Print:

Een goede Data Protection Officer is ook een bruggenbouwer

Communicatieve vaardigheden zijn voor Data Protection Officers minstens zo belangrijk als inhoudelijke kennis van de wet- en regelgeving. Dat zegt Arjen Deenen, Functionaris voor de Gegevensbescherming (FG) van de Rijksuniversiteit Groningen en Stichting Studielink.

De richtlijnen over de data protection officer van de European Data Protection Board (EDPB), de opvolger
van de Artikel 29-werkgroep, worden door veel FG’s en hun werkgevers geraadpleegd. Maar de guidelines zijn nog behoorlijk algemeen. Hoe bepaal je in de praktijk of een FG het juiste deskundigheidsniveau en voldoende professionele kwaliteiten heeft? Tijdens de Dag van de Privacy Officer op 7 juni gaat FG Arjen Deenen samen met Jeanne Jacobs-Gilhuis in een workshop over het kernprofiel van een goede Data Protection Officer op deze vragen in.

Arjen Deenen | IIR

“Een Data Protection Officer moet verstand hebben van de Europese en Nederlandse wet- en regelgeving”, zegt Deenen, sinds 2017 FG van de Rijksuniversiteit Groningen en sinds 2018 ook bij Stichting Studielink. “In de praktijk krijg je onvermijdelijk inhoudelijke vragen over de interpretatie van de AVG. Mogen we het burgerservicenummer (BSN) verwerken? Hebben we toestemming van de betrokkene nodig om persoonsgegevens te verwerken? Dit soort vragen kan je alleen beantwoorden als je de General Data Protection Regulation, de AVG en de Uitvoeringswet Algemene verordening gegevensbescherming heel goed kent – en weet hoe deze zich verhouden tot elkaar, tot andere privacywetgeving en hoe jurisprudentie hieraan invulling geeft.”

Ook basiskennis over security is voor Data Protection Officers onmisbaar, vindt Deenen. “Zonder security geen privacy. Dat betekent dat FG’s op de hoogte moeten zijn van maatregelen voor informatiebeveiliging, ook in technische zin. Je hoeft niet in detail te kunnen uitleggen hoe bijvoorbeeld encryptie werkt. Maar je moet wel weten wanneer je wie moet vragen om wat te beveiligen.”

Assertief, verbindend en analytisch

Deenen benadrukt dat FG’s ook soft skills nodig hebben om hun functie effectief te kunnen uitvoeren. “Iemand met veel kennis over het privacyrecht is niet automatisch een goede Data Protection Officer. Je kunt een uitstekende bureaujurist zijn, maar veel zaken waarmee de FG te maken krijgt kan je niet simpelweg afdoen vanachter je bureau. Je moet mensen echt kunnen overtuigen van het belang van de bescherming van persoonsgegevens.”

Als interne toezichthouder moet een FG volgens Deenen communicatief vaardig en assertief zijn. “Als je je boodschap niet kunt overbrengen, kan je nooit goed informeren, adviseren en controleren. Tegelijkertijd is het belangrijk om een bruggenbouwer te zijn. Je komt namelijk op vrijwel alle afdelingen en op alle niveaus van een organisatie. Voor compliance is het essentieel dat verschillende disciplines samenwerken. Denk aan HR, waar veel persoonsgegevens worden verwerkt, en IT, waar de expertise over informatiebeveiliging zit. Als FG kan je deze deskundigheid mooi verbinden.”

Ook analytische vaardigheden komen Data Protection Officers goed van pas. “Er komen veel juridische vraagstukken op je bord en dan moet je snel kunnen destilleren wat de crux is en welke oplossingen er in het licht van de AVG mogelijk zijn.”

Uitdagingen op de werkvloer

Het creëren van draagvlak voor dataprotectie is volgens Deenen een van de grootste uitdagingen waar Data Protection Officers nu voor staan. “Hoe overtuig je collega’s om op een zorgvuldige manier met persoonsgegevens om te gaan? Als FG spreek je met het management, maar ook met de mensen op de werkvloer. De administratief medewerkers op de universiteit verwerken ontzettend veel persoonsgegevens. Het is daarom heel belangrijk voor de naleving als zij weten wat de AVG precies van hen vraagt. Maar de FG kan hen ook duidelijk maken dat de AVG niet alleen maar lastig is – of juist helemaal niet lastig is.”

Data Protection Officers hebben volgens Deenen ook een belangrijke rol in het doorprikken van mythes. “Er doen vaak nog heel veel fabeltjes de ronde. Bijvoorbeeld dat er altijd toestemming van de betrokkene nodig is om persoonsgegevens te verwerken. Of mensen denken dat je door de AVG opeens niet meer een bloemetje of kaartje aan een zieke werknemer mag sturen.”

FG en AP

FG’s staan bekend als de vooruitgeschoven posten van de nationale toezichthouder, de Autoriteit Persoonsgegevens (AP). FG’s zijn een belangrijke troef bij het effectief uitvoeren van de wettelijke taak van de AP, zei directeur Cecile Schut recent in een interview. “Zij vormen als het ware een netwerk van privacyhoeders en weten als geen ander wat er binnen organisaties speelt en op welke vlakken er werk aan de winkel is.”

De samenwerking tussen de AP en FG’s is nog in een pril stadium, ervaart Deenen. De AP controleert de meldingen van datalekken en geeft antwoord op vragen. Maar regulier overleg tussen de toezichthouder en brancheverenigingen om te komen tot bijvoorbeeld nieuwe richtlijnen en gedragscodes is er nog niet. “Idealiter komen we tot gezamenlijke antwoorden op ingewikkelde vraagstukken en kunnen we sneller en makkelijker afspraken maken over de sectorale gedragscodes die voor ons werk zo belangrijk zijn.”

Kijkje in de keuken

Volgens artikel 38 van de AVG moeten FG’s niet alleen over voldoende middelen beschikken om hun taken uit te voeren, maar ook in staat zijn om het kennisniveau op peil te houden. Hoe doe je dat? Deenen adviseert om de publicaties van de EDPB, het nieuws van de AP en de jurisprudentie bij te houden. “Maar neem ook eens een kijkje in de keuken bij een collega. Hoe past een Data Protection Officer in een vergelijkbare organisatie bepaalde beginselen toe? Of stap eens helemaal uit je eigen wereld en comfortzone, en loop een dag mee met een collega in een heel ander type onderneming.”

Ook intern is er nog veel te leren, weet Deenen. “De Rijksuniversiteit Groningen heeft een Faculteit Rechtsgeleerdheid waar veel expertise is over dataprotectie. Ik vraag de hoogleraren dan ook wel eens om mee te denken. Maar ik heb ook een week met HR en de studentenadministratie meegelopen. Door de organisatie en werkprocessen van dichtbij mee te maken, weet je veel beter wat er in de praktijk speelt. En omdat je collega’s persoonlijk leert kennen kan je hen ook eenvoudiger meenemen in je aanpak.”

Meer weten over de vaardigheden en kennis die Data Protection Officers nodig hebben en leren van deskundige en ervaren vakgenoten? Kom dan op 6 en 7 juni naar de Dag van de Privacy Officer.

Meer informatie?

Laat uw e-mail achter en ontvang het programma direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten