Print:

Zo werken data protection officers efficiënter

Artificial Intelligence (AI), data life cycle management, data-ethiek. Het is maar een kleine greep uit de vele uitdagingen waarmee data protection officers te maken hebben. Hoe houd je het overzicht en stel je de juiste prioriteiten? Tony de Bos van EY vertelt over de meerwaarde van externe adviseurs en slimme tooling.

Tony de Bos | IIR“Organisaties kunnen vaak best wat ondersteuning gebruiken bij de implementatie en naleving van de Algemene verordening gegevensbescherming (AVG). Maar de inhuur van een externe Functionaris voor de Gegevensbescherming (FG) is daarvoor niet altijd de beste oplossing.” Dat zegt Tony de Bos, partner en consultant van EY Advisory Netherlands LLP en spreker tijdens de Dag van de Privacy Officer 2019. De Bos werkte eerder onder meer bij Deloitte, KPMG en DigiNotar.

“Bij grote en complexe organisaties die veel gevoelige gegevens verwerken, zoals banken en verzekeraars, heeft de AVG zo’n grote impact op de kernactiviteiten dat een externe adviseur die er parttime aanwezig is lastig de volle verantwoordelijkheid op zich kan nemen voor het toezicht op de naleving”, licht De Bos toe. “Een interne FG heeft een beter zicht op de business, meer begrip van wat er speelt en een sterker netwerk binnen de organisatie. Vanuit die positie kan de FG betere keuzes maken en effectiever optreden dan een extern aangestelde toezichthouder.”

Operationele taken uitbesteden

De Bos benadrukt dat externe adviseurs wel een waardevolle bijdrage kunnen leveren aan het werk van interne FG’s. “Het is heel goed mogelijk om een aantal operationele taken die nu vaak op het bord van een FG terechtkomen aan externe partijen uit te besteden. Denk aan het actualiseren van het register van verwerkingsactiviteiten, het uitvoeren van data protection impact assessments (DPIA’s), het melden van datalekken en het afhandelen van rechten van betrokken. Door FG’s dit soort zaken uit handen te nemen, houden ze meer tijd over voor de toezichthoudende activiteiten die er echt toe doen, zoals het monitoren en managen van risico’s voor de organisatie en datasubjecten.”

Een van de grootste uitdagingen waar FG’s nu voor staan is volgens De Bos om overzicht te houden en prioriteiten te stellen. “Waar moet ik me echt op focussen en wat is werkelijk belangrijk? Veel FG’s worden overspoeld met praktische vragen en operationele zaken. In complexe en internationale ondernemingen lopen er acties op verschillende niveaus en locaties. Er komen vragen binnen van bijvoorbeeld klanten, leveranciers en business developers. Er is input nodig vanuit allerlei geledingen van de organisatie. Sommige FG’s zijn elke maand drie dagen bezig om een rapportage in elkaar te zetten.”

Ambassadeurs en tooling

Een oplossing voor de overvolle agenda’s en takenpakketten van FG’s kan worden gevonden in organisatorische ondersteuning, maar ook in de techniek, aldus De Bos. “Er zijn goede voorbeelden van organisaties die privacy ambassadeurs of andere eerstelijns officers inzetten. Zij zitten dichtbij de business en kunnen een belangrijke rol spelen in het informeren en enthousiasmeren van collega’s. De FG kan zich dan – samen met tweedelijns collega’s – meer richten op toezicht en compliance.”

Tegelijkertijd kan tooling het leven van FG’s makkelijker maken, vertelt De Bos. “Met een online platform zoals DPO One kunnen een aantal operationele taken efficiënter worden ingericht en uitgevoerd, en kunnen veelvoorkomende processen en procedures deels worden geautomatiseerd.” Het online dashboard van DPO One geeft een overzicht van alle AVG-relevante activiteiten die binnen de organisatie spelen, zodat prioriteiten snel in beeld komen. Daarnaast kunnen FG’s het platform gebruiken om acties in te plannen en bijvoorbeeld een reminder te sturen als er een bepaalde activiteit moet worden gecheckt of opgestart.

Datamanagement voor kwaliteit en efficiëntie

In het afgelopen jaar hebben veel organisaties de basis voor AVG-compliance op orde gebracht en de belangrijkste processen en procedures ingericht. De kwaliteit van data, interne processen en compliance-activiteiten kunnen nu verder omhoog door toepassing van datamanagement en data life cycle management, zegt De Bos. “Datamanagement geeft inzicht in de plekken waar gestructureerde en ongestructureerde data zich bevinden. Dat is een goede basis om een aantal activiteiten – deels – te automatiseren, waardoor ze beter, sneller en efficiënter kunnen worden uitgevoerd. Als we precies weten waar welke data is, dan kunnen we bijvoorbeeld na een verzoek om inzage van een betrokkene automatisch een rapport opstellen. Business owners en de FG hoeven niet zelf een document te maken, maar het alleen nog te checken.” Een ander voorbeeld heeft te maken met de controle van verwerkersovereenkomsten. “Als je weet welke data de organisatie deelt met leveranciers kan je eenvoudig nagaan of de juiste afspraken zijn gemaakt en er voldoende waarborgen voor gegevensbescherming zijn getroffen.”

De aandacht voor datamanagement past in een actuele trend, signaleert De Bos. “Steeds meer organisaties gaan data analytics en Artificial Intelligence (AI) toepassen. Dan is het essentieel om het datamanagement op orde te hebben. Niet alleen met het oog op privacy, maar ook vanwege de kwaliteit van de data die je gaat analyseren. Want: garbage in is garbage out.” Met de opmars van Chief Data Officers, die verantwoordelijk zijn voor data-analyse, krijgen FG’s er volgens De Bos trouwens ook een sparring partner en potentiële bondgenoot bij.

Data-ethiek

In de nabije toekomst komt data-ethiek steeds nadrukkelijker op de agenda van FG’s, verwacht Bos. “Hoe meer organisaties groeien in privacyvolwassenheid, hoe meer we het gaan hebben over ethiek. Want data-analyses kunnen misschien best toelaatbaar zijn vanuit het oogpunt van de AVG, maar soms komen er resultaten uit waarvan de organisatie moet nagaan of die maatschappelijk wel acceptabel zijn.”

Een voorbeeld van een ethisch vraagstuk gaat over de analyses die banken kunnen uitvoeren op basis van PSD2, de Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven. “Er kunnen algoritmes worden ontwikkeld die bijvoorbeeld voorspellen hoe groot het risico is dat iemand in de toekomst in financiële problemen raakt. En met data-analyse kan je bijvoorbeeld ook ontdekken dat iemand steeds vaker geld overmaakt aan online casino’s. Hoe ga je met dit soort gegevens om? FG’s en privacy officers zullen steeds meer moeten nadenken over de juridische én ethische toelaatbaarheid van gegevensverwerkingen.”

Nadenken om beter te worden

Data-ethiek is een van de vele nieuwe ontwikkelingen waarmee data protection officers te maken krijgen. Ook technische ontwikkelingen, bijvoorbeeld op het vlak van data analytics en kunstmatige intelligentie, hebben impact op hun werkterrein en toezichtveld. Bovendien is de wetgeving voortdurend in ontwikkeling. Onder andere de ePrivacy Verordening gaat straks aandacht vragen. De Bos: “Net als de AVG harmoniseert de ePrivacy Verordening de nationale wetgeving – dat is een positieve ontwikkeling voor internationaal opererende organisaties. De impact van de ePrivacy Verordening op de organisatie zal ook niet zo groot zijn als bij de AVG, tenzij marketing tot de core business behoort. Expliciete toestemming wordt dan steeds belangrijker – en sowieso worden de regels voor allerlei marketingactiviteiten strikter. De opgave voor privacyprofessionals is om al deze ontwikkelingen – in de wet- en regelgeving, marketing en digitalisering – actief te monitoren en er tijdig over mee te denken met de business.”

Een FG is meer dan ooit een schaap met vijf poten, zegt De Bos. “Data protection officers moeten juridisch en technisch snappen wat er speelt, awareness creëren voor privacyregels en het toezicht erop, gevoel hebben voor de business en wat daar belangrijk is, en zorgen dat de documentatie op orde is voor het geval de AP op de stoep staat. Dat zijn heel veel verschillende uitdagingen om als één persoon op te pakken.” Basiskennis van technologische innovaties is bijvoorbeeld onmisbaar om het gesprek te kunnen voeren met de business en te zorgen dat privacy al in een vroeg stadium wordt meegenomen.

De Bos adviseert om de actuele ontwikkelingen goed in de gaten te houden en om de tijd te nemen om erop te reflecteren. “Er zijn nog steeds onduidelijkheden over de interpretatie van onderdelen en normen uit de AVG. Daarom is het belangrijk om de jurisprudentie en de publicaties van nationale en Europese toezichthouders te lezen. Maar vooral ook: om het werk zo in te richten dat je niet steeds bezig bent met operationele zaken, maar je kunt richten op de taken die er echt toe doen voor AVG-compliance. Nadenken over wat ertoe doet is misschien wel de belangrijkste manier om beter te worden in je vak.”

Ook de tijd nemen om je te verdiepen in de belangrijkste compliance-issues? Volg dan de beroepsopleiding Certified Data Protection Officer (CDPO), of volg een specialisatietraining op het gebied van bijvoorbeeld security, datamanagement of risicobeheersing.

Alle opleidingen in 1 gids?

Laat uw e-mail achter en ontvang de opleidingsgids direct in uw mailbox.