Print:

Schiphol Privacy Office: wat is het?

Steffie Bom , Tekstschrijver

LinkedIn profiel

Sinds 2016 heeft Schiphol een eigen privacy office. Om intern nog meer bekendheid te geven aan het onderwerp privacy en om het duidelijk neer te zetten in de organisatie. “De Schiphol privacy office heeft ook een eigen e-mailadres, zodat we makkelijk en rechtstreeks bereikbaar zijn”, aldus Jeanne Jacobs – Gilhuis, Privacy Officer bij Schiphol. “We zien dat het werkt.”

Contactpunt voor medewerkers en klanten

“De Schiphol Privacy Office maakt onderdeel uit van de afdeling Corporate Legal van Schiphol. Er zijn drie mensen werkzaam, waaronder ik. Voor medewerkers van Schiphol is de Schiphol Privacy Office het contactpunt voor vragen over privacy. Klanten kunnen er ook terecht met vragen; in de Privacy Policy op de website staat het e-mailadres. Wij behandelen ook inzageverzoeken die door mensen worden gedaan, die willen weten of Schiphol persoonsgegevens van ze verwerkt”, vertelt Jeanne Jacobs – Gilhuis.

Cyclus van zeven stappen

Jacobs – Gilhuis houdt zich sinds 2004 binnen Schiphol met privacy bezig. “Al ruim tien jaar staat privacy bij Schiphol hoog op de kaart. Je kunt je voorstellen dat veel al geregeld is. Toch is het privacybeleid in 2015 – met het oog op de komst van de meldplicht datalekken en de EPV – opnieuw onder de loep genomen. We hebben een jaarplan voor 2016 gemaakt, dat is gebaseerd op het privacybeleid. Dit privacybeleid is afgeleid van het compliance programma dat drie jaar geleden binnen Schiphol is opgezet. Dit programma bestaat uit een cyclus van zeven stappen die we ieder jaar doorlopen. We beginnen met het identificeren van risico’s. Vervolgens kijken we of deze risico’s noodzaken dat procedures of andere zaken binnen onze organisatie veranderd moeten worden, en of en welke communicatie nodig is. Diezelfde aanpak hebben we gebruikt voor het herzien van het privacybeleid. Elke stap is uitgewerkt in het plan van aanpak voor 2016. Hoe, dat licht ik nader toe tijdens de Dag van de Privacy Officer.”

Script voor datalek

“Een van de onderdelen van het jaarplan van 2016 is natuurlijk de meldplicht datalekken. Bij een vermoeden van een datalek moeten onze medewerkers direct bellen met de ICT-servicedesk. Daar ligt een script, dat de Schiphol privacy office samen met de afdeling IT-security heeft ontwikkeld. Dit script bevat onder andere vragen die beantwoord moeten worden voor het geval we het datalek moeten melden bij de Autoriteit Persoonsgegevens. De ICT-servicedesk meldt het incident hoe dan ook meteen bij IT-security, zodat zij het lek kunnen dichten. Ook de Schiphol privacy office wordt ingelicht. Wij beoordelen dan of we het incident daadwerkelijk moeten melden”, aldus Jacobs – Gilhuis.

Privacynieuws op intranet

De door Jacobs – Gilhuis geschetste gang van zaken is nieuw binnen Schiphol. “De grootste uitdaging blijft om iedereen te bereiken binnen het bedrijf. Schiphol is een grote organisatie met een medewerkersbestand van ongeveer 2000 fte. Door verloop komen er regelmatig nieuwe medewerkers bij. En dan werken we ook nog met veel externe partners en we besteden een aantal activiteiten uit. Al deze personen moeten op de hoogte zijn dat een mogelijke datalek direct wordt gemeld. We zijn een heel eind maar ik vermoed dat er nog altijd mensen zijn die het niet weten. Daarbij komt bij dat men ook moet weten wanneer sprake is van een datalek. Om dit te bewerkstelligen publiceren we iedere maand een artikel waarin door middel van een praktijkvoorbeeld de meldplicht datalekken onder de aandacht wordt gebracht. De afdeling communicatie begeleidt ons hierbij. Daarnaast geven we privacy workshops in het hele bedrijf, vaak in de vorm van een quiz om het wat aansprekender te maken. Daarbij brengen we onder andere de Wbp en de meldplicht datalekken onder de aandacht, evenals de Schiphol Privacy Office en onze aanpak voor het uitvoeren van een Privacy impact assessment.”

Privacy impact assessment: aanpak

“We hebben een tool gemaakt voor het identificeren van privacyrisico’s en de maatregelen die naar aanleiding daarvan genomen moeten worden”, vertelt Jacobs – Gilhuis. “Het komt erop neer dat medewerkers aan het begin van een project twee vragenlijsten invullen. Het invullen van de eerste wordt begeleid door IT-security en ziet op de impact van het project op informatiebeveiliging. Het invullen van de tweede wordt begeleid door de Schiphol privacy office en geeft een nauwkeurig beeld van wat er met persoonsgegevens wordt gedaan. Hier komt een score uit. Een lage score betekent dat de privacyrisico’s beperkt zijn. In dat geval krijgt de medewerker standaard maatregelen mee die moeten worden geïmplementeerd voor afronding van het project. Bij een medium score geven we extra juridisch advies en bij een hoge score gaan we heel diep op de materie in, om de benodigde maatregelen zo goed mogelijk te inventariseren.”

Overleg met stakeholders

“Bij een hoge score kijken we ook of we wellicht stakeholders moeten benaderen om mee te denken. Dit kan bijvoorbeeld de douane zijn of de Koninklijke Marechaussee; organisaties waar Schiphol veel mee samenwerkt. We hebben een aantal keren ook de Autoriteit Persoonsgegevens uitgenodigd om toe te lichten waar we mee bezig waren. Om een gevoel te krijgen bij hoe zij aankijken tegen de manier waarop wij een bepaald project aanpakken. Dit hebben we overigens ook gedaan met Privacy First, een stichting die zich bezighoudt met het recht op privacy. Ook hen hebben we een paar keer uitgenodigd om mee te denken en dat is ook heel waardevol”, aldus Jacobs. Voor de toekomst hoopt Jacobs – Gilhuis dat Schiphol bekend staat als organisatie die zorgvuldig met klantgegevens om gaat. “Dat klanten Schiphol hierin vertrouwen. Het is ons streven om dat te bereiken.”

Tijdens het congres ‘Dag van de Privacy Officer’ op woensdag 9 november 2016 gaat Jacobs – Gilhuis dieper in op het privacybeleid en de procedures van Schiphol en de bewustwording die ze heeft gecreëerd.