Print:

Hoe het vak Privacy Officer zich in de afgelopen 25 jaar ontwikkelde

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

De grondslagen van het privacyrecht zoals we dat nu kennen, dateren van de late jaren 90, toen de Europese Dataprotectie Richtlijn werd ontwikkeld. Wat betekent de evolutie van de privacywetgeving die sindsdien heeft plaatsgevonden voor het vak van Privacy Officer anno nu? Twee doorgewinterde privacyprofessionals – met elk zo’n 30 jaar ervaring in het vak – delen hun expertise en visie. Dit is de eerste van drie blogs over het vak Privacy Officer, hoe dit veranderd is en welke kennis en vaardigheden Privacy Officers nodig hebben om op de toekomst voorbereid te zijn.

Het is al bijna 25 jaar geleden dat de Europese Dataprotectie Richtlijn van kracht werd. De kaderwet, die in 1995 werd ingevoerd, staat bekend als een mijlpaal in dataprotectie. Inmiddels heeft zich met de komst van de General Data Protection Regulation (GDPR) een nieuwe aardverschuiving voorgedaan. De Nederlandse vertaling van de richtlijn, de Algemene verordening gegevensbescherming (AVG), heeft het vak van Privacy Officer een enorme impuls gegeven. Een groter aantal organisaties is verplicht een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Tegelijkertijd heeft de vele media-aandacht voor de AVG het thema dataprotectie stevig op de agenda gezet.

Huib Gardeniers“Vroeger had ik op een verjaardagsfeestje wel wat uit te leggen. Bijna niemand begreep wat privacy inhoudt en waarom het belangrijk is. Dat is nu fundamenteel veranderd: er is een brede bewustwording van de problematiek, het onderwerp privacy is volwassen geworden, en dataprotectie kan op veel draagvlak rekenen”, zegt Huib Gardeniers, partner bij Net2Legal Consultants en docent van de IIR-opleiding Certified Data Protection Officer (CDPO). Hij houdt zich al sinds 1990 bezig met privacyvraagstukken: eerst bij de Registratiekamer, de voorganger van de Autoriteit Persoonsgegevens (AP), en FENIT, het huidige Nederland ICT, en vanaf 2000 als consultant.

De prikkel van het toezicht

“Privacy is in het verleden vaak weggezet als kwaliteitsonderwerp. Het is natuurlijk veel meer dan dat”, blikt Gardeniers terug. “Nu zie ik dat er meer bereidheid is om mensen en middelen ter beschikking te stellen om als organisatie in control te zijn op het vlak van dataprotectie.” De dreiging van de sancties die de AP kan opleggen op grond van de AVG speelt hierbij zeker mee, denkt Gardeniers. “Het feit dat er hoge boetes kunnen worden uitgedeeld wordt de laatste jaren sterk aangezet. Dat zal voor sommige organisaties wel een prikkel zijn om met de AVG aan de slag te gaan. Maar dat is uiteindelijk een wankele basis voor compliance: daarvoor moet de hele keten, van Privacy Officer tot toezichthouder, goed functioneren.”

Rien van Zuijlen | IIRHet optreden van de toezichthouder is een belangrijke drijvende kracht achter de toegenomen privacy awareness, zegt ook Rien van Zuijlen, FG bij Noordwest Ziekenhuisgroep. Hij werkt sinds 1981 bij het ziekenhuis in de kop van Noord-Holland, eerst als Privacy Officer en sinds 2017 als FG. “Niemand maakte zich erg druk over de naleving van de Wet bescherming persoonsgegevens (WBP). De voorloper van de AVG, die in 2001 van kracht werd, vereiste bijvoorbeeld dat een organisatie een overzicht van risicovolle gegevensverwerkingen bij het College bescherming persoonsgegevens (de huidige AP) aanleverde. Onze inventarisatie maakte duidelijk dat er 350 applicaties in ons ziekenhuis in gebruik waren die persoonsgegevens verwerkten. Pas met de komst van de meldplicht datalekken begonnen veel organisaties zich serieus zorgen te maken over de naleving.” De meldplicht datalekken, die sinds 2016 geldt, stelt de AP in staat om forse boetes op te leggen. Zo ontving Uber al een boete van 600.000 euro voor het te laat melden van een datalek.

Awareness dankzij Privacy Officers

Het harde werk van Privacy Officers, FG’s en andere privacyprofessionals heeft ook een rol gespeeld in het feit dat er nu meer aandacht is voor dataprotectie dan voorheen, merkt Van Zuijlen in zijn eigen omgeving. “In de afgelopen jaren hebben de Privacy Officer en FG zich binnen Noordwest Ziekenhuisgroep heel actief opgesteld. We zitten niet ergens achteraf verstopt in een kamertje, maar zijn op de werkvloer veel in gesprek met collega’s. Ter voorbereiding op het register van verwerkingsactiviteiten dat we op grond van de AVG verplicht zijn om bij te houden, zijn zo’n 250 leidinggevenden – managers, hoofden en teamleiders – geïnterviewd. Op die manier is elke afdeling wel op een of andere manier bekend geworden met de AVG.”

“In feite creëren we ook ons eigen werk, bijvoorbeeld doordat we presentaties geven en nieuwsberichten op intranet plaatsen”, vult Van Zuijlen aan. “Dat levert onvermijdelijk nieuwe vragen en huiswerk op. Dat is niet erg, want daardoor is men zich op alle niveaus van de organisatie bewust van het thema.” De goede interne zichtbaarheid van de privacycommissie – die naast Van Zuijlen bestaat uit een Privacy Officer, een jurist en twee experts op het gebied van informatiebeveiliging – zorgt ervoor dat er tijdig aan dataprotectie wordt gedacht. “We lopen eigenlijk nooit meer achter de feiten aan. De afdelingen inkoop en ICT weten dat als er iets nieuws aankomt, ze ons vroegtijdig informeren, zodat wij een Data Protection Impact Assessment (DPIA) of andere beoordeling op privacyrisico’s kunnen uitvoeren.”

Multidisciplinair vak

Een andere ontwikkeling die Gardeniers signaleert heeft te maken met het multidisciplinaire karakter van het vak van Privacy Officer. “Voorheen was dataprotectie vooral een speeltje van juristen. Het vak had ook een hoog theoretisch gehalte. Margriet Overkleeft, ooit collegelid van de Registratiekamer en nu hoogleraar staats- en bestuursrecht, noemde het privacyrecht een mandarijnenwetenschap. Het onderwerp nodigde ook niet uit om ermee in de praktijk aan de slag te gaan. Nu wordt dataprotectie juist heel praktisch ingestoken, bijvoorbeeld vanuit de informatiebeveiliging en risk & compliance.”

De verschuiving van theorie naar praktijk is opvallend te noemen in het licht van de veranderingen in de wet- en regelgeving van de afgelopen decennia. Gardeniers: “Historisch gezien zijn de privacybeginselen van de OECD uit de jaren 80 niet heel veel anders dan de fundamenten van de Wet Persoonsregistraties, WBP en AVG. Al die wetten kennen vergelijkbare principes zoals doelbinding en omschrijvingen van wat persoonsgegevens zijn. Een groot verschil tussen de AVG en de eerdere wetgeving is dat organisaties nu meer verantwoordelijkheden hebben om aantoonbaar in control te zijn. Deze verantwoordingsplicht heeft veel organisaties gemotiveerd om het onderwerp dataprotectie op te pakken.”

Teamwork

Van Zuijlen benadrukt dat het werk van privacyprofessionals sterker dan ooit in teamverband plaatsvindt. “Je kunt het echt niet alleen doen. Eén van de eerste vragen die ik stelde toen ik werd aangesteld als Privacy Officer was: wie zijn mijn landelijke collega’s en waar kan ik kennis opdoen? Binnen de organisatie overleggen we ook regelmatig met de vijf personen van onze privacycommissie over actuele zaken op het snijvlak van privacy en informatiebeveiliging”.

“Ik kan me eigenlijk niet voorstellen dat er nog Data Protection Officers zijn die níet in teamverband werken”, zegt ook Gardeniers. “Mensen moeten je echt weten te vinden, zodat je de juiste informatie krijgt om toezicht uit te oefenen, samen te werken met collega’s en afspraken te maken met andere betrokken afdelingen, zoals compliance. De laatste jaren zie ik gelukkig dat steeds meer organisatie-afdelingen zich met dataprotectie bezighouden en daarop ook actief monitoren en controleren.”

Het externe netwerk is heel belangrijk, zegt Van Zuijlen. Hij is onder meer actief lid van een vereniging waarbij 40 FG’s uit gezondheidszorginstellingen zijn aangesloten en deelnemer van de diverse groepen van de Nederlandse Vereniging van Ziekenhuizen. “Ik schat dat minimaal 80 procent van de zaken die wij hier in Noord-Holland tegenkomen ook in andere ziekenhuizen spelen. Samenwerking over de grenzen van de eigen organisatie heen, ligt dus voor de hand. Om die reden onderhoudt een aantal cursisten van de CDPO-opleiding een informeel netwerk, waarbinnen we onderling issues en ervaringen bespreken. De uitwisseling van ervaringen binnen dit soort netwerken zorgt ervoor dat iedereen goed op de hoogte blijft van actuele ontwikkelingen en voorkomt dat je zelf het wiel opnieuw gaat uitvinden.” IIR faciliteert privacyprofessionals hierbij door ieder jaar een CDPO Actualiteiten- en netwerkdag te organiseren en deze zomer de derde editie van Dag van de Privacy Officer, waarbij de inrichting en invulling van de DPO/FG-functie centraal staan.

Als privacyprofessional goed voorbereid zijn op de toekomst? Volg een van onze praktijkgerichte trainingen en kom op 6 en 7 juni naar de Dag van de Privacy Officer.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure van Dag van de Privacy Officer direct in uw mailbox.