Hoe uw DPO de hoge verwachtingen wel inlost ! (Deel 3 / 3)

Functie DPO/FG wordt onderschat! Juiste competenties zijn gevraagd.

Afgelopen weken zijn er twee delen verschenen waarin wij als Lumen Group ingingen op de vraag waarom de Data Protection Officer (DPO) / Functionaris Gegevensbescherming (FG) de verwachtingen wél gaat inlossen! In Deel 1 hebben wij stilgestaan bij de uitdagingen die de DPO/FG komende tijd aan moet gaan en hoe hij daarbij geholpen wordt door enkele wettelijke bepalingen in de AVG/GDPR. Daarna hebben wij in Deel 2 een uitstap gemaakt naar een enigszins vergelijkbare functie met de DPO/FG, namelijk die van de Compliance Officer. We hebben toen bekeken wat de DPO/FG van deze functie kan leren. In dit laatste deel 3 gaan we in op de vraag wat voor soort competenties de DPO/FG moet bezitten om deze functie succesvol te vervullen.

Belang van kennis en ervaring

Kennis van privacy / data protectie en de AVG/GDPR is ons inziens slechts een randvoorwaarde voor het zijn van een goede DPO/FG. Veelal wordt deze kennis aangetoond door een behaald certificaat bij een van de (vele) opleidingsinstituten die hiervoor in Nederland actief zijn. Er zijn opleidingen voor bijvoorbeeld privacy jurist, DPO/FG of projectleider dat in veel gevallen wordt afgesloten met een toets en een certificaat.

Vanuit Lumen Groep spreken wij veel professionals die zich ook bij ons aanbieden. Professionals met een diverse achtergrond en ervaring zonder privacy-compliance ervaring hebben, maar wel met een dergelijk certificaat. Onze constatering is dat een certificaat een persoon niet meteen tot een goede DPO/FG maakt.

Vaak komen wij in onze praktijk (maar ook bij opdrachtgevers) nog veel personen tegen die het ‘vak’ van DPO/FG onderschatten en niet verder kijken dan alleen een certificaat.

Waarom zijn deze opleidingen alleen dan niet genoeg? De aangeboden opleidingen zijn vaak puur op kennis gericht en worden soms op een vrij schoolse wijze getoetst. Aandacht voor de benodigde competenties op de werkvloer binnen het speelveld van de DPO/FG is er in zo’n opleiding vaak slechts beperkt. Uiteraard zijn er ook enkele opleidingen waar dit beter verzorgd is. Om privacy professional te zijn of te worden en het vak te beheersen komt er écht meer bij kijken dan alleen het behalen van een certificaat. Dit is namelijk een dosis privacy- compliance ervaring (vlieguren) en de juiste competenties.

Benodigde competenties voor de DPO/FG

De DPO/FG heeft een centrale rol binnen de organisatie. Persoonsgegevens worden bijna overal verwerkt en dus zal de DPO/FG  verbinding moeten maken met collega’s binnen de gehele organisatie. De aanpak voor de AVG/GDPR is daarmee per definitie multidisciplinair. Dat vergt de juiste competenties van de DPO/FG. We kunnen binnen dit bestek niet alle benodigde competenties benoemen. Wij lichten er een paar belangrijke uit vanuit onze eigen AVG/GDP privacy-compliance ervaring.

Lef: de durf om iets te vinden en ergens op af te stappen en mensen daar eventueel op aan te spreken terwijl er weerstand is te verwachten. Prima is ook de durf te hebben om op ‘een sinaasappel kist te gaan staan’ en het belang van privacy / data protectie te verkondigen. Geef presentaties over situaties die op de werkvloer gebeuren en zo concreet mogelijk zijn. Hierdoor sluit de DPO/FG aan op de belevingswereld van collega’s. Discussies over het belang van de AVG/GDPR gaat de DPO/FG uiteraard niet uit de weg.

Inlevingsvermogen en verbinding: De DPO/FG moet zich goed kunnen verplaatsen in de business en de belangen van collega’s. Wat zijn hun gevoelens, houding en motivatie? Hiervoor gaat de DPO/FG in dialoog en legt overal zijn oor te luister om te begrijpen. Ook bij het hoogste management want zonder hun sponsorship wordt het een hele lastige opgave de gestelde doelen te bereiken in de organisatie. Risico van onvoldoende verbinding met collega’s en de business is dat de standpunten die een DPO/FG inneemt te ver afstaan van de daadwerkelijke business. Gevolg is dat de standpunten dan niet of onvoldoende worden opgevolgd. De DPO/FG is dan dus niet effectief. Het is ook niet verstandig in dit verband om steeds op alle slakken zout te leggen. Onervaren DPO/FG’s kunnen dit nog weleens doen. Veel verstandiger om serieus genomen te worden is om een tactiek te hanteren ‘to pick your battles’ en flexibel te zijn om op deze wijze je doelen toch te kunnen bereiken.

Doorzettingsvermogen en optimisme: De rol van de DPO/FG is voor veel organisaties nog nieuw dus men moet er nog aan wennen. Ondanks dat de DPO/FG overal bij wil zijn en zich zichtbaar wil maken, zal de DPO/FG merken dat er toch nog veel zaken gebeuren waar hij/zij (onbewust dan wel bewust) niet voor wordt uitgenodigd of geraadpleegd. Ook kan het zijn dat de privacy / data protectie argumenten terzijde worden geschoven ten behoeve van het commercieel belang. Dit kan de DPO/FG persoonlijk aangrijpen en zijn inzet voor zijn gevoel soms nutteloos maken. Daar moet de DPO/FG tegen kunnen en als optimist vervolgens met frisse moed weer doorgaan op zijn missie.

Hulp van buiten bij vinden geschikte DPO/FG

Niet iedereen is geschikt is voor de functie van DPO/FG. Het is geen rol die je vervult omdat je het laatste wegdook toen er een dergelijke functionaris benoemd moest worden. Uit ervaring weten wij dat het uitdagend is de juiste persoon hiervoor te vinden met de juiste kennis, competenties en ook nog als persoon past binnen uw organisatie.

Grote organisaties kiezen er vaak voor om zelf een DPO/FG aan te nemen. Voor kleinere organisaties is het interessant om deze functionaris tijdelijk in te zetten en/of om via een abonnement gebruik te maken van DPO/FG-diensten. Lumen Group voorziet in deze mogelijkheden:

Neem graag contact op dan kunnen we bespreken wat passend is voor uw organisatie.

GDPR / AVG? Ik bel mn advocaat !

Het implementeren en toepassen van de nieuwe privacy verordening AVG / GDPR die per 25 mei 2018 van toepassing wordt, is impactvol voor veel bedrijven en organisaties. In inventariserende gesprekken die wij als gespecialiseerde consultancy partij voeren horen wij nog vaak. “Ja, ik heb gehoord van de nieuwe regels, ik zal onze advocaat eens bellen” of “onze advocaat adviseert ons hierbij.” Hieronder is beschreven waarom er meer moet gebeuren dan alleen u advocaat bellen.

Het kan natuurlijk een goede eerste stap zijn om u te laten informeren door uw advocaat. Immers, zij kennen de wetteksten en helpen uw bedrijf vaak goed. Ook door het opstellen of aanpassen van bijvoorbeeld (bewerkers-) overeenkomsten kan een advocaat prima werk doen. Bovendien wordt niet ieder bedrijf even hard geraakt door deze nieuwe verordening en hoeft er dus ook maar weinig aan te worden gepast in de bedrijfsvoering. Dit geldt vooral voor kleine bedrijven of organisaties die geen of slechts beperkt persoonsgegevens verwerken.

Zelf aan de slag; u kent de risico’s

Het raadplegen van uw advocaat is echter te weinig als u zelf niets doet.

Als u geraakt wordt door de AVG / GDPR dan moet u echt zélf aan de slag. Het is geen papieren exercitie op afstand.

Uw aanpak dient volgens de verordening risico-gebaseerd te gebeuren. U dient uw verwerkingen van persoonsgegevens in processen en systemen in kaart te brengen en bijbehorende risico’s hiervan te identificeren en te managen. Daar waar de risico’s het grootst zijn, neemt u maatregelen zoals het uitvoeren van een Privacy Impact Assessments of het versterken van de informatiebeveiligingsprotocollen. Uw medewerkers dient u hierin uiteraard goed mee te nemen.

Samenspel van disciplines is nodig

Het implementeren van de nieuwe verordening dient op multidisciplinaire wijze te gebeuren. Het juridisch perspectief is daarvan een onderdeel. Samenwerking dient te worden gezocht met de business en met IT. Een projectleider zal voor de implementatie deze drie disciplines samen brengen en tot een plan moeten komen. Met een dergelijke aanpak kunnen structurele maatregelen worden getroffen waar iedereen bij betrokken is. Juist dit structurele karakter is van belang. Immers, de AVG/ GDPR is niet iets eenmaligs, het blijft aanwezig in uw organisatie of bedrijf ook na 25 mei 2018.

Juist het samen ‘doorleven’ van de gestelde regels en het bepalen van de impact hiervan is waarde-toevoegend. Het sluitstuk van de reis is dan vervolgens een kort en concreet beleid en getroffen maatregelen die daadwerkelijk gedragen en toegepast worden.

Aantoonbaarheid uit de AVG/GDPR
Een van de leidende beginselen van de nieuwe EU Verordening voor Privacy en Data Protectie is accountability. Ofwel; verantwoording kunnen afleggen aan de buitenwereld over hoe wordt omgegaan met persoonlijke data van personen (o.a. klanten en burgers). De AVG / GDPR legt heel nadrukkelijk een verantwoordelijkheid neer bij het bedrijf of de organisatie om aan te tonen dat zij de belangrijkste risico’s in kaart heeft en passende maatregelen heeft genomen om dit te beperken. Als dit niet op orde is kan de Autoriteit Persoonsgegevens boetes opleggen.

DPO/FG

Om deze aantoonbaarheid doorlopend te kunnen realiseren kan een Data Protection Officer, ofwel in het Nederlands, een Functionaris Gegevensbescherming hierbij een belangrijke rol spelen. In veel gevallen is een dergelijke functionaris ook verplicht om te hebben per 25 mei 2018. De functie dient goed in de besturing en governance te worden ingeregeld. Uiteraard kan op papier een statuut worden opgesteld, maar het gaat erom dat deze functionaris verbinding heeft met het bedrijf of organisatie en tegelijkertijd op onafhankelijke wijze kan acteren. Deze schijnbare tegensteling moet worden uitgelegd aan de medewerkers en de directie. Als dit niet goed gebeurt zal de DPO namelijk al snel zelf verantwoordelijk worden gehouden voor alles wat met privacy en data protection te maken heeft. En dit beeld moet worden voorkomen en is gevaarlijk. Immers, de gehele organisatie is hiervoor verantwoordelijk.

Achterliggende principes van regels

Als laatste argument om niet een strict en uitsluitende juridische insteek te kiezen voor de implementatie en toepassing van de AVG / GDPR is dat achter deze regels principes liggen die leidend moeten zijn in de discussie. Dit is namelijk de bescherming van klanten en burgers tegen bijvoorbeeld niet integer gebruik van persoonlijke data en voorkomen dat persoonlijke data op straat komen te liggen. De gedachte achter de regel beschouwen, binnen de context van de eigen organisatie, levert pas echt de echte inzichten op die ons verder brengen.

Conclusie: Bovenstaande leidt tot het inzicht dat een bedrijf echt zélf aan de slag moet met de AVG! Mocht u daarbij ondersteuning wensen, neemt u dan graag contact op met Lumen Group.