Print:

Privacy compliance? Leer de organisatie goed kennen

Een data protection officer moet zijn of haar organisatie tot in de haarvaten kennen. Hatice Dogan, Functionaris voor de Gegevensbescherming bij de Sociale Verzekeringsbank, vertelt over het belang van interne, multidisciplinaire samenwerking voor effectief toezicht.  

Een van de grootste uitdagingen voor data protection officers is om tijdig betrokken te worden bij wat er speelt, aldus Hatice Dogan, sinds 2016 FG bij de Sociale Verzekeringsbank (SVB)“Voor de effectiviteit van je advies en toezicht is het natuurlijk essentieel dat er naar je geluisterd wordt. Daarom is het belangrijk dat je niet buiten spel wordt gezet en proactief bent aangehaakt op nieuwe ontwikkelingen.”

Hatice Dogan IIR

“Een effectief opererende FG kent zijn of haar organisatie dus heel goed en weet hoe de collega’s werken. Welke taken voert de organisatie uit? Welke impact kunnen de kernactiviteiten hebben op de verwerking van persoonsgegevens?”, zegt Dogan, die op 6 juni tijdens de Dag van de Privacy Officer deelneemt aan een expertpanel over de inrichting en uitvoering van de FG-functie.  

Inhoudskennis 

Als een van de grootste zelfstandige bestuursorganen in Nederland – en de instantie die verantwoordelijk is voor de uitvoering van het AOW-pensioen, de kinderbijslag en andere regelingen op het vlak van sociale zekerheid – is de SVB een complexe organisatie waar veel gevoelige persoonsgegevens worden verwerkt. “Voor mijn functie is het daarom belangrijk dat ik de inhoudsmaterie van de taken van de organisatie goed ken. Bovendien is niet alleen gedegen juridische kennis van de privacywetgeving van belang, maar moet ik ook op de hoogte zijn van sector- en materiewetten.” 

Ook goede interne contacten zijn volgens Dogan onmisbaar. Privacy officers kunnen vanuit hun coördinerende rol een beeld schetsen van wat er speelt. Ook Juridische Zaken is een logische partner als het gaat om het volgen van ontwikkelingen binnen de organisatie om daarop te kunnen adviseren en sturen.”  Een een goede relatie met het bestuur en management kan ertoe bijdragen dat de positie en rol van de FG worden erkend en dataprotectie stevig op de agenda staat. Dogan voert dan ook regulier overleg met de Raad van Bestuur en het managementteam van de SVB. “Op basis van mijn jaarverslagen en jaarplannen gaan we het gesprek aan: wat heb ik als FG gedaan, waar ga ik me op richten, wat vind ik belangrijk en hoe ziet de organisatie dat? Het gesprek hierover zorgt voor zichtbaarheid van de FG en creëert draagvlak voor dataprotectie.” 

Serieuze gesprekspartner 

De positie van de FG binnen een grote, complexe organisatie vraagt niet alleen inhoudskennis, maar ook soft skills, benadrukt Dogan. “Een goede data protection officer is prettig in de omgang, maakt makkelijk contact met collega’s en stelt zich open naar anderen op. Pas als je proactief contact legt en zelf ook goed benaderbaar bent, kan je een serieuze gesprekspartner zijn.”  

Voordat ze FG werd, werkte Dogan jarenlang als juridisch beleidsadviseur bij de SVB. Deze ervaring met advisering komt haar nu goed van pas. “Net als in mijn functie van juridisch beleidsadviseur kijk ik als FG naar de juridische kanten van dataprotectie binnen de organisatie. Maar de toetsende rol van de FG is natuurlijk veel sterker. Ik let scherp op de belangen van de betrokkenen en organisatie, en maak onderbouwde afwegingen als belangen dreigen te botsen.” 

Multidisciplinaire aanpak 

Een van Dogans adviezen aan andere data protection officers is om compliance multidisciplinair op te pakken. “Ik probeer sowieso proactief te opereren in plaats van achteraf met een vinger te zwaaien als er al systemen of processen zijn ingericht. Zo heb ik als adviseur een actieve rol gespeeld bij de inrichting van het proces om binnen de SVB Privacy Impact Assessments (PIA’s) uit te voeren. Het is heel belangrijk om dan steeds het gesprek te voeren met inhoudsdeskundigen.”  

Dogan startte in de aanloop naar de implementatie van de Algemene verordening gegevensbescherming (AVG) een interne vakgroep over privacy, waarin collega’s van verschillende afdelingen vragen uit de werkpraktijk behandelen. “Juridische Zaken, Record Management, communicatie, privacy officers, informatiebeveiliging, de Ondernemingsraad en de Audit Dienst zijn allemaal vertegenwoordigd in de vakgroep. De privacy officers, die direct contact hebben met de uitvoering en daar tegen praktische issues kunnen aanlopen, spelen een sleutelrol. We hebben nu een platform om vraagstukken proactief te adresseren en tot gedragen beleidsvorming te komen.”  

Blik naar buiten 

Naast oog voor de ontwikkelingen binnen de organisatie hebben FG’s ook een blik naar buiten nodig, benadrukt Dogan. “Ik heb nauw contact met de FGs in de sector, zoals het UWV en het ministerie van Sociale Zaken en Werkgelegenheid. Daarnaast heb ik een vaste contactpersoon bij de Autoriteit Persoonsgegevens aan wie ik vragen kan voorleggen.” Dogan houdt daarnaast de vakliteratuur in de gaten, volgt regelmatig cursussen en bezoek diverse bijeenkomsten.  

“Het is belangrijk om met vakgenoten in contact te zijn over hun ervaringen met de dagelijkse praktijk van het toezicht”, zegt Dogan. Iedere FG doet zijn werk op zijn of haar eigen manier – er is niet een standaard aanpak die voor iedereen werkt. De zoektocht naar wat voor jou goed werkt is misschien wel de grootste uitdaging waar data protection officers voor staan.” 

Meer weten over de vaardigheden en kennis die data protection officers nodig hebben en leren van deskundige en ervaren vakgenoten? Kom dan op 6 en 7 juni naar de Dag van de Privacy Officer. 

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.