Hoe uw DPO de hoge verwachtingen wel inlost ! (Deel 3 / 3)
Functie DPO/FG wordt onderschat! Juiste competenties zijn gevraagd.
Afgelopen weken zijn er twee delen verschenen waarin wij als Lumen Group ingingen op de vraag waarom de Data Protection Officer (DPO) / Functionaris Gegevensbescherming (FG) de verwachtingen wél gaat inlossen! In Deel 1 hebben wij stilgestaan bij de uitdagingen die de DPO/FG komende tijd aan moet gaan en hoe hij daarbij geholpen wordt door enkele wettelijke bepalingen in de AVG/GDPR. Daarna hebben wij in Deel 2 een uitstap gemaakt naar een enigszins vergelijkbare functie met de DPO/FG, namelijk die van de Compliance Officer. We hebben toen bekeken wat de DPO/FG van deze functie kan leren. In dit laatste deel 3 gaan we in op de vraag wat voor soort competenties de DPO/FG moet bezitten om deze functie succesvol te vervullen.
Belang van kennis en ervaring
Kennis van privacy / data protectie en de AVG/GDPR is ons inziens slechts een randvoorwaarde voor het zijn van een goede DPO/FG. Veelal wordt deze kennis aangetoond door een behaald certificaat bij een van de (vele) opleidingsinstituten die hiervoor in Nederland actief zijn. Er zijn opleidingen voor bijvoorbeeld privacy jurist, DPO/FG of projectleider dat in veel gevallen wordt afgesloten met een toets en een certificaat.
Vanuit Lumen Groep spreken wij veel professionals die zich ook bij ons aanbieden. Professionals met een diverse achtergrond en ervaring zonder privacy-compliance ervaring hebben, maar wel met een dergelijk certificaat. Onze constatering is dat een certificaat een persoon niet meteen tot een goede DPO/FG maakt.
Vaak komen wij in onze praktijk (maar ook bij opdrachtgevers) nog veel personen tegen die het ‘vak’ van DPO/FG onderschatten en niet verder kijken dan alleen een certificaat.
Waarom zijn deze opleidingen alleen dan niet genoeg? De aangeboden opleidingen zijn vaak puur op kennis gericht en worden soms op een vrij schoolse wijze getoetst. Aandacht voor de benodigde competenties op de werkvloer binnen het speelveld van de DPO/FG is er in zo’n opleiding vaak slechts beperkt. Uiteraard zijn er ook enkele opleidingen waar dit beter verzorgd is. Om privacy professional te zijn of te worden en het vak te beheersen komt er écht meer bij kijken dan alleen het behalen van een certificaat. Dit is namelijk een dosis privacy- compliance ervaring (vlieguren) en de juiste competenties.
Benodigde competenties voor de DPO/FG
De DPO/FG heeft een centrale rol binnen de organisatie. Persoonsgegevens worden bijna overal verwerkt en dus zal de DPO/FG verbinding moeten maken met collega’s binnen de gehele organisatie. De aanpak voor de AVG/GDPR is daarmee per definitie multidisciplinair. Dat vergt de juiste competenties van de DPO/FG. We kunnen binnen dit bestek niet alle benodigde competenties benoemen. Wij lichten er een paar belangrijke uit vanuit onze eigen AVG/GDP privacy-compliance ervaring.
Lef: de durf om iets te vinden en ergens op af te stappen en mensen daar eventueel op aan te spreken terwijl er weerstand is te verwachten. Prima is ook de durf te hebben om op ‘een sinaasappel kist te gaan staan’ en het belang van privacy / data protectie te verkondigen. Geef presentaties over situaties die op de werkvloer gebeuren en zo concreet mogelijk zijn. Hierdoor sluit de DPO/FG aan op de belevingswereld van collega’s. Discussies over het belang van de AVG/GDPR gaat de DPO/FG uiteraard niet uit de weg.
Inlevingsvermogen en verbinding: De DPO/FG moet zich goed kunnen verplaatsen in de business en de belangen van collega’s. Wat zijn hun gevoelens, houding en motivatie? Hiervoor gaat de DPO/FG in dialoog en legt overal zijn oor te luister om te begrijpen. Ook bij het hoogste management want zonder hun sponsorship wordt het een hele lastige opgave de gestelde doelen te bereiken in de organisatie. Risico van onvoldoende verbinding met collega’s en de business is dat de standpunten die een DPO/FG inneemt te ver afstaan van de daadwerkelijke business. Gevolg is dat de standpunten dan niet of onvoldoende worden opgevolgd. De DPO/FG is dan dus niet effectief. Het is ook niet verstandig in dit verband om steeds op alle slakken zout te leggen. Onervaren DPO/FG’s kunnen dit nog weleens doen. Veel verstandiger om serieus genomen te worden is om een tactiek te hanteren ‘to pick your battles’ en flexibel te zijn om op deze wijze je doelen toch te kunnen bereiken.
Doorzettingsvermogen en optimisme: De rol van de DPO/FG is voor veel organisaties nog nieuw dus men moet er nog aan wennen. Ondanks dat de DPO/FG overal bij wil zijn en zich zichtbaar wil maken, zal de DPO/FG merken dat er toch nog veel zaken gebeuren waar hij/zij (onbewust dan wel bewust) niet voor wordt uitgenodigd of geraadpleegd. Ook kan het zijn dat de privacy / data protectie argumenten terzijde worden geschoven ten behoeve van het commercieel belang. Dit kan de DPO/FG persoonlijk aangrijpen en zijn inzet voor zijn gevoel soms nutteloos maken. Daar moet de DPO/FG tegen kunnen en als optimist vervolgens met frisse moed weer doorgaan op zijn missie.
Hulp van buiten bij vinden geschikte DPO/FG
Niet iedereen is geschikt is voor de functie van DPO/FG. Het is geen rol die je vervult omdat je het laatste wegdook toen er een dergelijke functionaris benoemd moest worden. Uit ervaring weten wij dat het uitdagend is de juiste persoon hiervoor te vinden met de juiste kennis, competenties en ook nog als persoon past binnen uw organisatie.
Grote organisaties kiezen er vaak voor om zelf een DPO/FG aan te nemen. Voor kleinere organisaties is het interessant om deze functionaris tijdelijk in te zetten en/of om via een abonnement gebruik te maken van DPO/FG-diensten. Lumen Group voorziet in deze mogelijkheden:
Neem graag contact op dan kunnen we bespreken wat passend is voor uw organisatie.
