Even voorstellen Bart Scheffers

Mijn naam is Bart Scheffers, van origine een Brabantse Bedrijfskundige maar sinds midden jaren 90 woonachtig in Utrecht. Vanuit kwaliteitsmanagement, procesanalyse en -ontwerp ben ik sinds 2018 fulltime werkzaam als zelfstandig privacy consultant. Mijn missie is om privacy op een werkbare wijze te borgen in de processen van een organisatie, zodat deze tijdens het werk onbewust de privacy van betrokkenen respecteert. Ik ben van nature breed geïnteresseerd, misschien zelfs een tikkie nieuwsgierig hoe organisaties functioneren, hoe processen en systemen zijn ingericht en vooral hoe mensen met elkaar samenwerken. Zo wordt privacy toch weer een bedrijfskundig verhaal.

Ik heb in diverse organisaties gewerkt als privacy consultant en Privacy Officer (PO), met name binnen de rijksoverheid en financiële instellingen. Daarnaast ook voor gemeentes en onderwijsinstellingen. Al deze ervaring zet ik graag in als Functionaris Gegevensbescherming (FG) voor relaties van de Lumen Group. Ik heb gemerkt dat mijn diverse kennis en praktijkervaring hen echt verder kan helpen. Mijn insteek is om met hen te zoeken naar effectieve en pragmatische oplossingen voor knelpunten in het privacy-werkveld. Ik vind het erg mooi om te zien dat relaties in eerste instantie schrikken van het woord DPIA maar als ik hen help door met hen het proces te schetsen, worden bijna als vanzelf de onderliggende privacy risico’s zichtbaar en liggen de maatregelen voor het oprapen. Zo hebben we in een korte tijd met veel plezier een goed resultaat neergezet, iets waar ik trots op ben!

Nu wordt het echt interessant, mijn privéleven! Ik ben nog net geboren in 1968, woonachtig in Vleuten en hertrouwd. Ik heb drie zonen, een stiefzoon en stiefdochter. Soms is het full house als iedereen er is, op andere momenten zijn we heerlijk met z’n tweetjes, ook fijn. In mijn vrije tijd leer ik tennissen en gitaar spelen en zing ik in popkoor N♬tgeval (Nootgeval), waar ik in 2024 ook aan het bestuur ben toegevoegd. Verder geniet ik graag van cultuur en natuur om de hoek, in Utrecht of Nederland. Ook bezoek ik al rondtrekkend graag authentieke plaatsen elders in de wereld, zoals Turkije, Egypte, Maleisië, Australië, Vancouver Island en Madagaskar. Ik ben ook graag actief bezig; Ooit heb ik de fietstocht gereden naar Santiago de Compostella, in 2023 heb ik met een vriend rondom de Mont Blanc gewandeld. Van een andere orde was ook in 2023 de Garbage Run, een mooi avontuur om met 350 barrels van Luxemburg naar Portugal te rijden. Ik kan echt genieten van cabaret en haal te pas en onpas diverse passages graag aan!

Ik vind het belangrijk om bewust te leven en er ook van te genieten. In het werk vind ik het ook belangrijk dat we op een leuke manier met elkaar samenwerken en een goed resultaat neer zetten. Het hoeft niet in één keer goed te zijn, soms is een eerste kleine stap in de goede richting al een hele prestatie! 

Even voorstellen Rosemarije Loos

Kun je ons iets vertellen over je achtergrond en interesses?
Ik leef op dit moment mijn 35e levensjaar en heb een zoon van 9. Samen met mijn 2 katten woon ik tussen de Veluwe en de Utrechtse Heuvelrug. Ik ben dus ook vaak buiten te vinden, in mijn tuin of in de bossen/heide. Ik heb in totaal 10 jaar in Zuid-Frankrijk gewoond en 7 maanden in Zwitserland. Buiten werktijd kun je me vinden in mijn atelier, waar ik schilder op doek. Expressionisme en het terug laten komen van metaforen zijn kenmerkend voor mijn werk. Ik lees graag en bezoek regelmatig steden en musea.

Wat motiveert jou om te werken in het privacy vakgebied?
Het vertalen van abstracte wet- en regelgeving en lange beleidsstukken naar heldere, werkbare instructies en plannen die passen bij de corebusiness, is iets waar ik goed in ben en energie van krijg. Daarbij kijk ik naar wat kan, mag en hoe, door een balans te vinden tussen organisatiewaarden, ISO-normen, wet- en regelgeving en het niet (onnodig) moeilijker maken dan het is, maar juist vereenvoudigen.

Wat ga jij betekenen voor de klanten van Lumen Group?
Verdiepen, verbinden, versterken en elkaars ’taal’ leren begrijpen. Zowel mijn Lumen-collega’s als klanten kunnen rekenen op een pragmatische denker die sterk is in het analyseren van gegevens en processen. Vervolgens plaats ik deze in de juiste context, en filter ik scherp om tot doelgerichte resultaten en actiepunten te komen.

Daarnaast gaan creativiteit, (wettelijke) kaders en taaie materie absoluut perfect samen. Mijn drijfveer hierin is mensen aan het denken zetten en in beweging brengen op een luchtige en ludieke manier zonder de urgentie van efficiënte gegevensbescherming te verliezen.

Waar word jij verder nog blij van?
Investeren in het verbreden en updaten van mijn eigen kennis en kunde staan bij mij hoog in het vaandel. Nieuwe kennis vergaar ik door het volgen van Webinars, trainingen, het bijwonen van conferenties en het lezen van boeken over zeer uiteenlopende onderwerpen (filosofisch, bedrijf strategisch, psychologisch, juridisch, etc.). Daarnaast hou ik van een goed gesprek, open-minded, met ruimte voor dialoog.

Even voorstellen: Gerhard van der Haar

Achtergrond en Interesses
Ik ben 53 jaar oud en kom uit Eelderwolde, een klein dorpje onder de rook van Groningen. Ik ben geboren in Amersfoort, opgegroeid in Assen, heb gestudeerd in Groningen en ben daarna in het noorden van het land blijven hangen. Met een financiële achtergrond heb ik ruim 23 jaar gewerkt in de incasso- en deurwaardersbranche. In mijn laatste functie was ik verantwoordelijk voor risk & compliance en was ik functionaris gegevensbescherming (FG), toen nog onder de Wet bescherming persoonsgegevens. In 2018 ben ik als zzp’er gestart en bedien ik diverse organisaties als FG.

Ik ben getrouwd en heb vier zonen, waarvan er nog twee thuis wonen. Ik heb een passie voor koken, waarbij de Indische keuken mijn favoriet is.

Huidige Functie bij Lumen Group
Ik werk als senior privacy consultant en houd me bezig met het adviseren van klanten op het gebied van de Algemene Verordening Gegevensbescherming (AVG) en alles wat daarmee samenhangt.

Ontwikkelingsdoelen bij Lumen
Als zzp’er werk ik solistisch en deel ik mijn kennis en ervaring met mijn opdrachtgevers. Bij Lumen werken we met een team van privacy professionals die allemaal een andere achtergrond hebben. We zijn niet alleen elkaars back-up, maar leren ook veel van elkaar. Dit draagt bij aan een optimale dienstverlening aan onze klanten en aan onze eigen ontwikkeling. Daarnaast is privacy een prachtig vakgebied dat volop in beweging is, waardoor we de taak hebben om onze kennis up-to-date te houden en mee te bewegen met de ontwikkelingen

Gewenste Superkracht op de Werkvloer
Ach ja, superkracht, daar geloof ik niet zo in. Als we allemaal gewoon onszelf (kunnen) zijn, behulpzaam en respectvol, dan is dat voor mij waardevoller dan een superkracht.

Favoriete Boek/Film/TV-serie
Mijn favoriete film is Mississippi Burning, die ik heel indrukwekkend vind. Daarnaast vind ik Crimson Tide een goede film en ben ik ook wel fan van Hunted.

Hoe gemeentelijke DPIA’s bijdragen aan privacy by design

Persoonsgegevens verwerken brengt risico’s mee. Zeker bij gemeenten, waar vanuit verschillende taken en bevoegdheden de noodzaak bestaat om (gevoelige of bijzondere) gegevens van burgers te verwerken. Een efficiënte manier om risico’s te beperken is het inrichten van processen en systemen volgens het principe van privacy by design: het organisatorisch en technisch stimuleren van zorgvuldige omgang met persoonsgegevens.[1] Dit doe je door vooraf bepaalde ontwerpstrategieën te doorlopen, bij het ontwerpen van systemen, applicaties, processen, beleid en producten. Hierbij komen bijvoorbeeld dataminimalisatie en transparantie aan bod.

Eén van de manieren waarop invulling wordt gegeven aan privacy by design is het uitvoeren van Data Protection Impact Assessments (DPIA’s). Dit is een inventarisatie en analyse van de risico’s van een verwerking, die voor verwerkingen met een hoog risico verplicht is. Omdat het uitvoeren van een DPIA in de praktijk geregeld uitdagingen met zich mee brengt, zetten we een aantal aandachtspunten op een rij over de verplichting om DPIA’s uit te voeren, welke hulpmiddelen er voor gemeenten zijn en hoe een DPIA bijdraagt aan het privacy by design principe.

Wat is een DPIA en wanneer deze verplicht?
Een DPIA bestaat op hoofdlijnen uit de beschrijving van een proces waarbinnen persoonsgegevens worden verwerkt, een beoordeling van de noodzaak en proportionaliteit van die verwerking, een inventarisatie van de risico’s voor de gegevens van betrokkenen binnen dit proces en het vastleggen van beheersmaatregelen die de risico’s verkleinen.

Een DPIA moet verplicht worden uitgevoerd wanneer een verwerking, gelet op de aard, omvang, context en doeleinden, waarschijnlijk een (hoog) risico inhoudt voor de rechten en vrijheden natuurlijke personen. [2] De Autoriteit Persoonsgegevens (AP) stelde een lijst met 17 soorten verwerkingen op waarbij een DPIA in ieder geval verplicht is. Bijvoorbeeld bij het inzetten van cameratoezicht, of wanneer bijzondere of gevoelige gegevens worden gedeeld binnen een samenwerkingsverband tussen gemeenten en andere publieke of private partijen.

Maakt jouw gemeente stelselmatig gebruik van cameratoezicht, en is er (nog) geen DPIA uitgevoerd op dit proces? Dan voldoe je niet aan de AVG, en dat kan leiden tot een boete. Zo legde de AP eerder een boete van €50.000 op aan de gemeente Rotterdam, vanwege het niet uitvoeren van een DPIA bij de inzet van mobiele camera-auto’s.

Hoe draagt een DPIA (het best) bij aan privacy by design
Het bepalen van een moment om te starten met een DPIA kan lastig zijn. Wanneer een systeem nog niet is ingericht, zijn vaak nog niet alle vragen over de technische en praktische werking ervan te beantwoorden. Toch is de fase van inrichting van een systeem of proces juist een geschikt moment om invloed op de werking ervan uit te oefenen.

Het is daarom aan te raden om een DPIA zo vroeg mogelijk in het proces van een nieuwe verwerking uit te voeren. Zo wordt een proces vanaf de start volgens de uitgangspunten van de AVG ingericht, en dus ook volgens het principe van privacy by design.

Is een proces of systeem al in gebruik, zonder dat er een DPIA op uitgevoerd is (waar dit wel zou moeten)? Start dan zo spoedig mogelijk met de DPIA.

Hulpmiddelen bij de uitvoering van een DPIA
Het uitvoeren van een DPIA kan een complexe en tijdrovende procedure zijn. Gelukkig zijn er hulpmiddelen beschikbaar, die gemeenten ondersteunen bij het doorlopen van deze procedure.

Wij zetten de belangrijkste hulpmiddelen op een rij:

Raadpleeg de FG
Vanuit de AVG is het verplicht om advies van de Functionaris Gegevensbescherming in te winnen, bij het opstellen van de DPIA. De FG kan op voorhand adviseren over de noodzaak tot het uitvoeren van een DPIA, voorzien in tussentijds advies over de uitvoering en meedenken over waarborgen om privacyrisico’s te beperken.

Pre-scan DPIA
Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) stelde in opdracht van het Ministerie van Binnenlandse Zaken een Pre-scan DPIA op. Deze scan helpt bij het afwegen of DPIA noodzakelijk is.

(Rapportage)model DPIA Rijksdienst
In september 2023 lanceerde het CIP het Model DPIA Rijksdienst 3.0, dat samen met Rapportagemodel DPIA Rijksdienst kan worden gebruikt voor de uitvoering van een volledige DPIA. De modellen begeleiden bij het uitvoeren van een DPIA, en helpen om een DPIA op een efficiënte, correcte én volledige wijze tot stand te laten komen.

Collectieve DPIA’s
De Informatiebeveiligingsdienst (IBD) en de Vereniging van Nederlandse gemeenten (VNG) voeren voor gemeenten collectieve DPIA’s uit. Dat zijn DPIA’s die gelden voor een groep van gemeenten of alle gemeenten.[3] Hoewel de collectieve DPIA’s vaak nog toegespitst moeten worden op de specifieke situatie per gemeente, is met de basis die er ligt het grootste werk uit handen genomen.

Vragen?
Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Met een team van specialisten staan we klaar om gemeentes te helpen met deskundig advies en ondersteuning op het gebied van privacy en informatiebeveiliging, zo ook bij het uitvoeren van of ondersteunen bij DPIA’s.

Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via het telefoonnummer 030 – 889 65 75.

[1] Art. 25 AVG

[2] Art. 35 lid 1 AVG

[3] Zo zijn er DPIA’s gepubliceerd voor verwerkingen binnen de Omgevingswet/Digitaal Stelsel Omgevingswet, de Wet verplichte ggz  en voor Whatsapp for business.

Boetes van de Autoriteit Persoonsgegevens met opzet of nalatigheid als voorwaarde?

Het Hof van Justitie van de Europese Unie (hierna: het Hof) heeft 5 december jl. in een persverklaring gesteld dat een boete alleen opgelegd kan worden wanneer de verwerkingsverantwoordelijke op de hoogte is van de onrechtmatige aard van zijn of haar handelen waarbij het zowel kan gaan om opzettelijk handelen als nalaten.[1] Echter, voor overheidsorganisaties en natuurlijke personen die niet namens een bedrijf handelen weegt de Autoriteit Persoonsgegevens (hierna: AP) deze factoren op dit moment enkel mee bij het bepalen van een verhoging of verlaging van de basisboete (dus achteraf),[2] en niet vooraf om te bepalen of de boete überhaupt opgelegd mag worden.[3]

In sommige gevallen komt de toetsing op de opzettelijke of nalatige aard van de inbreuk zelfs helemaal niet aan bod. Bijvoorbeeld in het geval van de boete van 2 november jl., waarbij de AP een boete van €30.000 oplegde aan de gemeente Voorschoten vanwege het te lang bewaren van ‘stortgegevens’ van huishoudens en het gebrekkig informeren van de betrokkenen over deze verwerking van persoonsgegevens.[4] De gemeente Voorschoten verwijst in haar zienswijze naar een eerder besluit, waarbij de AP in een volgens de gemeente vergelijkbare zaak geen boete oplegt aan de gemeente Arnhem.[5] De AP oordeelt over de vergelijking met het eerdere besluit het volgende:

“Onder het oude regime kon voor de door het Arnhemse college overtreden bepalingen geen boete worden opgelegd zonder dat eerst een bindende aanwijzing was gegeven. Dat uitgangspunt leed slechts uitzondering indien de overtreding opzettelijk was gepleegd of het gevolg was van ernstig verwijtbare nalatigheid. Aan het Arnhemse college was niet eerder een bindende aanwijzing gegeven en evenmin was sprake van opzet of ernstige nalatigheid. Alleen al om die reden kon in die zaak geen boete worden opgelegd. Door het van toepassing worden van de AVG op 25 mei 2018 kunnen de in dit besluit geconstateerde overtredingen wél direct worden beboet.”[6]

Hiermee impliceert de AP dus géén toets vooraf van de opzettelijke of ernstig nalatige aard van de inbreuk voor het opleggen van een boete.[7] Vervolgens gaat de AP ook bij de afweging of de basisboete omhoog of omlaag moet worden bijgesteld, voorbij aan de toetsing van de opzettelijke of nalatige aard van de inbreuk.[8] Hierdoor lijkt het huidige boetebeleid van de AP tegenstrijdig te zijn met de nieuwe uitleg van het Hof over de toets vóóraf. Zullen boetes voortaan wél onder voorwaarde van opzet of nalatigheid plaatsvinden?

[1] Judgments of the Court in Cases C-683/21 | Nacionalinis visuomenės sveikatos centras and C-807/21 | Deutsche Wohnen.

[2] Artikel 7 en 8 (b) Boetebeleidsregels Autoriteit Persoonsgegevens 2023.

[3] Zoals artikel 83 lid 2(b) AVG wel voorschrijft.

[4] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.5.

[5] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.1.

[6] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.3. Gemeente Voorschoten stelt: “Ook daar ging het om het te lang bewaren van persoonsgegevens in het kader van de uitvoering van het afvalbeleid. In die zaak heeft de AP een last onder dwangsom opgelegd om de overtreding te beëindigen.”

[7] Met de passage “Alleen al om die reden” suggereert de AP dat er nog meer redenen zouden zijn, maar deze worden inhoudelijk niet aangedragen. Bovendien concludeert de AP vervolgens dat zij geen aanleiding ziet om nu van een boete af te zien, in de enkele omstandigheid dat in het verleden geen bestuurlijke boete kon worden opgelegd vanwege het toen geldende boeteregime.

[8] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.5.

Even voorstellen: Maxim Scholma

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Maxim Scholma. Hij is deze maand als Werkstudent gestart bij Lumen Group. We stelden hem wat vragen.

Kun je ons iets vertellen over je achtergrond en interesses?

Ik ben 23 jaar oud, kom uit Alphen aan den Rijn en studeer Bedrijfskunde in Rotterdam. Verder wisten al mijn collega’s al voordat ik mijn contract getekend had, dat ik groot fan ben van padel. Ik heb het eigenlijk nergens anders over. Als ik niet op de padelbaan te vinden ben, dan speel ik graag gitaar. Ik speel zowel akoestisch als elektrisch met de focus op rock- en popmuziek. Mijn enthousiasme voor muziek deel ik graag met mijn twee broers. Samen luisteren we regelmatig met z’n drieën naar elkaars favorieten.

Wat is je huidige functie bij Lumen Group en wat houdt deze precies in?

Vanuit mijn studie Bedrijfskunde ben ik op zoek gegaan naar een baan en zodoende ben ik als werkstudent bij Lumen Group begonnen. Als werkstudent heb ik niet één specifieke taak. Ik help overal een beetje mee. Ik werk fulltime, dus ik ondersteun het team waar nodig is. Onder aan de streep levert dat voor mij een gevarieerde baan op waar ik veel van leer.

Waarin hoop jij je te ontwikkelen in je periode bij Lumen?

Het belangrijkste voor mij is momenteel om praktijkervaring op te doen. Mijn studie is voornamelijk veel theorie. De periode bij Lumen Group wil ik gebruiken om de koppeling tussen de theorie en de praktijk te maken. Verder zijn er geen specifieke vaardigheden die ik kan benoemen. Wél wil ik me in algemene zin ontwikkelen en zo veel mogelijk van alle bedrijfsonderdelen zien.

Als je een superkracht zou kunnen hebben op de werkvloer, welke zou je dan kiezen?

Volgens mij red ik me aardig zonder superkracht. Al lijkt vliegen me niet verkeerd, scheelt een hoop reistijd en dan kan ik naar de 9e verdieping zonder op de lift te moeten wachten.

Wat is je favoriete boek/film/Tv-serie en waarom?

Ik kan niet echt een expliciete nummer 1 aanwijzen. Als ik iets kijk, dan doe ik dat vaak met mijn jongere broertje. Toen we beiden nog op de basisschool zaten, hadden we thuis een dvd van Harry Potter die in het Nederlands nagesynchroniseerd was. Er is denk ik niks anders wat we zo vaak gekeken hebben. Destijds hadden we ook geen alternatief, want de ondertiteling ging te snel voor ons. Inmiddels kunnen we de ondertiteling wel volgen, maar toch weigeren we om de film in het Engels te kijken. Dus we hebben het niet over de beste film ooit, maar wel een film waar ik altijd met plezier naar kijk. Op mijn 23e al jeugdsentiment, het kantoorleven is denk ik echt begonnen…

4 tips voor het leerlingdossier vanuit privacy perspectief

Welke persoonsgegevens zet je wel en juist niet in het leerlingdossier en hoe ga je zorgvuldig om met deze informatie, in lijn met de Algemene verordening Gegevensbescherming (AVG)?

Om de leerlingen onderwijs en begeleiding te geven, komen de meeste gegevens in het leerlingdossier in een LAS/LVS-systeem terecht, of in sommige gevallen nog in een papieren dossier. Het leerlingdossier is voor de onderwijsinstellingen enerzijds noodzakelijk om informatie over de onderwijskundige voortgang en administratieve zaken van een leerling in bij te houden en om aan de informatieplicht[1] richting ouders te voldoen. Aan de andere kant ligt overmatige vastlegging van gegevens op de loer, met mogelijk nadelige gevolgen voor de betrokken leerlingen, omdat gevoelige informatie over een leerling een stigmatiserende werking kan hebben. Dat risico speelt met name wanneer gegevens lekken en door onbevoegden worden ingezien. Daarnaast kan er ook een verkeerd beeld van een leerling worden geschetst als de gegevens niet accuraat, actueel of objectief zijn.[2] 

Daarom is het van belang dat scholen goed in beeld hebben welke informatie wel bestemd is voor het leerlingdossier, maar ook waarvoor het leerlingdossier juist níet is bedoeld en hoe hier zorgvuldig mee om te gaan. Lumen Group geeft hiervoor een aantal tips: 

Categorieën persoonsgegevens

Houd rekening met de door de Autoriteit Persoonsgegevens (AP) opgesomde categorieën van persoonsgegevens die het leerlingdossier kan bevatten. Let op: de AP wijst daarnaast op de mogelijke verplichting tot het uitvoeren van een DPIA, wanneer in het leerlingdossier gegevens met een hoog privacyrisico worden verwerkt.[3]

Relevantie

Weeg altijd af of informatie relevant is in het kader van de ontwikkeling van de leerling, dan wel administratief noodzakelijk of wettelijk verplicht is om vast te leggen.[4] Als de informatie geen van deze doelen dient, hoort het niet thuis in het leerlingdossier.

Objectiviteit

Het leerlingdossier is geen plek voor meningen over de leerling. Voorkom daarom subjectiviteit en houd het bij de feiten, bijvoorbeeld bij vastlegging van een incident op het schoolplein.[5]

Actualiteit

Sta periodiek stil bij de actualiteit van de gegevens in het leerlingdossier. Informatie die in het verleden is opgenomen kan verouderd zijn, waardoor het zijn actuele waarde verliest of zelfs feitelijk niet meer correct is. Houd tot slot de wettelijke bewaartermijn in het vizier; het uitgangspunt is dat je een dossier 2 jaar mag bewaren nadat de leerling van school is gegaan.[6]

Meer weten over de AVG aspecten van het leerlingdossier? Neem dan vrijblijvend contact op met een van onze collega’s! Dit kan per e-mail op fg@lumengroup.nl of telefonisch op 030 – 889 65 75.

 

[1] Op basis van artikel 2.97 Wet voortgezet onderwijs 2020.
[2] Naast de informatieplicht van de school, hebben ouders en leerlingen vanaf 16 jaar een aantal rechten vanuit hun rol als betrokkenen. Zo hebben zij onder andere recht op inzage (artikel 15 AVG) en recht op rectificatie en aanvulling (artikel 16 AVG)  van het leerlingdossier.
[3] SIVON voerde al verschillende generieke DPIA’s uit op de meest voorkomende LAS/LVS systemen. Deze moeten scholen wel nog naar hun eigen specifieke situatie beschrijven en aanvullen. De generieke DPIA’s van SIVON zijn hier te vinden.
[4] Bijvoorbeeld op basis van artikel 8 Wet register onderwijsdeelnemers, artikel 8.10 Wet voortgezet onderwijs 2020 en artikel 40b Wet op het primair onderwijs.
[5] Wanneer informatie over gevoelige situaties of gebeurtenissen worden vastgelegd, is het raadzaam om ouders/verzorgers en/of de leerling hiervan op de hoogte te stellen en eventueel in gesprek te gaan over de inhoud.
[6] Zoals bepaald door de AP.

 

Het verwerkingsregister als kloppend hart

Een actueel, volledig en kloppend verwerkingsregister vormt het ‘kloppend’ hart van de privacy compliance van een gemeente.[1] De meeste verwerkingsregisters zijn met de komst van de AVG in 2018 opgezet en staan sindsdien minder onder de aandacht. Daarom hierbij een aantal tips op een rijtje om optimaal van het verwerkingsregister gebruik te kunnen (blijven) maken:

  1. Creëer betrokkenheid

Om de (bestaande) processen te kunnen (blijven) beheren en de juiste informatie te kunnen ontvangen, is er betrokkenheid nodig om dit aan te leveren. Breng in kaart welke (bestaande) projecten, initiatieven en implementaties van wet- en regelgeving een ‘privacycomponent’ bevatten, als deze nog niet in beeld zijn. Processen zijn dynamisch en staan niet op zichzelf. Ga daarom periodiek in gesprek met jouw collega’s op de andere afdelingen om te bespreken wat zij doen met persoonsgegevens. En indien mogelijk: geef proceseigenaren de lead om relevante wijzigingen in het verwerkingsregister door te voeren.

  1. Betrek inkoop erbij

Als dat nog niet gebeurt, pas dan bij het inkopen van diensten ‘aan de voorkant’ privacy by design toe door privacy tot een vast onderdeel van aanbestedings- en inkooptrajecten te maken. Hierdoor kan voorafgaand aan een mogelijk nieuwe persoonsgegevensverwerking nagedacht worden over mogelijke risico’s en de te nemen maatregelen.

  1. Periodieke ‘controls’

Plan een periodiek controle moment in, om de informatie in het verwerkingsregister te controleren. Zet hiervoor een procedure op aan de hand van bestaande werkwijzen, bijvoorbeeld door het een onderdeel te laten zijn van een (interne) audit of plan-do-check-act cyclus (PDCA). Deze PDCA-cyclus zorgt dat de nog benodigde en al gezette inspanningen worden belegd en dat actualiteiten meegenomen worden in bestaande processen. Loop hierbij (bestaande) verwerkersovereenkomsten na en neem eventuele beoordelingen van leveranciers mee. Doe ook een beroep op de afdeling ICT en/of chief information security officer (CISO) door samen te kijken waar er mogelijk nog kan worden geoptimaliseerd qua beveiliging en/of processen.

Op deze manier is het verwerkingsregister niet alleen meer een maatregel om compliant te zijn, maar zal het bijdragen om bepaalde processen juist te optimaliseren en de zwakke plekken in de beveiliging te identificeren.

 

Vragen?

Heb je nog vragen naar aanleiding van deze blog of wil je meer weten? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Onze professionals ondersteunen organisaties met het opstellen, inrichten en actualiseren of reviewen van verwerkingsregisters. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

[1] Gemeenten hebben op grond van artikel 30 AVG de verplichting een verwerkingsregister bij te houden. Onderdelen die daarin onder meer worden opgenomen zijn: wat de specifieke taak is voor een bepaalde verwerking, het doel, maar ook bijvoorbeeld de grondslagen en de naam van de functionaris gegevensbescherming (FG).

 

Even voorstellen: Martijn van der Waal

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Martijn van der Waal. Hij is deze maand als Senior Privacy Consultant gestart bij Lumen Group. We stelden hem wat vragen.

Kun je ons iets vertellen over je achtergrond en interesses?

Ik ben 58 jaar, getrouwd en vader van drie uitwonende zonen van 23, 25 en 27 jaar. Ik woon in Apeldoorn, regelmatig kun je me vinden in de mooie bossen met mijn twee honden. Verder hou ik van lekker eten, gezellige borrels en vooral vrienden ontmoeten. Daarnaast ben ik veel met muziek bezig.

 

Wat is je huidige functie bij Lumen Group en wat houdt deze precies in?

In mijn functie als senior privacy consultant hou ik me bezig met het adviseren van klanten op alle voorkomende gebieden en onderwerpen rondom de Algemene Verordening Gegevensbescherming. Daarnaast begeleid en support ik mijn jongere collega’s, ben ik ook betrokken bij nieuwe klant/product proposities en volg ik AVG ontwikkelingen en jurisprudentie nauwlettend.

 

Wat motiveert jou om te werken in het privacy vakgebied?

Ik vind het werkgebied van privacy enorm uitdagend, zeker omdat de AVG in de praktijk regelmatig nog mogelijkheden, ruimte en interpretaties biedt als het gaat om het nakomen van de wettelijke verplichtingen. Uitspraken van ‘’Het mag niet van de AVG’’, daar geloof ik niet in. Samen met de klant wil ik altijd op zoek gaan naar wat wel kan, zonder de klant daarbij direct te verstikken met allerlei beperkende regels. Een pragmatische en hands-on aanpak, die aansluit bij de mogelijkheden en behoeften van de klant.  Eigenlijk is mijn missie om de AVG minder saai te maken!

 

Welke doelen hoop je nog te bereiken in je loopbaan?

Na jarenlang bij grote financiële instellingen te hebben gewerkt biedt de overstap naar Lumen Group mij een enorme kans en uitdaging. Ik wil de komende jaren graag mijn jarenlange opgebouwde kennis en ervaring op het gebied van privacy, maar ook management en compliance overdragen aan mijn collega’s en klanten. Met de klant in gesprek gaan en samen kijken hoe we op een juiste, maar vooral passende manier invulling kunnen geven aan AVG compliance.

 

Wat is je favoriete boek/film/Tv-serie en waarom?

Eigenlijk heb ik geen favorieten, nou ja, eentje dan. Ik luister ieder jaar met veel plezier naar de Top 2000. Ik hou van alle soorten genres van de jaren 70 tot en met het heden. Bij het opstaan begint het al en wanneer het mogelijk is, luister ik ook graag muziek tijdens het werken. In mijn vrije tijd bezoek ik concerten of  ga ik naar het Top 2000 café. Ik deel mijn muziek graag met anderen.

Even voorstellen: Deniz Deveci

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Deniz Deveci. Hij is deze maand als Senior Privacy Consultant gestart bij Lumen Group. We stelden hem wat vragen.

Kun je ons iets vertellen over je achtergrond en interesses?

Ik ben 31 jaar oud, geboren en getogen in Krommenie. Binnenkort verhuis ik naar het mooie Brabant waar ik samen met mijn vrouw ga wonen. In een ver verleden heb ik een studie Rechtsgeleerdheid aan de Vrije Universiteit te Amsterdam gevolgd, waarna ik aan dezelfde universiteit een master Strafrecht en een master Internet, Intellectueel Eigendom en ICT heb afgerond. Ook heb ik meegedaan aan een uitwisselingsprogramma waar ik voor 6 maanden in Istanbul heb mogen wonen & studeren.

Naast mijn professionele achtergrond heb ik een diepe liefde voor het ontdekken van de wereld. Verre reizen zijn mijn manier om nieuwe culturen te leren kennen, en Zuidoost-Azië en Zuid-Amerika staan bovenaan mijn lijst van favoriete bestemmingen. Het verkennen van exotische plaatsen, leren van lokale tradities en het delen van ervaringen met mensen van over de hele wereld zijn voor mij onbetaalbaar.

Daarnaast ben ik een gepassioneerde fijnproever die geniet van culinaire ontdekkingen. De diversiteit van smaken en de kunst van het koken fascineren me, en ik ben altijd op zoek naar nieuwe culinaire avonturen, zowel tijdens mijn reizen als in mijn eigen keuken. Een belangrijke side note: mijn vakantiebestemmingen kies ik uit door op YouTube te zoeken naar wat er allemaal te eten valt in een bepaald land.

Andere passies die mij drijven zijn sim-racen, waarbij ik de uitdaging van virtueel autoracen aanga, doe ik aan kickboksen en alles wat maar met technologie & gadgets te maken heeft.

Wat is je huidige functie bij Lumen Group en wat houdt deze precies in?

Onlangs ben ik gestart als Senior Privacy Consultant (met focus op Management) bij Lumen Group. In mijn rol als Senior Privacy Consultant zal mijn dagelijkse missie zijn om onze klanten binnen Lumen Group te ondersteunen bij het waarborgen van gegevensbescherming, naleving van privacywetten en het creëren van een omgeving waarin privacy en veiligheid voorop staan. Dit omvat het ontwikkelen en managen van beleid en strategieën, het beoordelen van privacy risico’s, het waarborgen van compliance met wetgeving en het trainen van ons team om bewustzijn en bekwaamheid op het gebied van gegevensbescherming te vergroten.

Wat motiveert jou om te werken in het privacy vakgebied?

Wat me het meest motiveert in het privacy vakgebied, is de mogelijkheid om een positieve impact te hebben op het leven van mensen. Door te werken aan de bescherming van persoonsgegevens en het naleven van privacywetten, draag ik bij aan het waarborgen van de fundamentele rechten van individuen. Dit geeft me een diep gevoel van vervulling en betekenis in mijn werk.

Bovendien is privacy een dynamisch veld met voortdurend veranderende regelgeving en technologische ontwikkelingen. Deze complexiteit daagt me uit om voortdurend te leren en me aan te passen, wat mijn werk spannend en boeiend maakt. Het biedt ook kansen om innovatieve oplossingen te vinden en samen te werken met getalenteerde collega’s en experts in het vakgebied.

Welke doelen hoop je te bereiken in je loopbaan op de lange termijn?

Op de lange termijn wil ik me graag focussen op het opstarten en meebouwen aan startups, scale-ups en vooral focussen op het ontwikkelen van nieuwe technologieën. Wat mij hierin vooral aanspreekt is dat je van zero begint, het onbekende verkent en verloop van tijd iets bijzonders weet te realiseren.

Als je een superkracht zou kunnen hebben op de werkvloer, welke zou je dan kiezen?

Teleportatie. Met een focus op koffie. Het zou toch geweldig zijn om kopjes koffie van de beste koffiehuizen ter wereld direct naar jezelf of je collega’s op de werkplek te teleporteren? Dit zou ervoor zorgen dat je altijd toegang hebt tot de meest heerlijke koffie, ongeacht waar je je bevindt, en het zou koffiepauzes op het werk een heel nieuwe dimensie geven.

Wat is je favoriete boek/film/Tv-serie en waarom?

Ik heb heel lang stilgestaan bij deze vraag, misschien wel langer dan bij de andere vragen. Een favoriet boek, film of Tv-serie heb ik niet, maar ik heb wel een favoriet filmgenre; Sci-Fi!

Sciencefiction-films hebben altijd een speciale plaats in mijn hart ingenomen vanwege hun vermogen om de verbeelding te prikkelen. Ze nemen ons mee naar werelden die buiten onze eigen realiteit liggen, waar buitenaardse beschavingen, geavanceerde technologieën en onbekende horizonnen de norm zijn. De creatieve verbeelding achter deze verhalen is ronduit inspirerend en nodigt ons uit om zelf ook creatief te denken.

Het gaat zelfs verder dan alleen onze verbeelding prikkelen. Het biedt ook een platform voor diepgaande reflectie over complexe ethische en maatschappelijke vraagstukken. Deze verhalen stellen ons in staat om na te denken over de impact van technologie, wetenschap en menselijke keuzes op onze samenleving en op onszelf.