Print:

Het jaar 2018 vanuit de blik van de FG (plus: de issues voor 2019)

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Het vak van Functionaris voor de Gegevensbescherming (FG) heeft in 2018 meer dan ooit in de belangstelling gestaan. Met de implementatie van de Algemene verordening gegevensbescherming (AVG) is er tegelijkertijd veel op het bord van de FG terechtgekomen. Welke highlights uit 2018 zijn ook volgend jaar nog actueel?

 

De FG is in de wereld van dataprotectie geen onbekende figuur. Maar de Algemene verordening gegevensbescherming (AVG) heeft het beroep wel een enorme impuls gegeven. Overheidsinstanties en publieke organisaties zijn door de AVG verplicht een FG aan te stellen. De verplichting geldt ook voor organisaties waarvoor het op grote schaal monitoren van individuen of het verwerken van bijzondere persoonsgegevens tot de kernactiviteiten behoort. Dit betekent dat bijvoorbeeld banken, verzekeraars en zorginstellingen over een FG moeten beschikken.

Voor veel organisaties en professionals is de FG-functie nieuw. De positionering van de interne toezichthouder is best even een puzzel. Tegelijkertijd staan startende FG’s voor de uitdaging om in rap tempo veel kennis en ervaring op te doen. Drie thema’s uit 2018 om ook het volgende jaar in het oog te houden.

1. Datamanagement

Een essentieel nieuwe onderdeel van de AVG is de verantwoordingsplicht. Organisaties moeten kunnen aantonen dat ze aan de regels voldoen. Het register van verwerkingsgegevens is een van de bouwstenen van deze accountability. In het register staat beschreven welke data worden verwerkt, waar de informatie vandaan komt, met welk doel de gegevens worden verwerkt en hoe persoonsgegevens worden gedeeld en beveiligd. Het verwerkingsregister wordt nogal eens gezien als administratieve last, maar het is ook een instrument voor datamanagement. Het overzicht van gegevensverwerkingen maakt het mogelijk om data makkelijker te gebruiken, om werkprocessen efficiënter te maken en om risico’s beter te beheersen.

“Datamanagement is de fundamentele basis voor privacybeleid. Pas als je weet welke gegevens je in huis hebt en hoe je daarmee omgaat, kan je de risico’s voor dataprotectie inzichtelijk maken en de passende maatregelen nemen,” zegt Wolfje Mijnders, privacy officer a.i. bij de gemeente Amersfoort en hoofddocent van de praktijkcursus Datamanagement. “Uit de data-inventarisatie kan allerlei informatie worden afgeleid die helpt om bijvoorbeeld de dienstverlening en concurrentiepositie te verbeteren.” Het verwerkingsregister kan er onder meer voor zorgen dat inzageverzoeken efficiënter worden afgehandeld.

“Veel organisaties denken: we maken even een register en vullen het snel in. Maar de verantwoordingsplicht is een continu proces,” waarschuwt Mijnders. Het actueel houden van het verwerkingsregister is een must omdat de Autoriteit Persoonsgegevens (AP) er bij een controle om kan vragen. Maar ook vanuit het perspectief van datamanagement is het essentieel om de inhoud juist en volledig te houden, aldus Mijnders. “Het verwerkingsregister moet je onderhouden. Dan behoudt het pas de waarde.”

2. Ethiek

“We moeten ethical capabilities opbouwen om met de uitdagingen van de AVG aan de slag te gaan. En snel ook. Want hoe langer we daarover doen, hoe minder tijd er is om alle data en systemen in lijn te brengen met de uitdagingen die nieuwe technologieën creëren.” Dat stelde Jeroen van den Hoven, hoogleraar ethiek aan de TU Delft, in zijn keynote tijdens het Dataprotectie & Privacy Congres 2018. In de hectiek van de dagelijkse werkpraktijk staat ethiek misschien niet altijd bovenaan de prioriteitenlijst van de gemiddelde FG. Maar als het gaat om AVG-compliance is het stilstaan bij ethische vraagstukken geen overbodige luxe.

“De meeste organisaties zijn in 2018 begonnen met wat ze op het vlak van dataprotectie móeten regelen”, zegt Jean Paul van Schoonhoven, directeur van Legal2Practice en onder andere hoofddocent van de cursus FG in de publieke sector. “Maar het gaat er ook om te kijken naar wat er met persoonsgegevens mag en wat er wenselijk is. Aan dat laatste – wat we data-ethiek zouden kunnen noemen – komen organisaties vaak niet toe. Terwijl het voor dataprotectie en datamanagement essentieel is om na te denken over wat er maatschappelijk wordt verwacht.”

Volgens Van den Hoven maken technologische ontwikkelingen de relevantie en urgentie van ethiek alleen maar groter. De combinatie van advanced behavioral science met big data en Artificial Intelligence betekent volgens Van der Hoven dat er geen level playing field is voor dataprotectie – en dat een panoptische samenleving op de loer licht. “Maar er is ook reden tot optimisme. Privacy was vroeger misschien een vergaarbak van allerlei waarden en beginselen. Wetgeving zoals de AVG heeft dat veld een stuk overzichtelijker gemaakt. Met de wet- en regelgeving voor dataprotectie kunnen we daarom uiteindelijk wel de waarden beschermen die we als samenleving echt belangrijk vinden.”

3. Toezicht en handhaving

Als interne toezichthouder is de FG in zekere zin een verlengstuk van de AP. De FG controleert de naleving van de regels binnen de organisatie en treedt zo nodig op. Voor FG’s die als eerste de functie vervullen binnen een organisatie is een stevige positionering geen vanzelfsprekendheid. Ook de handhaving richting de eigen organisatie kan complex zijn. Daar komt bij dat de communicatie en samenwerking met de AP nog wel even zoeken is.

Samenwerking is een toverwoord als het gaat om toezicht en handhaving, zegt Alex Commandeur, senior adviseur privacy in de publieke sector bij BMC en gastdocent van de opleiding tot Certified Data Protection Officer (CDPO). De AP heeft een speciaal e-mailadres ingesteld waarop FG’s vragen over de AVG kunnen stellen. Commandeur adviseert om een vraag goed voor te bereiden. “Stel geen vragen waarop je het antwoord eigenlijk zelf wel kunt vinden. En vermijd open vragen die de indruk wekken dat je de toezichthouder al het werk laat verzetten. Laat zien dat je al naar antwoorden en oplossingen hebt gezocht maar er desondanks niet uitkomt.” Volgens Commandeur zijn ook contacten met brancheorganisaties van belang om de samenwerking met de toezichthouder in goede banen te leiden. “Brancheverenigingen hebben vaak al korte lijntjes met de AP, en fungeren regelmatig als sparring partners van de toezichthouder.”

“Er ontstaan ook steeds meer informele communities, die losstaan van formele organisaties zoals het NGFG“, voegt Van Schoonhoven toe. “De uitdagingen waar privacyprofessionals voor staan, zijn nu eenmaal groot en divers. Dat vraagt om prioriteiten stellen en onderbouwde keuzes maken. Overleg met peers helpt daarbij. Samen met vakgenoten zorgen privacy officers dan dat het interne commitment bij dataprotectie versterkt en het privacyvolwassenheidsniveau van een organisatie toeneemt. Groeien in AVG-compliance doe je namelijk alleen door ermee bezig te blijven.”

Als FG goed voorbereid op de kansen en uitdagingen van 2019? Volg dan de vierdaagse praktijkcursus FG in de publieke sectorPraktische handvatten nodig voor het AVG compliant maken van uw organisatie? Volg dan de praktijkcursus AVG ComplianceAls FG behoefte aan verdieping om te groeien tot professioneel en allround FG? Volg dan de beroepsopleiding Certified Data Protection Officer.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten