Print:

Actuele issues & uitdagingen voor DPO/FG’s in 2021 – deel 1: “Het werken op afstand maak privacy juist belangrijker!”

Jasper Savenije , Product Development Manager

LinkedIn profiel

Veel Data Protection Officers (DPO’s)/ Functionaris Gegevensbescherming (FG’s) worstelen met de uitvoering van hun functie. Daarbij hebben zij te maken met het op afstand werken, digitalisering van organisaties, data gedreven werken, cyberdreiging en beveiligingsmaatregelen. Wat zijn veelvoorkomende uitdagingen en hoe gaan ze hier mee om?

In deze nieuwe blogreeks vroegen wij een groot aantal DPO/FG’s naar hun ervaringen. 

Corona en het verplicht op afstand werken raakt alle werkende professionals in Nederland. Wat zijn actuele uitdagingen bij het uitvoeren van de DPO/FG functie?

Gisa de Jonge, FG / DPO, Fontys Hogescholen
Als FG bij een grote onderwijs instelling heeft “werken op afstand” nog een extra dimensie. We zijn bij Fontys in 1 week omgeschakeld naar online onderwijs en dat was niet gemakkelijk. We hebben heel veel van onze mensen moeten vragen en privacy blijkt ook daarbij een groot goed. Denk daarbij aan alle tumult rondom proctoring (het online surveilleren tijdens tentamens). Grote zorgvuldigheid bij online lessen en toetsen is belangrijk. En nog steeds zijn er nog veel vragen over beeldopnames en wat er wel en niet kan, ook door onze vakbonden.

Daarnaast is het als FG belangrijk om een goed netwerk te hebben, zodat je op de hoogte bent van wat er speelt. Even bij mensen kunnen binnen lopen met een vraagje is daarbij heel nuttig en dat valt nu weg. Ook merk ik dat er bij Fontys minder datalekken gemeld worden. Met minder reisbewegingen raken we misschien ook minder kwijt maar toch…

Gosse Bijlenga, FG, gemeente Meppel en DPD Nederland
De bereikbaarheid van de FG is door het thuiswerken verminderd. Collega’s die een korte vraag hebben kunnen niet meer even langs je bureau. Dit maakt dat je actief moet zijn en de contacten warm moet houden.

Marieke van Dijk, Legal Counsel / DPO, Tenzinger
De grootste uitdaging is betrokken te blijven bij de ontwikkelingen in de organisatie. De zorg staat voor grote uitdagingen in coronatijd. Het is ontzettend belangrijk dat er onderzoek wordt gedaan, gebruik makend van zo veel mogelijk beschikbare data. Hierbij staat voor de zorgprofessional het leveren van goede zorg altijd voorop. Het is belangrijk, maar ook lastig op afstand, om hierbij vroegtijdig betrokken te blijven en de zorg te helpen om steeds weer accountable te blijven op rechtmatige verwerking van gegevens.

Welke taken kunt u als DPO/FG sinds het verplicht op afstand werken (bijna) niet meer doen? En hoe gaat u hiermee om?

Gisa de Jonge, FG / DPO, Fontys Hogescholen
Eigenlijk is er niets wat ik niet kan doen, mijn werk gaat gewoon door en soms voelt dat wel vreemd. Ik moet daar wel bij zeggen dat de online mogelijkheden bij Fontys uitstekend zijn en dat we al ervaring hadden met bijvoorbeeld MS Teams.

Het helpt dat ik al heel wat jaren bij Fontys werk en dat mensen mij weten te vinden als dat nodig is.

Gosse Bijlenga, FG, gemeente Meppel en DPD Nederland
Eigenlijk kunnen we alles op afstand doen, dat is wennen maar niets is onmogelijk. Al hoop ik wel dat iedereen zijn scherm thuis ook vergrendeld, dit kan ik niet meer controleren. Wennen blijft het nog steeds voor sommige zaken, maar dit heeft an sich niets te maken met de rol die je als FG hebt, iedereen in de organisatie ziet zeker ook nadelen van het thuiswerken.

Marieke van Dijk, Legal Counsel / DPO, Tenzinger
Het doen van interne audits om aanbevelingen en adviezen te kunnen geven is lastig. Doordat je niet meer op de werkvloer rond loopt, bestaat het gevaar dat je niet meer goed meekrijgt wat er op de zorgwerkvloer gebeurt.

Hoe gaat het met de privacy en security bewustwording in de organisatie onder corona? Als DPO/FG bent u mogelijk minder zichtbaar. Hoe zorgt u dat de bewustwording op een acceptabel niveau blijft en welke middelen zet u hierbij in?

Gisa de Jonge, FG / DPO, Fontys Hogescholen
Door het online werken en met name door het online lesgeven draait Fontys op volle toeren, het is daardoor moeilijk om aandacht te vragen voor iets dat niet direct met onderwijs te maken heeft. We hebben daarom geen specifieke awareness acties maar richten ons op alle nieuwe (onderwijs)ontwikkelingen om daarbij vanaf het begin privacy en security meet nemen (by design). We geven een datalek de aandacht die het verdient, eventueel een artikel daarover etc. Ook dat levert een hoop awareness op.

Gosse Bijlenga, FG, gemeente Meppel en DPD Nederland
Bewustwording creëren kan prima door middel van een e-learning of een berichtje op intranet.

Marieke van Dijk, Legal Counsel / DPO, Tenzinger
Dit is inderdaad lastig. Op ludieke wijze via de mail informatie verspreiden, nauw samenwerken met de afdeling informatiebeveiliging en testmails uitsturen om het bewustzijn van medewerkers op bijvoorbeeld foute mail te toetsen. Verder zo veel mogelijk proberen aan te haken bij reguliere overleggen van management en teams.

In hoeverre zijn privacy en gegevensbescherming minder belangrijk geworden nu de focus (mogelijk) meer ligt op het op afstand werken, beveiligen van systemen en applicaties en digitaal transformeren van de organisatie?

Gisa de Jonge, FG / DPO, Fontys Hogescholen
Aan de ene kant zijn mensen heel druk met het geven van onderwijs in deze moeilijke omstandigheden en is er dus minder ruimte. Aan de andere kant merk ik juist dat er meer aandacht is, omdat privacy voor iedereen belangrijk is in een online leeromgeving. Voor de studenten, de docenten, de bedrijfsondersteuners. Zij vragen zich af of er wel opgenomen mag worden en hoe ze hun lessen op een veilige manier kunnen geven. Dat geeft juist weer extra focus op gegevensbescherming.

Gosse Bijlenga, FG, gemeente Meppel en DPD Nederland
Door corona worden processen met spoed aangepast. De gehele organisatie moet opeens thuis werken en met stoom en kokend water worden applicaties voor videobellen aangeschaft, het uitvoeren van een DPIA wordt dan uitgesteld. De focus is niet anders geworden. Iedereen begrijpt dat thuis werken geen impact mag hebben op zaken omtrent informatiebeveiliging. Maar privacy mag volgens de organisatie het proces niet vertragen.

Marieke van Dijk, Legal Counsel / DPO, Tenzinger
Privacy is niet minder belangrijk geworden. Juist door de inzet van nieuwe tooling om goed op afstand te kunnen werken, maakt dat privacy juist belangrijker wordt. Omdat de vraag groot is, wil het tempo alleen wel eens ten koste gaan van een zorgvuldige afweging op en borging van privacy elementen. Als FG houdt je deze ontwikkelingen niet tegen, maar je wil wel graag zorgen dat rechten van betrokkenen goed geborgd zijn en ook de juiste afwegingen worden gemaakt door de organisatie.

Ziet u de sterke toename van beschikbare data en het delen van gegevens met andere organisaties als een kans of als een bedreiging voor het naleven van wet- en regelgeving op deze onderwerpen? En waarom?

Gisa de Jonge, FG / DPO, Fontys Hogescholen
Beide. Ik zie de wereld om ons heen veranderen en ik verwacht dat die niet meer (helemaal) terug verandert. Wet- en regelgeving zal deze nieuwe wereld moeten ondersteunen en daar liggen nog wel wat uitdagingen.

Gosse Bijlenga, FG, gemeente Meppel en DPD Nederland
Voornamelijk binnen gemeenten is er nog veel onduidelijkheid over het delen van persoonsgegevens met andere organisaties. Medewerkers weten niet goed wat wel of niet is toegestaan. Gelukkig heeft de overheid dit ook erkent en zijn er vele initiatieven om de wetgeving op verschillende plekken aan te passen. Onlangs is de Wet gemeentelijke schuldhulpverlening (Wgs) aangepast, hierin zijn duidelijke kaders opgenomen omtrent het delen van gegevens. Andere wetsvoorstellen worden momenteel in de tweede kamer behandeld.

Het delen van beschikbare data kan hierdoor zeker als een kans worden gezien voor het naleven van wet- en regelgeving. Het recht op privacy is een grondrecht en de AVG maakt het mogelijk dat je in feite een inbreuk kan maken op dit grondrecht. Door de wijziging van de Wgs kan de gemeente haar wettelijke verplichting om burgers te helpen met schulden beter vervullen. Dit alles zonder afbreuk te doen aan de bescherming van persoonsgegevens.

Wel moet ik bekennen dat de sterke toename van data veelal een bedreiging is voor het naleven van wet- en regelgeving. De automatisering blijft in een hoog tempo toenemen, compliance kan dit niet altijd bij houden.

Marieke van Dijk, Legal Counsel / DPO, Tenzinger
Er is zeker een toename in het delen van gegevens. Hierbij wordt lang niet altijd goed gekeken naar wet- en regelgeving. Omdat de werkvloer toch vaak nog onvoldoende kennis heeft, schuift men dit ook wel aan de kant. Men heeft het idee dat dingen niet mogen vanwege wet- en regelgeving en stapt daar dan liever overheen. Als FG is het de kunst om mensen te overtuigen van het feit dat wet- en regelgeving het delen van data niet hoeft te blokkeren en dat je als FG juist kunt helpen om dit op een goede en verantwoorde manier te doen.

Daarbij helpen bij het maken van goede afspraken en niet te pas en te onpas bijvoorbeeld maar een verwerkersovereenkomst sluiten waar dat niet aansluit bij de situatie. Ik zie dat daarbij juridische kennis ook onontbeerlijk is. Organisaties delen gegevens binnen op diverse manier ingerichte ‘samenwerkingsverbanden’. In de praktijk zijn dit vaak mensen uit organisaties die rond de tafel gaan zitten en afspraken maken hoe ze in samenwerking de zorg het best kunnen verlenen. Hierbij wordt ook vaak gebruik gemaakt van tooling die dan in beheer is bij een organisatie, maar er worden geen duidelijke afspraken gemaakt omdat men niet onderkent wat ieders rol is. Zo is bijvoorbeeld de borging van rechten van clienten onduidelijk, de verantwoordelijkheid voor een datalek niet goed belegd en worden er standaard ‘verwerkersovereenkomsten’ gesloten, waar feitelijk sprake is van gezamenlijke verantwoordelijkheid. Het schrijven van een goede en werkende overeenkomst is een kunst op zich  in dit kader en niet iets dat zo uit de kast getrokken kan worden.

Veel organisaties worstelen met het structureel borgen van privacy compliance. Corona, thuiswerken, digitalisering, het 5G netwerk en tsunami aan nieuwe IoT verbindingen vormen actuele uitdagingen. Wat zijn de grootste bedreigingen voor uw privacy compliance en hoe gaat u daar als organisatie mee om?

Gisa de Jonge, FG / DPO, Fontys Hogescholen
Een moeilijke vraag. Een van de grotere uitdagingen voor gegevensbescherming bij Fontys is naar mijn mening het goed inrichten van autorisaties. Dat is een veelkoppig monster. Zo was het tot de zomervakantie mogelijk om als buitenlandse student een account te krijgen bij Fontys voordat er een ID-check had plaatsgevonden. Dat proces is nu veranderd, wat niet zo makkelijk was aangezien er heel wat buitenlandse studenten pas een ID aanschaffen als ze zeker weten dat ze mogen komen. Ook hebben we workshops georganiseerd om per onderwijsinstituut aandacht te vragen op dit thema. En gaan we dit jaar grote technische verbeteringen doorvoeren op IAM. Genoeg te doen dus.

Gosse Bijlenga, FG, gemeente Meppel en DPD Nederland
De vraagstukken die je als FG krijgt worden steeds complexer. Uitleggen dat je een CV niet te lang mag bewaren hoeft anno 2021 gelukkig niet meer. Je wordt wel uitgenodigd om mee te denken over het plan voor een nieuw datawarehouse waar alle bestaande applicaties op moeten aansluiten. Om dergelijke vraagstukken helder te krijgen moet je het in kleine stukjes opknippen. Want op de vraag ‘hoe eet je een olifant’ is het goede antwoord: ‘in kleine stukjes’. Daarnaast is de samenleving nog steeds opzoek naar concrete antwoorden op AVG-vragen. De invulling van de AVG in de dagelijkse praktijk blijft soms lastig.

Marieke van Dijk, Legal Counsel / DPO, Tenzinger
De grootste uitdaging is dat de zorg voorop staat en in crisistijden privacy daarmee automatisch naar de achtergrond verdwijnt. Als FG zul je hierin mee moeten bewegen en niet de illusie moeten hebben dat je alles privacy proof kunt organiseren. Soms zul je een plan B moeten inzetten of een wat langere adem moeten hebben. Belangrijk is wel dat je als FG de organisatie helpt om bewust met de risico’s om te gaan zodat ze er niet met de ogen dicht vanwege het belang van de zorg overheen stappen.

Verder is het belangrijk dat je als FG een duidelijk beleid hebt hoe je om wilt gaan met DPIA’s in de organisatie en dat je dit zo inzet dat het praktisch en behapbaar is. Alleen dan zal het omarmd worden als een ‘tool’ dat de organisatie helpt om risico’s in kaart te brengen en te beslissen over mitigerende maatregelen.

Welke onderwerpen of thema’s staan er verder nog op uw agenda in 2021?

Gisa de Jonge, FG / DPO, Fontys Hogescholen
Dat zijn een hoop onderwerpen. Verder uitwerken van ons DPIA proces met nog betere embedding in de projectmanagement aanpak. Het verder vullen en gebruiken van ons PIMS. Het actualiseren van de registers (of althans daarmee beginnen). Extra collega aannemen voor extra ondersteuning op het privacy en security by design. Awareness kalender verder vormgeven, inclusief training voor o.a. de informatiemanagers. Never a dull moment 😉

Gosse Bijlenga, FG, gemeente Meppel en DPD Nederland
In 2021 willen we het volwassenheidsniveau verhogen. De organisatie moet op eigen benen staan en de FG moet daar op toezien. Dit is misschien het moeilijkste van de AVG, de fase waarin de AVG een project was zijn we al lang voorbij. Privacy moet onderdeel uitmaken van de reguliere bedrijfsvoering.

Marieke van Dijk, Legal Counsel / DPO, Tenzinger
Grip op datastromen in samenwerkingsverbanden – delen van data
Grip op risico’s met de inzet van DPIA’s
Regie van de cliënt op zijn data

Hoe gaat de DPO/FG rol zich verder ontwikkelen als we op een meer continue basis op afstand gaan werken?

Gisa de Jonge, FG / DPO, Fontys Hogescholen
Nog meer nadruk op privacy by design en in mijn geval op hoe om te gaan met beeldmateriaal en wat v.w.b. wetgeving daarin kan en moet.

Focus op “enkelvoudige opslag, meervoudig gebruik” i.p.v. kopiëren van gegevens.

Ik denk dat je als FG meer kennis opbouwt op dit soort bepaalde kennisgebieden. Tegelijkertijd is een goed netwerk van andere FG’s erg belangrijk om even te kunnen sparren, als je elkaar niet meer toevallig tegenkomt. Gelukkig is dat in onderwijsland goed georganiseerd en heel open. Daar doe ik mijn voordeel mee.

Gosse Bijlenga, FG, gemeente Meppel en DPD Nederland
Inhoudelijk zie ik geen grote ontwikkelingen als we meer thuis blijven werken. Je merkt wel dat sommige taken door Corona vooruit worden geschoven, dit kan, maar ondertussen realiseren we ons allemaal dat de periode waarin alles voorbij is nog even op zich laat wachten.

Marieke van Dijk, Legal Counsel / DPO, Tenzinger
Dat vind ik lastig te zeggen. Mijn ervaring is dat je je werk als FG alleen maar goed kunt doen als je weet wat er in de organisatie gebeurt en de diverse belangen begrijpt. Dit is moeilijk op afstand. Als een FG meer op afstand komt te staan dan zal de organisatie de rol wellicht lastiger accepteren. Gevaar is dat je de vingerwijzende privacy agent langs de zijlijn wordt. Investeren in draagvlak en betrokkenheid is cruciaal en de FG zal moeten laten zien dat hij steeds oog blijft houden voor de dilemma’s waar de zorg voor staat in deze tijd.

Meer weten over actualiteiten op het gebied van dataprotectie en privacy? Bekijk de cursussen Actualiteitenreeks Next step privacy compliance en Privacy Officer 2.0

Verder lezen?

Laat uw e-mail achter en ontvang de brochure Actualiteitenreeks Next step privacy compliance direct in uw mailbox.