Print:

FG in de publieke sector: ontwikkel een helicopterview en houd uw hoofd koel

Alex Commandeur, Senior Adviseur van BMC & Hans van Impelen FG bij Gemeente Utrecht ,

LinkedIn profiel

De functie van Functionaris voor de Gegevensbescherming (FG) is voortdurend in ontwikkeling. Zeker in het publieke domein, waar organisaties een extra verantwoordelijkheid hebben om zorgvuldig met persoonsgegevens om te gaan. Alex Commandeur van BMC en Hans van Impelen van de gemeente Utrecht vertellen over de uitdagingen, issues en trends van nu en straks.

Taken, bevoegdheden en verantwoordelijkheden van de FG

Wat zijn precies de taken, bevoegdheden en verantwoordelijkheden van de Functionaris voor de Gegevensbescherming (FG)? Hoe verhouden de activiteiten van de interne toezichthouder zich tot het werk van bijvoorbeeld privacy officers en security specialisten? Hoe verloopt de interne samenwerking idealiter? Wat zijn de aandachtspunten in de communicatie met de Autoriteit Persoonsgegevens (AP)? Wat betekenen thema’s zoals ethiek, risicomanagement en informatiebeveiliging voor het werk van data protection officers? Het zijn slechts enkele vraagstukken waarmee FG’s anno 2021 te maken hebben.

“Rond de implementatie van de Algemene Verordening Gegevensbescherming (AVG) is privacy vaak gezien als een project met een begin en een einde. Inmiddels is er meer bewustzijn dat datatprotectie een structurele inbedding in de organisatie vereist. Daarmee staat het werk van FG’s anno 2021 extra in de schijnwerpers”, signaleert Alex Commandeur, senior adviseur bij BMC, lid van de Commissie Persoonsgegevens Amsterdam en gastdocent bij IIR, en eerder werkzaam bij onder meer de AP. “Een FG kan profijt hebben van de toegenomen aandacht voor privacy, maar het schuurt natuurlijk soms ook: de privacy-organisatie moet goed zijn ingericht om te voorkomen dat de FG wordt gevraagd om als expert te adviseren over zaken waarop het interne toezicht zich richt.”

Voor FG’s bij gemeenten is volgens Hans van Impelen het grote aantal juridische en wettelijke kaders voor decentrale overheden een grote uitdaging. Van Impelen is sinds 2015 FG van de gemeente Utrecht en werkte daar eerder onder andere als security officer. Hij deelt zijn expertise en ervaring regelmatig tijdens events en opleidingen van IIR, onder andere in de praktijkcursus Functionaris Gegevensbescherming in de publieke sector. “De dynamiek van technologische innovaties maakt de toepassing van de wet- en regelgeving extra complex: de ontwikkelingen gaan zó snel dat de juridische richtlijnen er niet altijd op zijn toegesneden. Daarnaast speelt altijd de vraag: een technologische toepassing is misschien juridisch toegestaan, maar is het ook wenselijk?”

Binnen de gemeente Utrecht is een gespecialiseerd team actief dat zich bezighoudt met ethiek. Als na een data protection impact assessment (DPIA) is vastgesteld dat een voorgenomen gegevensverwerking toelaatbaar is, toetst het team de ethische aspecten. “Technologisch is bijna alles mogelijk en juridisch kunnen we veel zaken in goede banen leiden, maar wanneer gaan we een morele grens over? Die vraag willen we nadrukkelijk agenderen rond ontwikkelingen zoals bodycams voor handhavers, druktemetingen in de openbare ruimte en andere smart city initiatieven.”

“De recente maatschappelijke discussies over incidenten bij de Belastingdienst, de GGD en diverse gemeenten laten weer eens zien hoe belangrijk de FG kan zijn als interne adviseur en toezichthouder”, voegt Commandeur toe. “Er wordt daardoor natuurlijk ook steeds meer gevraagd en verwacht van FG’s.”

De kracht van een goede FG

Onafhankelijk zijn in denken en handelen en tegelijkertijd het vermogen hebben om een goede verbinding te maken met het bestuur en de rest van de organisatie. Dat is volgens Commandeur de kracht van een goede FG. “Als FG heb je een interne toezichthoudende functie waarin je structureel samenwerkt met collega’s. Je geeft niet eenmalig een advies of een oordeel: je moet altijd weer verder met de organisatie waar je werkzaam bent. Daarom is het belangrijk om de verbinding te maken maar toch in je oordeel en advisering onafhankelijk te blijven.”

De interne privacybewustwording is nog steeds een belangrijke pijler van het werk van FG’s en hun collega’s, voegt Van Impelen toe. “We hebben een meerjarig programma voor gegevensbescherming, waarin privacybescherming en Informatieveiligheid samen komen onder de noemer gegevensbescherming. Awareness is daarin een belangrijk onderdeel. We moeten steeds alert blijven op mogelijke bedreigingen, zoals phishing, en medewerkers op de hoogte houden van risico’s en maatregelen. Datahandel is niet voor niets de grootste handel ter wereld.”

Theorie en praktijk

De vierdaagse praktijkcursus Functionaris Gegevensbescherming in de publieke sector van IIR is speciaal ontwikkeld voor (aanstaande) data protection officers en andere professionals in het publieke domein die zich bezighouden met AVG-compliance, dataprotectie en informatiebeveiliging.

Toonaangevende docenten met jarenlange praktijkervaring én diepgaande kennis van juridische, beleidsmatige en strategische vraagstukken delen alle inzichten om privacy professionals verder te brengen in hun werk en loopbaan. Aan bod komen onder meer de nieuwste ontwikkelingen in de meldplicht datalekken, het boetebeleid van de toezichthouder, privacy by design, DPIA’s en informatiebeveiliging. De cursus geeft concrete handreikingen om privacyrisico’s te analyseren en te beheersen, en om awareness in de organisatie te vergroten. Daarnaast krijgen de deelnemers handvatten om een impactvolle strategie voor AVG-compliance te ontwikkelen en met de uitvoering van het beleid aan de slag te gaan.

“Het heeft echt toegevoegde waarde om met collega-FG’s die werken in dezelfde sector kennis en ervaring uit te wisselen,” zegt Commandeur over het belang van specialistische opleidingen voor FG’s. “Het veld van privacy is voortdurend in ontwikkeling. Kijk alleen al naar de onderzoeken van de AP en de opinies van de Europese privacytoezichthouder. Je moet als FG daarom goed op de hoogte blijven van actualiteiten – en daaraan ook duiding geven. De praktijkcursus van IIR stelt FG’s in staat om met vakgenoten van gedachten te wisselen, expertise te verdiepen en te verbreden, en diepgaande vakkennis te combineren met concreet toepasbare inzichten.”

Ook volgens Van Impelen heeft een speciale opleiding voor FG’s in de publieke sector een toegevoegde waarde. “Er zijn genoeg algemene opleidingen. Overheden, met name gemeenten, hebben te maken met heel veel wet- en regelgeving die direct raakt aan verschillende leefgebieden van de burger. Een geboorte, overlijden, uitkering, huis of rijbewijs – een gemeente bemoeit zich onvermijdelijk in meer of mindere mate met de persoonlijke levenssfeer van de burger. Dan is het extra belangrijk om zorgvuldig met persoonsgegevens om te gaan. De docenten van de IIR-opleiding voor FG’s hebben naast actuele kennis ook een schat aan relevante praktijkervaring.”

Leren van fouten

Van Impelen verzorgt tijdens de IIR-praktijkcursus Functionaris Gegevensbescherming in de publieke sector samen met Magdalena Magala van de gemeente Zaanstad en Ingeborg Smit van Smit Legal een sparsessie. “In de sessie verbinden we de theorie met de praktijk en gaan we in op actuele gebeurtenissen en de vragen van deelnemers. Het is een veilige omgeving voor cursisten om eigen cases met vakgenoten en docenten te bespreken.”

Commandeur, die docent is van de module over privacy by design en DPIA’s, voegt toe: “Je kunt veel leren van elkaars fouten. Of kijk alleen al in de kranten naar de berichtgeving over datalekken en andere incidenten in Nederland. Ga eens na wat er misging en check of zo’n risico ook in je eigen organisatie mogelijk is. In elke organisatie kan wel eens iets misgaan en het is belangrijk dat we daarvan leren.”

Netwerken, een helicopterview en een koel hoofd

“Het is essentieel om als FG je speelveld te kennen en om een sterk intern en extern netwerk te hebben”, adviseert Van Impelen, die een drijvende kracht is achter een regulier overleg tussen de FG’s van Utrecht, Den Haag, Rotterdam, Amsterdam en Eindhoven. “We kunnen zo veel van elkaar leren en voor veel uitdagingen zijn al oplossingen gevonden. Voor gemeenten zijn onder andere het Centrum Informatiebeveiliging en Privacybescherming, het NGFG en de VNG belangrijke informatiebronnen. Stel ook gerust je vragen aan docenten, medecursisten en de AP. Mijn advies is altijd: gebruik de producten en platforms die er al zijn en ga actief op zoek naar kennis, bijvoorbeeld via congressen.”

“Zorg dat je een helicopterview hebt en de rust in de organisatie vasthoudt”, voegt Van Impelen toe. “Als er een signaal van buiten komt dat er iets is misgegaan, dan dreigt er al snel intern onrust te ontstaan. Dan is het belangrijk om het hoofd koel te houden en de feiten centraal te stellen: wat is er gebeurd, is er een DPIA uitgevoerd, welke maatregelen zijn er genomen en hoe kunnen we de maatschappelijke onrust wegnemen? Niemand is erbij gebaat dat er paniek losbarst.”

Meer weten? In de inspirerende praktijkcursus Functionaris Gegevensbescherming in de publieke sector brengen ervaren privacy professionals u verder om als interne toezichthouder te opereren en uw impact te vergroten.

Verder lezen?

Laat uw e-mail achter en ontvang de brochure: FG in de
publieke sector, direct in uw mailbox.