Print:

De volwassenwording van de DPO/FG-functie #2: “Ik ben geen politieagent die het verwerken van data kan stoppen.”

Veel Data Protection Officers (DPO’s)/ Functionaris Gegevensbescherming (FG’s) worstelen met de invulling en uitvoering van hun toezichthoudende rol. Hoe gaan ze om met het spanningsveld tussen uitvoeren, controleren en adviseren, hoe pakken ze de regie en hoe blijven ze aan de bal? In voorbereiding op het event Dag van de Privacy Officer 2020, waar de positionering en de vakvolwassenheid van de DPO/FG-functie centraal staan, vroegen wij een aantal DPO/FG’s naar hun ervaringen.

In deze tweede reeks beantwoorden drie ervaren DPO/FG’s een aantal priemende vragen.

In veel organisaties worstelen DPO/FG’s met de positionering en invulling van hun DPO/FG-rol. Wat zijn veel voorkomende issues en uitdagingen daarbij?

Magdalena Magala, FG, gemeente Zaanstad (op persoonlijke titel)
Wat ik vaak in de praktijk tegenkom, is dat de FG ergens in de lijn wordt gepositioneerd en geen rechtstreekse toegang heeft tot het hoger management. Niet alleen in de publieke, maar ook in de private sector. Dan sta je als FG eigenlijk met 2-0 achter.

De lijnen tussen de eindverantwoordelijken en de FG moeten kort zijn. Ze moeten elkaar snel kunnen vinden. Je moet dus als FG behoorlijk stevig in je schoenen staan om je niet teveel tegen te laten houden door de lijn om je onafhankelijke advies te kunnen geven. Vergeet niet dat de AVG (en de FG) zorgen voor veranderingen in de bestaande processen en de bewustwording bij mensen. En het aanpassen aan die veranderingen kost gewoon veel tijd.

Een andere valkuil is dat je als FG teveel in de uitvoering bezig blijft. Bij de inwerkingtreding van de AVG gingen veel FG’s als meewerkend voorman aan de slag. Maar we zijn nu wel ruim twee jaar verder. Als je als FG nu geen andere collega’s om je heen hebt met privacykennis, wordt het heel moeilijk om toezicht te houden. Daar moet je als FG wel voor waken. En duidelijk aangeven dat de organisatie het zelf moet oppakken.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Steun vanuit het College van Bestuur, een dedicated team van privacy professionals en een instellingsbrede governance structuur en onderliggend privacy beleid zijn absolute randvoorwaarden om als FG inderdaad de rol van interne toezichthouder waar te kunnen maken. Vertaald gaat het dus om bestuurlijke relevantie, beschikbaarheid van handen, ogen en oren en een helder kader.

Antoinette van Spaandonk, DPO, DAF PACCAR
Voor mij zijn dat 1) onafhankelijkheid van de functie, wie mag wat zeggen over rapportages etc en 2) toegang tot management.

Wat is voor DPO/FG’s belangrijk voor het uitoefenen van hun toezichthoudende rol?

Magdalena Magala, FG, gemeente Zaanstad (op persoonlijke titel)
Zorg ervoor dat je duidelijk aangeeft wat jouw taken als FG zijn. Je houdt toezicht, maar adviseert ook over de toepassing en naleving van de AVG. Maar adviseren betekent nog niet dat je het advies ook vervolgens uitvoert. Zorg dus dat de verantwoordelijkheden binnen de organisatie duidelijk zijn (wie doet wat?). Als FG is het heel goed om mee te denken aan het begin van een project, maar trek je ook op tijd terug en laat de uitvoering over aan de organisatie.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Een basisvereiste is aantoonbare kennis van de AVG, de UAVG en eventueel sectorspecifieke wetgeving. Maar belangrijker nog is de toepassing daarvan in de context van de organisatie. Dus kennis van de processen en ‘hoe het echt werkt’. Het register van verwerkingen is een belangrijk instrument, maar je moet ook de kwaliteit en volledigheid van zo’n register kunnen inschatten. Dus kennis van de organisatie en het domein. Verder is de eigen rolperceptie, merk ik, erg van belang. Als je alleen toezicht wilt houden en nooit specifieke guidance (voor een taak of rol) geeft, iets dat de AP vaak verweten wordt, dan creëer je daarmee je eigen mate van succes als interne toezichthouder. Als je ervoor kiest om de interne autoriteit te zijn op het gebied van gegevensbescherming / privacywaarborgen en je hebt oog voor de soms lastige dilemma’s van de goede toepassing, dan gebeurt veel goeds al in het ‘ontwerp’ van nieuwe diensten of verwerkingen. Dat scheelt vervelend werk aan het eind van de keten. Maar als adviseur van de verantwoordelijke van het betreffende proces waarin de verwerking plaatsvindt.

Antoinette van Spaandonk, DPO, DAF PACCAR
Ondersteuning door het management.

Hoe gaat u als DPO/FG om met het spanningsveld tussen uitvoeren – controleren – adviseren?

Magdalena Magala, FG, gemeente Zaanstad (op persoonlijke titel)
Dat kan soms lastig zijn als FG. Maar dat is ook inherent aan de functie. Je ben de interne toezichthouder en legt vaak de vinger op de zere plek. Dat waardeert niet iedereen. Dat uit zich op verschillende manieren en daarvoor moet je als FG sterk in je schoenen staan. Als FG ben je gelukkig niet de enige die hier tegenaan loopt. Dus zorg ervoor dat je regelmatig spart met andere FG’s in je werkveld (of juist daarbuiten). Dat is heel waardevol.

Besef ook dat het advies van de FG niet zomaar terzijde mag worden geschoven, dat moet de eindverantwoordelijke echt goed motiveren. Het is natuurlijk prettig als je advies wordt opgevolgd, maar vat het niet persoonlijk op als dat een keer niet zo is. De eindverantwoordelijkheid op de naleving van de AVG ligt bij de verwerkingsverantwoordelijke, niet bij de FG.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Er is een stilzwijgend geaccepteerd groeipad voor veel organisaties dat een FG eerst wat meer meedoet aan de voorkant en dan langzaam naar de toezichthoudende kant groeit. Dit is dan vaak een groeiproces voor organisatie en FG. Zo lang je aan de voorkant ook echt alleen meedenkt en adviseert en niet zelf beleid opstelt dan raak je niet in conflict met je toezichthoudende rol. Het adviseren helpt als je daarin duidelijk maakt dat degene die je adviseert de verantwoordelijke is en dat je deze wijst op de AVG compliancy aspecten van een verwerking, maar dat deze, als verantwoordelijke, mogelijk vanwege andere overwegingen en belangen, zelf de afweging zal moeten maken en dus daarvoor ook verantwoordelijkheid moet nemen. Via advisering kun je zo mede vorm geven aan de governance, door collega’s in hun rol te helpen en op hun verantwoordelijkheid aan te spreken.

Antoinette van Spaandonk, DPO, DAF PACCAR
Ik adviseer en maak risk rapportages. Uitgangspunt is dan dat het management verantwoordelijk is voor het compliant zijn. Als men advies naast zich neer legt, betekent dat wel dat een risk rapportage op rood komt te staan en dat men dan het risico of moet mitigeren of moet accepteren.

Hoe pakt u als DPO/FG de regie en hoe houdt u de regie als u deze (nog) niet heeft?

Magdalena Magala, FG, gemeente Zaanstad (op persoonlijke titel)
Praat met collega’s. Dat klinkt simpel en dat is het ook. Door te praten en te luisteren weet je wat er in de organisatie speelt. Normaal liep ik gewoon bij iemand langs als ik iets moest bespreken. In deze bijzondere tijd gaat dat iets minder spontaan, omdat je meer moet plannen. Maar digitaal is echt heel veel mogelijk (gelukkig!). Belangrijk is dat je ook in deze tijd als FG je rol pakt en gevraagd en ongevraagd advies geeft. Nu we allemaal thuiswerken, brengt ook dat weer nieuwe veiligheids- en privacy risico’s met zich mee.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Regie wordt je voor een belangrijk deel gegund, maar moet je op een goed moment ook, op integere wijze, pakken. Het helpt als je er op voor de organisatie spannende momenten bent en iets kan bijdragen. Wat helpt is aantoonbaar in control te zijn van toezicht op gegevensbescherming door middel van voor de organisatie betekenisvolle rapportages. Daarmee creëer je stuurinformatie voor de organisatie die dan makkelijker de eigen rol kan nemen op het gebied van gegevensbescherming. Je creëert daarmee ook het goede gesprek, niet over taakjes afvinken en trivia, maar over meer strategische onderwerpen, als inkoop, werving en selectie, internationale samenwerking met derden.

Antoinette van Spaandonk, DPO, DAF PACCAR
Ik vind niet dat ik de regie heb. Als DPO heb ik een adviserende en monitorende rol. De business is verantwoordelijk. Ik kan wel mijn eigen zaken plannen en een monitoringsplan uitrollen en handhaven en daarover rapporteren. Dat zijn eigen werkzaamheden waarover ik wel de regie kan nemen.

Stel een DPO/FG heeft verantwoordelijkheden, maar geen mandaat. Hoe gaat u daarmee om?

Magdalena Magala, FG, gemeente Zaanstad (op persoonlijke titel)
De FG heeft verantwoordelijkheden en taken op grond van de AVG. Als je die verantwoordelijkheden en taken niet kunt uitoefenen, wordt het erg lastig om je functie goed te kunnen vervullen. Dan is het wel jouw taak als FG om de eindverantwoordelijken hierop te wijzen. Gebeurt er vervolgens niets, dan zou je je af moeten vragen of je als FG daar wilt blijven werken.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Niet accepteren. Uitleggen dat het de verantwoordelijkheid is van het hoogste gezag om een FG aan te stellen zoals in de AVG beschreven. Niet alleen op papier, maar iemand met kennis van zaken die bepaalde taken en verantwoordelijkheden heeft en waarbij de organisatie aan een aantal randvoorwaarden moet voldoen, zoals het tijdig en behoorlijk betrekken van de FG in bepaalde gevallen. Als dat niet werkt kun je je afvragen of je de verantwoordelijkheid als FG wilt dragen binnen deze organisatie.

Antoinette van Spaandonk, DPO, DAF PACCAR
Niet duidelijk waar ik een mandaat voor nodig heb. Ik ben geen politieagent die het verwerken van data kan stoppen als dat niet GDPR compliant is. Mijn taak zit meer in het sturen van de business, signaleren van risico’s, helpen risico mitigerende maatregelen te bepalen en daarover te rapporteren.

Welke (andere) competenties vraagt een de DPO/FG in een tweede of derde lijnsfunctie?

Magdalena Magala, FG, gemeente Zaanstad (op persoonlijke titel)
Naast kennis en praktijkervaring moet je als FG een goede gesprekspartner zijn. Je moet makkelijk kunnen schakelen op elk niveau binnen de organisatie. Dit vraagt dus ook iets van je adviesvaardigheden. Een FG is wat dat betreft net een kameleon, je moet je kleur aanpassen op de gesprekspartners. Ook is het als FG nodig om stevig in je schoenen te staan. Je moet onafhankelijk zijn. Dat vereist daadkracht en lef.

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Afhankelijk van het type organisatie en de sector is vaak kennis van security, architectuur, processen en bestuurlijke realiteit waardevolle context. Als je die niet zelf bezit, dan moet je organiseren dat deze beschikbaar is voor je. Je wilt vooral betrouwbaar, integer, consequent en relevant werken en dus meer doen dan zeggen ‘mag niet van de AVG’. Soms volstaat het als je het knelpunt uitlegt en dan kan de verantwoordelijke zelf met een alternatief komen waardoor AVG compliancy geborgd is. Awareness en training draagt bij aan dit soort dynamiek. In andere gevallen is het handig om aan te geven zo kan het niet, maar als hiervoor een oplossing wordt gevonden die aan eis A, B en C voldoet, dan kan het wel. Zoals je vaak wilt dat de verantwoordelijke zich verplaatst in de positie van de betrokkene, wordt van jou verwacht dat je je kunt verplaatsen in de positie van de verantwoordelijke. Wat in dat verband ook helpt is de goede voorbeelden en strategieën intern te delen en publiekelijk waardering uit te spreken voor diegenen die verder zijn dan de rest.

Antoinette van Spaandonk, DPO, DAF PACCAR
Stevig in je schoenen staan, verantwoordelijkheden kunnen scheiden, politieke discussies kunnen voeren, praktisch ingesteld zijn en kennis van zaken hebben.

Wat is er nodig om bij de directie/bestuurslaag aan tafel te blijven?

Magdalena Magala, FG, gemeente Zaanstad (op persoonlijke titel)
Zorg dat je in contact blijft met de directie en/of het bestuur. Probeer regelmatig aan te schuiven bij overleggen van de directie en/of het bestuur. Maak het onderwerp tastbaar, wat betekent die AVG voor de doelen van de organisatie? Het heeft geen zin om bij het bestuur het juridisch kader te schetsen, maar geef aan wat er gebeurt als het mis gaat. Wie is dan eindverantwoordelijk. En wat betekent dit? En wat is de organisatie aan het doen om dit te voorkomen?

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Kort, bondig en tijdig risico’s duiden die in de invloedssfeer van de directie liggen en die strategisch van aard zijn. Je helpt hen daarmee in hun verantwoordelijkheden en aansprakelijkheid.

Antoinette van Spaandonk, DPO, DAF PACCAR
Strategisch inzicht ontwikkelen, alle belangen kunnen zien en meenemen in discussies. Je moet kunnen aansluiten bij hun leefwereld.

Hoe kan een DPO/FG in een lijnsfunctie zich verder professionaliseren?

Magdalena Magala, FG, gemeente Zaanstad (op persoonlijke titel)
De FG moet zichzelf steeds blijven bijscholen. De digitale ontwikkelingen gaan snel, dat zorgt weer voor nieuwe knelpunten, dus zal je als FG daarop moeten anticiperen. Volg dan ook jaarlijks een opleiding, doe een training of een masterclass. En onderhoud regelmatig contact met je collega FG’s in je werkveld (of daarbuiten). Probeer niet zelf het wiel uit te vinden, vaak is al een andere organisatie mee bezig en kan de FG van die organisatie je op weg helpen. Zelf ben ik als FG heel actief binnen de werkgroep privacy van de VNG / IBD. We ontwikkelen verschillende praktische formats die gemeenten verder op weg kunnen helpen om de privacy van de inwoners goed te borgen

Marlon Domingus, FG, Erasmus Universiteit Rotterdam
Wat ik constateer is dat de logica van de AVG zich richt op een klassiek model van verwerkingen met een verantwoordelijke en verwerkers die namens die verantwoordelijke werken. In de praktijk zie ik dat werk gebeurt via platforms, cloud dienstenproviders en door middel van algoritmes (soms zelflerend) waarbij de vraag is wie nou verantwoordelijk is. En voor samenwerken in ketens – hoe zit het daar met verantwoordelijkheden en hoe gaan we bijvoorbeeld om met toestemming gegeven voor een verwerking aan het begin van de keten? Het internationale aspect van werk is met ’Schrems 2’ en een potentiële Brexit een stuk lastiger geworden. Het helpt om dan niet te overvallen worden met vragen hieromtrent, maar mee te leren en te begrijpen wat er aan de hand is. Ook voor wat betreft de inzet en explainability en accountability vanwege het maken en inzetten van ML / AI.

Verder, meer basic, vindt professionalisering plaats op basis van jurisprudentie volgen en ontwikkelingen die raken aan privacy en gegevensbescherming, zoals bijvoorbeeld de e-Privacy Verordening, de EU Digital Services Act, mogelijke EU wetgeving voor AI en bijvoorbeeld data ethics, de-identificatie (pseudonymiseren en anonimiseren) en veelbelovende ontwikkelingen op het gebied van de toepassing van synthetische data.

Antoinette van Spaandonk, DPO, DAF PACCAR
Kennis opdoen, business begrijpen, niet langs de zijlijn gaan staan. Het is belangrijk om adviesvaardigheden en riskmanagement vaardigheden op te bouwen.

Benieuwd naar ervaringen van andere DPO’s en FG’s? Lees de eerste reeks.
Of neem op 26 & 27 november deel aan het online actualiteitencongres Dag van de Privacy Officer 2020. Experts en ervaren DPO/FG’s delen actualiteiten, aanpak en good practices om u te helpen bij actuele issues, de positionering en verantwoording van uw functie en AVG beleid. 

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.