Print:

Een effectieve FG werkt onafhankelijk, maar niet alleen

Vertrouwen van de werkvloer en het management is een voorwaarde om als Functionaris voor de Gegevensbescherming (FG) effectief te acteren. Daarvoor is een sterk netwerk onmisbaar. Dat zegt Ilse Bourgonje, Centraal Privacy Officer en FG bij het Kadaster.

Ilse Bourgonje | IIR“Vanaf mijn allereerste dag als Functionaris voor de Gegevensbescherming (FG) heb ik geprobeerd om te voorkomen dat de organisatie me als een soort politieagent ziet”, zegt Ilse Bourgonje, Centraal Privacy Officer en FG bij het Kadaster. “Het begint er bijvoorbeeld mee dat ik in gesprekken met collega’s actief meedenk over oplossingen. Als iemand bij me aanklopt met een vraag, dan is mijn eerste reactie vaak: het is wat met de Algemene verordening gegevensbescherming (AVG), he? Laten we samen kijken hoe jij je werk kunt doen en alles toch AVG-proof is.”

“Het succes van een FG heeft soms net zozeer te maken met soft skills als met vakkennis,” vult Bourgonje aan, die eerder werkte als onder andere manager risk & operations bij ABN Amro MeesPierson en recent de opleiding Certified Data Protection Officer (CDPO) afrondde. “Ik schrijf bijvoorbeeld regelmatig blogs voor ons intranet waarin ik dilemma’s uit de dagelijkse praktijk bespreek. Wat mag er nu wel en niet van de AVG? Deze artikelen zijn een goede manier om duidelijk te maken dat zaken waarvan gedacht wordt dat ze niet meer zijn toegestaan sinds de komst van de AVG wel degelijk mogelijk zijn.”

Bourgonje werkt niet alleen aan de beeldvorming over de FG en de AVG, maar ook aan het vertrouwen in haar positie. “In de eerste periode na mijn aanstelling heb ik veel geïnvesteerd in het creëren van vertrouwen. Ik heb me volop op de werkvloer laten zien, en ik heb veel verteld over waar ik voor sta en hoe ik werk. Dat helpt om het vertrouwen op te bouwen dat ik onderbouwde adviezen geef over de interpretatie van de AVG en dat ik constructief meedenk over werkbare manieren om aan de wet te voldoen. Het is bijvoorbeeld wel eens lastig voor collega’s als ze voor gegevensverwerkingen de toestemming van betrokkenen nodig hebben. Maar als ze het vertrouwen hebben dat ik weet waar ik het over heb, snappen ze ook dat het gewoon moet gebeuren.”

Functiescheiding

Samen met de decentrale privacy officers zorgt Bourgonje voor onder andere de afhandeling van meldingen van datalekken en de uitvoering van Data Protection Impact Assesments (DPIA’s). Verder houdt Bourgonje zich vooral bezig met de implementatie van het privacy control framework. Het kader is de basis om de aanpak van de belangrijkste risico’s te monitoren die de DPIA’s in kaart hebben gebracht.

Voor Bourgonje is een scheiding tussen de verschillende privacyfuncties binnen de organisatie een belangrijke voorwaarde om als FG onafhankelijk te opereren. “Als Centraal Privacy Officer beschik ik over de mechanismen om risico’s te monitoren en als FG werk ik met een auditstructuur die aangeeft hoe mijn toezichthoudende rol eruitziet. Ik bemoei me heel nadrukkelijk niet met analyses van meldingen van datalekken en DPIA’s. Daar ben ik heel streng in: die taken liggen echt bij de decentrale privacy officers. Zij maken rapportages die uiteindelijk bij mij ter beoordeling komen.”

Is het voor de werkvloer ook duidelijk dat de Centraal Privacy Officer een andere rol, taak en verantwoordelijkheid heeft als de FG? “In het begin vergde dat wel enige uitleg, maar nu begrijpt iedereen dat de strikte functiescheiding tussen Privacy Officer en FG essentieel is om het toezicht goed in te vullen.”

Onafhankelijk, maar niet alleen

Bourgonje benadrukt dat ze als FG onafhankelijk opereert, maar er niet alleen voorstaat. “Als er binnen de organisatie compliance-issues spelen dan kan ik die aankaarten. Ik vind het ook belangrijk om ruggespraak te houden. Op die manier kan ik met een gedegen standpunt komen en vergroot ik de kans dat mijn adviezen worden overgenomen.”

Volgens Bourgonje is een sterk netwerk een belangrijke steunpilaar om als FG onafhankelijk op te treden. “Ik heb veel contact met oud-deelnemers van de CDPO-opleiding, en met de FG’s van bijvoorbeeld de Kamer van Koophandel en de RDW. We sparren met elkaar, en bellen of appen als we tegen vraagstukken aanlopen. Het is heel leerzaam om te horen hoe anderen met uitdagingen omgaan, zeker nu er nog relatief weinig rechterlijke uitspraken zijn over de AVG.”

 Alle kennis en vaardigheden opdoen om als FG onafhankelijk en effectief te opereren? Volg dan de opleiding Certified Data Protection Officer (CDPO), of de praktijkcursus FG in de publieke sector.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.