altijd beschikbaar voor vragen.”

Het advies van Koorn: “Blijf dicht op de werkvloer en investeer niet alleen op managementniveau in aandacht voor dataprotectie. Voor mij is de uitdaging om over te schakelen van het kortetermijndenken, dat zich richtte op het nalevingsniveau op 25 mei 2018, naar een langetermijnvisie op privacy governance. Hoe zorgen we ervoor dat teams verantwoordelijkheid nemen voor dataprotectie en zelf oplossingen zoeken in plaats van daarvoor bij mij aankloppen? Misschien is mijn grootste doel wel dat ik mezelf overbodig kan maken.”

3. Professionalisering

De aanstelling van een Functionariss voor de Gegevensbescherming (FG) is sinds de komst van de AVG verplicht voor een toenemend aantal organisaties. Daarmee is de belangstelling voor de beroepsgroep flink gegroeid. Tegelijkertijd hebben data protection officers en andere privacyprofessionals er door de AVG-implementatie nieuwe taken en verantwoordelijkheden bij gekregen. Dit alles heeft onmiskenbaar geleid tot een professionalisering van de beroepsgroep.

“Het vak is volwassen geworden en er is volop aandacht voor het werk van privacy officers”, zegt Jean Paul van Schoonhoven, directeur van Legal2Practice en docent van diverse IIR-trainingen over dataprotectie over deze ontwikkeling. “De professionaliteit en expertise van privacyprofessionals – of het nu privacy officers zijn, of FG’s – nemen toe. Men wordt steeds meer herkend als serieuze gesprekspartner.”

Het goede nieuws is ook dat er steeds meer informatiebronnen, handboeken, naslagwerken, gidsen, best practices, modellen, fora, netwerken en conferenties zijn waarmee privacy professionals de kennis actueel kunnen houden. Denk aan de SDU wettenverzameling privacyrecht, de online kennisbank over privacy en dataprotectie van IIR en actuele seminars over nieuwe ontwikkelingen zoals de ePrivacy Verordening. Want net als voor AVG-compliance geldt natuurlijk ook voor privacy-expertise dat je er wel mee bezig moet blijven. Ook in 2019.

Ook in 2019 op de hoogte blijven van actuele ontwikkelingen in dataprotectie en privacy? Bekijk het aanbod opleidingen, trainingen en conferenties.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten