Hoe uw DPO/FG de hoge verwachtingen wel inlost ! (Deel 2 / 3)

Grote kans dat uw organisatie of bedrijf voor 25 mei 2018 een Data Protection Officer (DPO) moet aanstellen. In het Nederlands heet dit een Functionaris Gegevensbescherming (FG). Deze rol wordt namelijk verplicht gesteld volgens de Algemene Verordening Gegevensbescherming (AVG, in Engels: EU General Data Protection Regulation, GDPR). Overheidsinstellingen en bedrijven die intensief persoonsgegevens verwerken zijn vaak al snel verplicht een dergelijke DPO aan te stellen.

Mits deze DPO functie goed is ingeregeld en juist bemand, kan dit komende tijd weleens een heel waardevol bezit worden voor uw organisatie. De DPO kan uw organisatie zelfs behoeden voor incidenten, boetes, datalekken en bijbehorende reputatieschade.

Artikel-reeks in drie delen

De verwachtingen vanuit de (Europese) wetgever over wat de DPO zou moeten gaan bewerkstelligen, zijn hoog gespannen. De functie wordt stevig neergezet in de wet met allerlei zware taken en bevoegdheden. In drie delen is beschreven waarom de DPO de verwachtingen wél gaat inlossen. U leest nu deel 2.

In Deel 1 was opgenomen welke verwachtingen en daarbij horende uitdagingen op het bordje liggen van de DPO. In dit Deel 2 kijken we naar een enigszins vergelijkbare functie, de Compliance Officer die reeds meer dan 15 jaar in Nederland bestaat. We kijken welke lessen de DPO kan leren van de Compliance Officer om succesvol te zijn. Deel 3 gaat over het inrichten van de DPO functie en het vervullen van de functie door de juiste persoon.

Deel 2: Wat kan de DPO van de Compliance Officer leren?

 Les 1: Kies de juiste risicobenadering

De AVG kent een nadrukkelijke risico-insteek. Dit betekent dat vooral bescherming van die persoonsgegevens daar wordt verwacht, waar de risico’s het grootst zijn. De minder grote risico’s worden later beheerst of geaccepteerd. Tevens moet de DPO keuzes maken en prioriteiten stellen vanwege de vaak schaarse capaciteit. Om een goed beeld te krijgen van de risico’s moet eerst in beeld worden gebracht welke risico’s een organisatie überhaupt zelf onderkent, welke persoonsgegevens worden verwerkt en hoe dit momenteel worden beheerst.

Veel compliance organisaties hanteren reeds een dergelijke risicogebaseerde insteek en werken daarbij samen met andere risico-afdelingen zoals (Operational) Risk Management binnen een Control Framework met ondersteunende tooling. Een dergelijke aanpak zorgt voor overzicht van de risico’s en een juiste en onderbouwde prioriteitsstelling en inzet van capaciteit. Hierdoor is de organisatie in staat verantwoording af te leggen aan stakeholders zoals externe toezichthouders. Lumen Group heeft veel compliance en implementatie-ervaring en laat u graag een keer zien hoe dit eruit ziet als u hiervan wilt leren.

Les 2: Doe het samen!

Uiteraard moet er een plan komen voor de implementatie van de AVG. De DPO zal daar ook een rol in spelen. Een plan dat gedragen wordt en robuust is. De ervaring vanuit Compliance leert dat je een plan niet alleen maakt, maar dat vooral doet door met andere samen te werken. Vanuit ieder gezichtspunt (dus klant, medewerker, HR, proces(verbetering), IT, directie) is het van belang de juiste mensen aan tafel te krijgen en vanaf het begin af aan deel te laten uitmaken van de reis. Hoe eerder betrokken, hoe eerder men meedenkt over potentiele impact en veranderingen. Ook kunnen zo mogelijkheden en kansen worden gezien die de DPO anders nooit zou hebben gezien. Wij hebben genoeg Compliance Officers gezien die vergaten de rest van de organisatie mee te nemen en snelheid wilden maken en grotendeels deze samenwerking oversloegen. Hier blijft gelden: alleen ga je sneller, samen kom je verder !

Les 3: Principes onderliggend aan de wet zijn leidend

Om aan dit vereiste van accountability invulling te geven hebben velen van ons een natuurlijk reflex om te gaan ‘vinken’ en in dossiers per wetsartikel vast te leggen dat ze voldoen aan de wet. Stempel erop en klaar! We zijn ‘compliant’. Echter, het is de vraag of dit organisaties verder brengt. Bij een dergelijke korte termijn aanpak komen onmiskenbaar de echte vragen van de business pas later over hoe de regels écht gelezen en toegepast moeten worden. Ons inziens leidt een dergelijke benadering tot dubbel werk. Er lijkt dan geen sprake van een lerende organisatie.

Wat vaak vergeten wordt is dat achter alle regels een gedachte zit die bij een korte termijn aanpak gemist wordt. Dit is namelijk de bescherming van klanten en burgers tegen bijvoorbeeld niet integer gebruik van persoonlijke data en voorkomen dat persoonlijke data op straat komen te liggen. De gedachte achter de regel beschouwen, binnen de context van de eigen organisatie, levert pas echt de echte inzichten op die ons verder brengen. Een voorbeeld is om niet slechts een privacy beleid op te stellen waarin keurig op papier aan alle regeltjes wordt voldaan. Juist het samen ‘doorleven’ van de regels en het bepalen van de impact is waarde-toevoegend. Het sluitstuk van de reis is dan vervolgens een kort en concreet beleid dat daadwerkelijk gedragen en toegepast wordt.

Het komende Deel 3 gaat over het inrichten van de DPO functie en het vinden van de juiste persoon hiervoor. Een passende personele invulling binnen uw organisatie is essentieel om deze DPO rol succesvol te kunnen vervullen.