Print:

Vier praktijklessen over privacy awareness

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Aan de verplichtingen en regels van de Algemene Verordening Gegevensbescherming raken we steeds meer gewend. Maar hoe houden we de compliance binnen de organisatie op de agenda? Drie tips van ervaren dataprotection officers om te werken aan privacy awareness.

IIR Privacy

 

Hoe kan je de naleving van de Algemene Verordening Gegevensbescherming (AVG) inbedden in de dagelijkse werkprocessen en workflows, zodat er bij een wijziging van producten of diensten automatisch wordt gekeken naar de privacy-impact ervan? Dat was een van de vragen die Jasper de Windt, privacy consultant van One Trust, aan de orde stelde in zijn workshop over tooling tijdens het Dataprotectie en Privacy Congres 2018. Het simpele antwoord is: communicatie. Maar hoe doe je het als het gaat om een complex thema als dataprotectie? De Windt en andere sprekers deelden ervaringen, tips en best practices. De vier beste op een rij.

1. Zorg voor breed draagvlak

De ontwikkeling van een privacybeleid ligt doorgaans op het bord van een dataprotection officer (dpo) of een privacyteam. “Maar betrokkenheid en awareness bij verschillende afdelingen van de organisatie zijn essentieel”, aldus De Windt. “Haak het securityteam en de IT-afdeling aan, want daar zijn vaak al allerlei processen ingericht die dataprotectie ondersteunen. En let op dat bij bijvoorbeeld HR doorgaans veel persoonsgegevens worden verwerkt, zonder dat men er goed van bewust is wat er wel en niet is toegestaan.”

2. Activeer privacy champions

Steeds meer organisaties stellen op afdeling- of teamniveau privacy champions aan, interne ambassadeurs die een vertaalslag maken van het algemene privacybeleid naar de alledaagse praktijk. Een goed idee, vindt Jasper de Windt. “Het privacyteam staat nog wel eens op afstand van de organisatie en er wordt intern maar beperkt over privacy gecommuniceerd. Professionals die echt staan voor dataprotectie kunnen de kennis en awareness op de werkvloer vergroten – én collega’s mede verantwoordelijk maken voor een zorgvuldige omgang met persoonsgegevens.”

3. Maak het specifiek

In de aanloop naar de implementatie van de AVG is veel algemene informatie over dataprotectie gedeeld. Bijvoorbeeld over de nieuwe regels en verplichtingen. Maar blijft zo’n algemeen verhaal op lange termijn wel hangen – en gaat de dagelijkse praktijk dan actief aan de slag? Nienke Koorn, privacy officer bij WeTransfer en expert achter de workshop over privacy governance tijdens het Dataprotectie en Privacy Congres 2018, denkt van niet. “Geen enkel team is gebaat bij een algemeen praatje. Ik maak altijd teamspecifieke trainingen over een concreet thema, zoals de omgang met datalekken of het bijhouden van een verwerkingsregister. Dan kan je een workshop ook kort en luchtig houden, en er een concrete boodschap mee overbrengen die aansluit bij de informatiebehoeften en werkzaamheden van het team.”

4. Maak er werk van

Een organisatie de basisinformatie over de AVG overbrengen is één ding, maar het actueel houden van de kennis is iets heel anders. Dat is best hard werken, aldus Nienke Koorn. “Als je wilt dat mensen echt begrijpen wat de regels uit de AVG inhouden en hun kennis op peil houden dan moet je er wel werk van maken. Ik geef veel trainingen aan collega’s en ben vrijwel altijd beschikbaar voor vragen. Veel van mijn Amsterdamse collega’s zijn al privacy minded en die probeer ik dan ook te betrekken bij plannen. Niets is verplicht, maar het committment van de teamlead betekent dat iedereen wel weet dat het de bedoeling is om bij trainingen en workshops aanwezig te zijn.”

Bram Hoovers, privacy officer bij Philips, deelde tijdens het Dataprotectie en Privacy Congres 2018 nog een andere leerzame ervaring. In zijn workshop over toestemming onder de AVG concludeerde hij dat de wet ondanks de vele verplichtingen toch de nodige speelruimte overlaat. “Er zijn veel eisen, maar er zijn ook allerlei manieren om daaraan op je eigen manier invulling te geven. Gebruik de ruimte die je hebt om individuen in gewone mensentaal uit te leggen wat je doet.” Zo’n aanpak vergroot volgens Hoovers de kans dat op een verzoek om toestemming te geven voor een gegevensverwerking positief gereageerd wordt. Maar het is ook een advies dat direct relevant is voor iedereen die werkt aan privacy awareness binnen een organisatie.

Alles weten over AVG-compliance, privacy awareness en draagvlak voor dataprotectie? Volg de praktijkcursus FG in de publieke sector, de vierdaagse cursus Privacy Officer 2.0, of ga voor de beroepsopleiding Certified Data Protection Officer.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten