Print:

Hoe Stedin AVG-compliance als continu proces oppakt

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Verder kijken dan het juridische verhaal, dataprotectie op ludieke manier op de agenda zetten, en herhalen, herhalen, herhalen. Het zijn basisingrediënten van de aanpak waarmee netbeheerder Stedin aan naleving van de Algemene verordening gegevensbescherming (AVG) werkt.

Esther van der Ent | IIRDe timing was toeval. Maar kort voordat dat de Algemene verordening gegevensbescherming (AVG) in werking trad, maakte Esther van der Ent de overstap van een managementfunctie naar de privacy office van Stedin. Sinds maart 2018 werkt Van der Ent als privacyjurist en data protection officer bij de netbeheerder, waar ze eerder werkte als teammanager HR en privacycoördinator.

“In de centrale privacy office werken de Functionaris voor de Gegevensbescherming (FG) en privacyjurist samen aan AVG-compliance”, vertelt Van der Ent. “We werken nauw samen met de tijdelijke privacy taskforce, die zich bezighoudt met de implementatie van de AVG. En we ondersteunen de 22 privacycoördinatoren die binnen de business units verantwoordelijk zijn voor dataprotectie.” Van der Ent was naast haar functie als teammanager ook zo’n privacycoördinator. “Privacy is een mooi onderwerp, het is een actueel thema en er is veel om te doen. Toen in de privacy office een plek vrij kwam, was dat een uitgelezen kans om de uitdaging aan te gaan om dataprotectie binnen Stedin op de kaart te zetten en me verder te ontwikkelen op het vlak van dataprotectie.”

Theorie en praktijk

Om een vliegende start te maken in haar nieuwe functie, volgde Van der Ent de opleiding Certified Data Protection Officer (CDPO) van IIR. “Ik had behoefte aan meer theoretische verdieping, maar ook aan praktische inzichten over de toepassing van de privacywetgeving. Waar moet je op letten, hoe ga je met vragen en weerstanden om, wat betekenen de diverse interpretaties van de normen voor je werk? Doordat professionals uit verschillende vakgebieden – van juristen en IT’ers tot auditors – deelnemen aan de opleiding krijg je veel kennis mee vanuit uiteenlopende invalshoeken.”

Dat de opleiding wordt afgesloten met een examen – en deelnemers bij een goed examenresultaat met een certificaat naar huis gaan – vond Van der Ent van toegevoegde waarde. “Het is een behoorlijk pittige opleiding: je bent tijd kwijt met de cursusdagen en het huiswerk, je gaat je echt in de materie verdiepen en je bent er intensief mee bezig. Dan is het fijn om met een diploma te kunnen aantonen wat je hebt geleerd.” Het intensieve traject hielp Van der Ent ook om snel in haar nieuwe rol te groeien. “Ik was in de praktijk al aan de slag en kon tegelijkertijd met mensen uit het vak over het onderwerp van gedachten wisselen. Dan gaat je ontwikkeling heel snel.”

Praktisch oog

Een belangrijk leerpunt uit de CDPO-opleiding was voor Van der Ent dat een strikt juridische benadering van de AVG – en privacy en dataprotectie in het algemeen – niet altijd het beste resultaat oplevert. “Ik heb geleerd dat je er niet alleen met een juridische blik naar moet kijken, maar ook met oog voor de praktijk en maatschappelijke opvattingen over privacy. Het gaat in de organisatie vaak om praktische vragen: mag ik iets doen of niet, moeten we iets ondernemen of niet? Medewerkers willen een concreet advies, ze zitten niet te wachten op een heel juridisch verhaal.”

Een juridisch perspectief is ook niet altijd effectief voor het draagvlak voor dataprotectie en AVG-compliance, merkt Van der Ent in haar dagelijkse werk. “Het is soms best een uitdaging om het onderwerp privacy op de agenda te houden. Vooral als mensen het idee hebben dat er geen dingen verkeerd gaan. Je moet er dan echt voor zorgen dat mensen dataprotectie belangrijk gaan vinden. Dan komen vooral de soft skills om de hoek kijken om mensen te overtuigen. Dat red je niet altijd alleen met een juridisch verhaal over de risico’s om een sanctie te krijgen van de toezichthouder.”

CDPO | IIR

 

Het gesprek met de hele organisatie

Vanuit haar rol in de privacy office spreekt Van der Ent collega’s uit alle onderdelen van de organisatie. “De FG heeft ook te maken met het agenderen van het thema op directieniveau. Maar ook in de rest van de organisatie is nog zendingswerk te doen. Mensen hebben vragen over wat er mag en kan, maar zitten soms ook in de weerstand. Privacyregels worden nogal eens gezien als lastige obstakels.” Bovendien werkt een deel van de ruim 4.500 medewerkers van Stedin in de buitendienst. “Neem de monteurs die slimme meters installeren. Die hebben eigenlijk continu te maken met persoonsgegevens, maar zijn moeilijk te bereiken vanuit ons hoofdkantoor.”

“De uitdaging is om mensen te overtuigen dat het de moeite waard is om er serieus naar te kijken”, zegt Van der Ent. “Er is een groep medewerkers die denkt dat er sinds de AVG van alles niet meer mag op het gebied van gegevensverwerkingen en databeheer. En er zijn medewerkers die het allemaal maar een moeilijk gedoe vinden. Bij de eerste groep moet je het gevoel wegnemen dat er niets meer kan, bij de tweede groep moet je de betekenis van privacy voor het voetlicht brengen.” Ik zeg altijd tegen de collega’s: onder de AVG is  heel veel mogelijk, maar denk altijd kritisch en logisch na als het gaat over het gebruik van persoonsgegevens.”

Escape rooms

De privacy office van Stedin ziet AVG-compliance als continu proces. Van der Ent: “We organiseren awareness sessies voor verschillende afdelingen om het thema op de kaart te zetten. Maar daarmee begint het eigenlijk pas. Onze privacycoördinatoren krijgen informatie en inspiratie, en we delen praktijkvoorbeelden over dilemma’s en oplossingen. Herhaling van de boodschap en concrete handreikingen voor de praktijk werken het beste.”

Stedin zoekt daarnaast ludieke en innovatieve manieren om medewerkers te triggeren. Zo zijn er privacy escape rooms georganiseerd. “Daar wordt in de organisatie enorm enthousiast op gereageerd. Dat slaat echt aan! Door het leuk te maken, blijft de boodschap beter hangen. We willen mensen steeds bewust laten zijn van dataprotectie, zodat het als het ware in de genen komt te zitten.”

Ook CDPO worden? Volg de opleiding om deel te nemen aan het examen.

CDPO | IIR

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten