Print:

Samenwerken met de Autoriteit Persoonsgegevens: zo doe je dat als privacyprofessional

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Wees goed voorbereid en onderhoud de contacten met vakgenoten. Dat adviseert Alex Commandeur als het gaat om de samenwerking tussen data protection officers (dpo’s) en toezichthouder Autoriteit Persoonsgegevens (AP). Commandeur, senior adviseur bij BMC en tot voor kort werkzaam bij de AP, vertelt privacyprofessionals er alles over tijdens de CDPO-opleiding van IIR.

CDPO | IIR

 

Een goed contact met toezichthouder Autoriteit Persoonsgegevens (AP) is voor elke privacyprofessional belangrijk, of je nu privacy officer of Functionaris voor de Gegevensbescherming (FG) bent. Dat benadrukt Alex Commandeur, senior adviseur privacy in de publieke sector bij BMC en gastdocent van de opleiding tot Certified Data Protection Officer (CDPO) van IIR. “Als interne privacytoezichthouders spelen FG’s een belangrijke rol binnen hun organisatie, maar ook voor de nationale toezichthouder. Niet voor niets behoorde de controle op de aanwezigheid van FG’s tot een van de eerste onderzoeken die de AP startte na de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG). Ook veelzeggend is dat er een speciaal e-mailadres is waarop FG’s hun vragen over de AVG aan de AP kunnen stellen. Maar de toezichthouder neemt serieuze vragen, waarover de vragensteller duidelijk al goed nagedacht heeft, natuurlijk in behandeling – ongeacht van wie die afkomstig zijn.”

Goede voorbereidingen en contacten

Commandeur, die tijdens de CDPO-opleiding een module verzorgt over samenwerking met de AP, adviseert privacyprofessionals om een vraag aan de toezichthouder goed voor te bereiden. “Stel geen vragen waarop je het antwoord eigenlijk zelf wel kunt vinden. En vermijd open vragen die de indruk wekken dat je de toezichthouder al het werk laat verzetten. Laat zien dat je al naar antwoorden en oplossingen hebt gezocht maar er desondanks niet uitkomt.”

Volgens Commandeur zijn ook contacten met brancheorganisaties van belang om de samenwerking met de toezichthouder in goede banen te leiden. “Brancheverenigingen hebben vaak al korte lijntjes met de AP, en fungeren regelmatig als sparring partners van de toezichthouder.”

De werkwijze van de AP

In de module die Commandeur verzorgt op de zesde dag van de CDPO-opleiding passeren actuele onderwerpen de revue zoals: hoe kunnen privacyprofessionals effectief en snel communiceren met de AP? Hoe handelt de toezichthouder als er een calamiteit optreedt? Welke speerpunten zijn er in 2019 te verwachten?

Commandeur was negen jaar hoofd van de afdeling Publieke Sector van de AP voordat hij in 2017 de overstap maakte naar adviesbureau BMC. BMC ondersteunt nieuwe FG’s om het vak te leren kennen, coacht ervaren FG’s, treedt op als vraagbaak bij datalekken, begeleidt data protection impact assessments (DPIA’s) en adviseert over complianceprogramma’s. Als consultant maakt Commandeur de privacypraktijk nu van een andere kant mee. “Ik help organisaties bij de inrichting van de governance: hoe zorg je dat alles op zodanige manier is ingericht dat de bescherming van persoonsgegevens ook daadwerkelijk werkt? Daarnaast adviseer ik FG’s, werk ik als interim-FG, voer ik DPIA’s uit en adviseer ik over de meldplicht datalekken.”

Drie opgaven bij datalekken

Commandeur verzorgt tijdens de CDPO-opleiding ook een speciale module over datalekken. Net als bij de samenwerking met de AP is ook bij de omgang met datalekken een goede voorbereiding een must. “Het is niet de vraag óf je een datalek krijgt, maar wanneer. Daarom is het belangrijk om goed voorbereid te zijn. Je wilt niet ter plekke nog moeten uitzoeken wat je precies moet doen als er een datalek is, en wie je daarbij betrekt. Daarnaast: wees open en transparant. Veeg een incident niet onder het vloerkleed, maar maak het bespreekbaar en leer ervan.”

Als derde opgave voor privacyprofessionals noemt Commandeur om een open cultuur te creëren, waarin medewerkers datalekken durven te melden. “Dit vraagt van de dpo of FG onder andere dat het thema datalekken op managementniveau op de agenda staat, en dat daar wordt afgestemd welke rollen de leidinggevenden hebben.” Zo kan voorbeeldgedrag van managers en bestuurders een belangrijke eerste stap zijn naar een transparante cultuur.

In hetzelfde schuitje

Commandeur adviseert om de afhandeling van een datalek niet als een op zichzelf staand thema te zien, maar als een onderdeel van een breder compliancetraject. “Kijk goed hoe de preventie en afhandeling van datalekken nu binnen de organisatie zijn geregeld. Zijn de afspraken over de te volgen werkwijzen voor iedereen duidelijk? Kent iedereen zijn of haar rol en verantwoordelijkheid? Is eigenlijk wel voldoende bekend wat een datalek precies is en wat er dan moet gebeuren? Een goede omgang met datalekken en risico’s start met bewustzijn van de problematiek.”

Voor starters in het vakgebied van dataprotectie zijn het geen eenvoudige opgaven, geeft Commandeur toe. “Ik kan me voorstellen dat het daarom voor startende dpo’s en FG’s prettig is om de mogelijkheid te hebben om kennis te verdiepen en verbreden. De opleiding CDPO is daarvan een prachtig voorbeeld. Je ontmoet collega’s die in hetzelfde schuitje zitten en krijgt er een hele groep sparring partners bij. Leren doe je niet alleen van de trainer, maar ook van elkaar.”

Als ervaren dpo een volgende loopbaanstap zetten? Volledig voorbereid zijn op alle uitdagingen in dataprotectie? Volg de opleiding CDPO en neem deel aan het examen.

CDPO | IIR

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten