Print:

Privacy awareness? Het start bij een zichtbare en benaderbare privacy officer

Een hoog niveau van privacy awareness is een van de grootste uitdagingen waar data protection officers nu voor staan. Dat zegt Udo Oelen, Functionaris voor de Gegevensbescherming bij de NS. Zijn advies: zorg dat het privacyteam zichtbaar en benaderbaar is. Daar komen heel veel kopjes koffie bij kijken.

Udo Oelen IIRIs een Functionaris voor de Gegevensbescherming (FG) een schaap met vijf poten, zoals wel eens wordt gesteld? Udo Oelen, FG bij de NS, heeft er zo zijn bedenkingen bij. Maar het is wel duidelijk dat data protection officers over een uitgebreid pallet aan kennis en vaardigheden moeten beschikken. “De FG heeft natuurlijk grondige kennis nodig van de wet. Niet alleen van de Algemene verordening gegevensbescherming (AVG), maar ook sectorspecifieke wetgeving, zoals de ePrivacy Verordening en Wet Politiegegevens, en aanpalende wetten die relevant kunnen zijn voor de organisatie. Er is heel veel juridische literatuur om te volgen, waaronder de guidance en uitspraken van nationale en internationale toezichthouders.” FG’s die in een sterk technologische omgeving werken, hebben volgens Oelen ook bovengemiddelde kennis nodig van IT. “Het is belangrijk om ontwikkelingen zoals data analytics, blockchain en kunstmatige intelligentie goed in de gaten houden.”

Daarnaast zijn soft skills zoals adviesvaardigheden voor data protection officers onontbeerlijk, benadrukt Oelen. “Je moet nu eenmaal zorgen dat je advies geaccepteerd wordt in de organisatie. Dat betekent dat je verstandig moet kunnen adviseren, maar ook dat je je netwerk en relaties onderhoudt. Je moet bij wijze van spreken veel kopjes koffie drinken. Op de werkvloer en op managementniveau.” Dat vraagt naast vaardigheden ook een bepaalde persoonlijkheid, vindt Oelen. “Je moet stevig in je schoenen staan en als het nodig is nee durven zeggen. Je werkt als FG binnen een organisatie, maar moet ook vanuit een onafhankelijke positie adviseren en opereren.”

Privacy levend houden

Oelen werkt sinds maart 2018 als FG en chief privacy officer bij de NS. Van 2012 tot 2018 was hij hoofd toezicht private sector bij de Autoriteit Persoonsgegevens (AP). Daar werkte hij vanaf 2008 als hoofd bedrijfsvoering. Oelen studeerde rechten aan de Rijkuniversiteit Groningen en startte zijn loopbaan als onderzoeker, eerst aan de Rijkuniversiteit Groningen en later bij Research voor Beleid. In zijn workshop tijdens de Dag van de Privacy Officer vertelt Oelen over de rol van FG als interne toezichthouder. “Hoe is privacy governance bij de NS ingericht? Tegen welke vraagstukken lopen we aan? Welke oplossingen hebben we gevonden voor dilemma’s? Hoe houden we de awareness binnen de organisatie op peil?”, zo vat Oelen de vragen samen die hij zal bespreken.

De grootste uitdaging voor FG’s is volgens Oelen om het thema privacy binnen de organisatie levend te houden. “Na de hype rond de AVG van vorig jaar staan we voor de opgave om iedereen voortdurend bewust te laten zijn dat privacy belangrijk is en bij vragen over dataprotectie het privacyteam te raadplegen. Zeker voor een organisatie die compliance hoog in het vaandel heeft, zoals de NS, is een hoge mate van awareness essentieel.”

Oelen staat aan het hoofd van een team met vijf privacy officers die opereren binnen de verschillende bedrijfsonderdelen. In het privacy office zijn ook twee juridische medewerkers actief die zorgen voor bijvoorbeeld de registratie van datalekken, de afhandeling van vragen en verzoeken van betrokken, de actualisatie van het verwerkingenregister en de communicatie over het privacybeleid. Binnen alle divisies van NS zijn daarnaast privacy champions actief, medewerkers die fungeren als ogen en oren van het privacy office en eenvoudige vragen van collega’s oppakken.

“Het is belangrijk om als FG en privacy officers in een zo vroeg mogelijk stadium aangehaakt te zijn bij nieuwe projecten en initiatieven”, zegt Oelen over de positionering van zijn team. “Op die manier kunnen we vroegtijdig meedenken over dataprotectie, zorgen dat privacy wordt meegenomen in ontwikkelprocessen en aangeven waar de kansen liggen voor privacy by design. Anders bestaat het risico dat je een showstopper wordt omdat er vlak voor de oplevering van een project nog allerlei wijzigingen moeten worden doorgevoerd. Dat realiseer je alleen door vindbaar en benaderbaar te zijn op de werkvloer. Bij directies én de collega’s die aan de knoppen zitten om nieuwe initiatieven te starten.”

Permanente educatie

Om als FG op de hoogte te blijven van de actuele ontwikkelingen, houdt Oelen de publicaties van toezichthouders in het oog en volgt hij de jurisprudentie op de voet. Ook het onderhouden van externe netwerken vindt hij belangrijk. “De AP genereert vanuit haar systeemtoezicht allerlei inzichten waarvan FG’s gebruik kunnen maken. Via de website, de telefonische helpdesk en bijeenkomsten deelt de AP informatie waar alle privacyprofessionals baat bij kunnen hebben. FG’s hebben in dit opzicht een bijzondere positie, omdat er voor hen een speciale helpdesk is, en de AP ook bijeenkomsten zoals de Dag van de FG organiseert.” Het privacy office van NS is daarnaast aangesloten bij brancheorganisaties zoals de DDMA en VNO-NCW, die de gelegenheid bieden om kennis te brengen en te halen.

Oelen is een warm pleitbezorger van permanente educatie. “FG’s behoren niet tot een gereguleerde beroepsgroep, zoals advocaten. Ik zou het krachtig vinden als de NGFG, of een ander initiatief, tot de ontwikkeling van een verplichte permanente educatie komt waarmee je als FG laat zien dat je gekwalificeerd bent. Want ons werk gaat wel echt ergens over. De FG heeft in de AVG een prominente rol gekregen als interne toezichthouder die veel moeten weten en kunnen. Daar past naar mijn idee bij dat je serieus omgaat met je professionalisering en dat de kwaliteit daarvan ook onafhankelijk toetsbaar is.”

Voorkom splendid isolation

“Voorkom dat je in splendid isolation vanuit je kantoor werkt. Houd nauw contact met de organisatie, zodat er tijdig aan privacy by design wordt gedacht en het privacy office op de hoogte is van wat er speelt”, adviseert Oelen zijn vakgenoten. “Zorg daarnaast dat er soft en hard controls zijn ingericht om te voorkomen dat er zaken uit de bocht vliegen.” Bij hard controls valt te denken aan bijvoorbeeld het framework voor Governance, Risk & Compliance (GRC), waarin ook privacy kan worden meegenomen. De inzet van privacy champions , of andere ambassadeurs binnen de organisatie die het privacyteam extra ogen en oren geven, behoort tot de soft controls. “Een goed contact met privacy champions is essentieel voor het succes van FG’s. We hebben elkaar allemaal hard nodig om compliance te waarborgen.”

Snel op de hoogte raken van alle actuele kennis die data protection officers nodig hebben? Kom dan op 6 en 7 juni naar de Dag van de Privacy Officer.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten